En vigueur depuis le 25 mai 2018, le Règlement Général sur la Protection des Données RGPD : est une réglementation européenne dont la mise en œuvre est liée à toutes les entreprises, qu’elles soient petites ou grandes, à but lucratif ou non.
L’objectif de ce règlement est de responsabiliser les organisations dans la gestion de leurs données et de protéger les tiers des risques liés à cette collecte.
Pour les organismes de formations, il s’agit ici d’une affaire simple mais structurée qui ne devrait pas prendre énormément de temps si elle est accompagnée d’un expert spécialisé.
Le RGPD, pourquoi ?
Comme vous le savez, le monde est en perpétuelle évolution et au vu des récentes avancées technologiques, tel que l’explosion du big data, l’apparition d’appareils connectés et celle de l’intelligence artificielle, la législation précédente ne suffisait pas à encadrer la sécurité et l’éthique autour des données collectées.
C’est pourquoi l’UE a décidé de mettre en œuvre une toute nouvelle réglementation.
Dès lors, cette dernière apportera plus de sécurité aux consommateurs et sera plus contraignante pour les entreprises, qui devront s’assurer de recueillir le consentement.
Notez que les règles s’appliquent également aux entreprises en dehors de l’UE qui collectent des données auprès de résidents de pays européens.
La responsabilité ou l’accountability est l’un des principes clés du RGPD.
Il s’agit de la transparence et de la responsabilisation des professionnels dont le travail réside dans le traitement des données sensibles.
Pour s’en assurer, la CNIL (l’organisme de contrôle du RGPD) a prononcé des sanctions de plus en plus sévères et aléatoires que les précédentes.
C’est la raison pour laquelle les organisations doivent prendre des précautions pour être tout aussi préparées.
Mais alors, comment les centres de formation sont-ils concernés ?
Les OF ou Organismes de Formation comme les autres entreprises sont bel et bien concernés par le RGPD.
D’autant plus, que la certification Qualopi contrôle, elle aussi la conformité envers cette réglementation.
Dans l’exercice de vos différentes activités, il se peut que vous soyez amené à rassembler des données personnelles telles que le numéro de téléphone, l’âge, le nom, prénom de vos stagiaires.
Ce sont des informations que la loi européenne vous ordonne de protéger.
Vos sous-traitants sont eux aussi concernés par les obligations du RGPD.
Ce sont là des organismes qui s’occupent du traitement de vos données dans le cadre d’une prestation ou encore d’un service.
Plus précisément, vos prestataires devront tenir un registre interne qui contiendra toutes les données recueillies.
De plus, vous devrez déterminer la durée pendant laquelle les informations seront extraites ainsi que le but de la collecte.
Vous devrez également évaluer et établir des procédures en ligne selon les besoins, comme par exemple collecter le consentement pour la collecte des cookies sur votre site.
Ce dernier devra définir et assurer la gestion liée au traitement des données.
Enfin, vous et vos sous-traitants devront maintenir une documentation permettant la traçabilité des différentes précautions.
Comment les centres de formation peuvent-ils se conformer à la nouvelle réglementation ?
Pour mettre en œuvre le RGPD dans votre organisation, il y a de nombreux points à aborder.
La nomination d’un responsable RGPD ou DPO :
Si vous êtes une entreprise qui gère à grande échelle des informations à caractère personnelles, est obligatoire.
Cela vous permettra aussi d’avoir une personne qui se chargera de la mise en œuvre de la politique de protection de ces données au sein de votre organisme.
Bien entendu, ces derniers doivent disposer des compétences et du statut adéquats.
Les données personnelles de vos stagiaires et de vos clients particuliers :
Les données qui seront collectées devront se limiter au strict nécessaire dans le cadre de votre prestation et au bout d’un certain temps, il faudra que celles-ci soient détruites ou mises sous anonymat.
Les praticiens et les clients doivent pouvoir demander une copie des données enregistrées et leur destruction ou modification.
Pour vous faciliter la tâche, vous pouvez cartographier les différents lieux de stockage ou encore centraliser le stockage des données.
Ainsi, la destruction, l’anonymisation ou encore l’exportation ne sera alors plus un problème.
Vous devez aussi trouver un moyen grâce auquel les clients peuvent demander ces différentes démarches.
La liste des traitements subis par les données :
Vous devez donner avec précision les données que vous avez collectées, à quoi elles servent ainsi que leur usage pour votre activité.
Il est essentiel que cette cartographie soit enregistrée dans un registre des traitements.
Comme évoqué précédemment, assurez-vous que tous les services tiers auxquels vous avez recouru ont implémenté le règlement.
La sécurisation des données :
Vous pouvez retrouver des dizaines de recommandations de cybersécurité sur le site de la CNIL, mais pour aller à l’essentiel et dans votre cas particulier, commencez par stocker vos données avec sécurité à l’aide par exemple d’un mot de passe.
Enfin, dans le cas d’ordinateurs de bureau, il faudra activer le chiffrement du disque dur.
Nous espérons que cet article vous a été utile. Maintenant c’est à vous de jouer !
