Lors de la master class Centre Inffo sur le RGPD, le 17 novembre 2022.
RGPD, obligations et opportunités pour les organismes de formation
Centre Inffo organisait le 17 novembre une master class (classe de maître) sur le règlement général relatif à la protection des données personnelles (RGPD) à destination des prestataires de formation. L'évènement a permis de croiser les regards des experts du RGPD, des pratiques d'organismes de formation et des initiatives prises par les éditeurs de logiciels.
Par Raphaëlle Pienne - Le 21 novembre 2022.
Avec cette classe de maître (master class), Centre inffo s'est éloigné de son rôle traditionnel d'aide au décryptage de la politique de la formation professionnelle pour aborder une question très technique. Mais cet écart est légitime : la digitalisation de la formation amène de nouveaux enjeux en matière de sécurisation des donnée personnelles des stagiaires. En outre, « la réforme de 2018 [a] généré de nouvelles obligations pour les organismes de formation nécessitant de nouveaux traitements entrant dans le champ d'application du RGPD », a également rappelé Jean-Philippe Cépède, directeur du département droit de la formation de Centre inffo, qui animait cette conférence.
RGPD et formation : quels points de vigilance ?
L'entrée en vigueur des obligations liées à Qualiopi, en particulier, peut sembler contradictoire avec les obligations du RGPD. « Mais [elles] sont complémentaires. Ces deux démarches peuvent difficilement se penser de manière complétement isolées et indépendantes », estime Loïc Lebigre, consultant senior au département observatoire de Centre Inffo. Celui-ci cite en exemple des étapes des process de formation où les obligations se croisent : évaluation des besoins des bénéficiaires de la formation, évaluation des atteintes des objectifs d'une formation certifiante, ou encore accueil de stagiaires en situation de handicap.
L'appui des outils informatiques
Les obligations des prestataires de formation en matière de RGPD se traduisent par des choix à réaliser très concrets en matière d'information des stagiaires, de durées de conservation des données ou encore de sécurisation de celles-ci. Les logiciels destinés aux organismes de formation peuvent venir en appui à ces choix, dans certaines limites. « C'est au client d'établir des processus et de définir le cycle de vie des données. Nous fournissons des outils pour cela, mais c'est à lui de le faire car nous ne sommes pas propriétaires des données », prévient Alex Landreau, directeur produit chez l'éditeur de logiciel Alcuin.
Respect des obligations RGPD : du bon sens
Pour établir ces règles et processus, les experts du RGPD invités à la Master class appellent avant tout à faire preuve de bon sens. « L'information doit être adaptée à la situation et à l'utilisation qui va être faite des données », souligne par exemple Philippe Gabillaut, co-fondateur de Citizen Shield. « Si le DPO [délégué à la protection de données] mange seul à la cantine c'est qu'on est allé trop loin : il faut trouver des équilibres », complète Bruno Rasle formateur de DPO et ancien délégué général de l'AFCDP (association française des correspondants à la protection des données à caractère personnel). Une première étape pour les prestataires de formation s'interrogeant sur leurs obligations vis-à-vis du RGPD peut être de faire l'autoévaluation de leur maturité en gestion de protection des données grâce au modèle développé par la Cnil.
Se conformer au RGPD : un avantage concurrentiel
Le respect du RGPD peut enfin être vu sous le prisme de l'opportunité plutôt que de celui de l'obligation. « Nous, nous essayons de faire de cette contrainte un avantage business pour nos activités », témoigne Etienne de Quatrebarbes, secrétaire général du collège de Paris. Car, pour les prestataires de formation, se conformer au RGPD est aussi une des clés d'accès aux appels d'offres de grands comptes et de la commande publique.