Organisme de formation : impacts de l'entrée en vigueur du RGPD
D'ici quelques jours, le 25 mai très précisément, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, entrera en application, l'occasion de faire un rapide tour d'horizon de ses principaux impacts pour les prestataires de formation.
Par Valérie Michelet - Le 16 mai 2018.
Qu'est-ce qu'une donnée à caractère personnel ?
1° Définition
Constituent des «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel que :
- un nom,
- un numéro d'identification,
- des données de localisation,
- un identifiant en ligne,
- un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (article 4 du Règlement)
Sont donc notamment des données personnelles :
- l'adresse courriel d'une personne (à l'exception des courriels génériques du type contact@---.fr) ;
- le code NIR (numéro d'inscription au répertoire des personnes physiques) ;
- la fonction exercée ;
- le genre.
2° Données sensibles
Parmi les données personnelles, le Règlement isole les données sensibles définies comme celles dont le traitement révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique (article 9 du Règlement).
Le Règlement liste de manière exhaustive les cas où sont autorisés les traitements portant sur ce type de données. Cette autorisation peut notamment reposer sur le consentement de la personne concernée. Ce consentement doit être libre, éclairé et explicite. La charge de la preuve de ce consentement pèse bien évidemment sur le responsable du traitement ou son sous-traitant et le consentement peut être retiré par la personne à tout moment (article 7 du Règlement).
Ainsi, collecter une information sur le handicap d'un stagiaire (pour aménager les modalités pratiques d'apprentissage, prévoir les tiers temps appropriés lors du passage d'examens, etc) ou encore recueillir des informations sur ses allergies (pour gérer les repas) tombe sous le coup du traitement de données sensibles. Il faut donc que le stagiaire soit informé, comme pour tout traitement, de la finalité de la collecte de ces données sensibles et qu'il y donne son accord. Si ces données sont recueillies par voie de questionnaire, il faudra d'une part que la finalité du traitement soit rappelée, d'autre part que la "nature" de la réponse soit précisée : elle pourra être obligatoire ou libre. L' "Opt In" devra être privilégié : il permet en effet de s'assurer que la réponse a fait l'objet d'un consentement préalable (case à cocher, défilement d'une liste déroulante, etc) (Considérant 32 du Règlement).
3° Adresses IP et cookies
Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles
qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies»). Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes (Considérant 30 du Règlement).
L'organisme de formation qui dispose d'un site, même s'il ne fait pas de e-commerce, devra veiller à mettre sa politique de gestion des cookies en conformité avec le Règlement (bandeau d'information, possibilité de gérer l'acceptation/refus des cookies, listing et finalité de chaque cookie utilisé sur le site (suivi des préférences, suivi de l'audience, etc).
Quels sont les organismes de formation concernés par le Règlement ?
Le champ d'application du Règlement est large, tant d'un point de vue matériel (article 2 du Règlement) que territorial (article 3 du Règlement).
1° Champ d'application matériel
Le Règlement s'applique à toutes les entreprises (y compris leurs comités d'entreprise), les administrations, les associations qui traitent des données à caractère personnel, en leur qualité de responsable de traitement, ainsi qu'à leurs sous-traitants.
Ainsi, même les organismes de formation public - comme les Greta et les services formation des Universités par exemple - devront respecter les principes posés par ce texte. Les organismes de formation publics devront par ailleurs, quelle que soit leur taille, obligatoirement désigner un Délégué à la Protection des Données (DPD) (articles 37, 38 et 39 du Règlement).
Pour en savoir plus sur le DPD
Le statut juridique de l'organisme de formation est lui aussi sans effet sur l'application du Règlement : même les formateurs "personne physique" devront respecter les prescriptions du Règlement dès lors qu'ils traitent, dans un cadre professionnel, des données personnelles.
Les prestataires de formation soumis à des agréments spécifiques (santé, hygiène, sécurité, etc.) devront bien entendu également respecter le Règlement.
2° Champ d'application territorial
Le Règlement a vocation à s'appliquer dès lors que :
- le responsable de traitement ou le sous-traitant est établi sur le territoire de l'Union européenne ;
- le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler ».
En pratique, cela signifie que le Règlement s'appliquera chaque fois qu'un résident européen sera directement visé par un traitement de données, y compris via Internet. Par exemple, une entreprise dont le siège social est aux Etats-Unis et qui ne possède aucune filiale sur le territoire de l'Union Européenne, propose des formations en anglais des affaires entièrement à distance et rend possible le paiement dans plusieurs devises, dont l'euro. Cet élément emporte l'application du Règlement puisque le site cible un consommateur résidant dans la zone euro.
Quelles sont les principales nouveautés introduites par le Règlement ?
1° Renforcement des droits des personnes
Qu'il s'agisse des salariés de l'organisme, de ses formateurs, de ses clients ou de ses stagiaires, le Règlement impose la mise à disposition d'une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données personnelles (articles 12, 13 et 14 du Règlement). Les personnes doivent également être informées de l'usage qui va être fait de leurs données et doivent en principe consentir au traitement de ces dernières (article 7 du Règlement), ou pouvoir s'y opposer (articles 21 et 22 du Règlement).
Pour intégrer cette information sur les droits des personnes, l'organisme de formation devra donc "toiletter" :
- les mentions légales de son site internet ;
- et/ou, ses Conditions Générales de Vente (CGV).
Les droits des personnes sont les suivants :
- droit d'accès (15 du Règlement) ;
- droit de rectification (article 16 du Règlement) ;
- droit à l'effacement (ou droit à l'oubli) (article 17 du Règlement) ;
- droit à la portabilité (article 20 du Règlement) ;
- droit d'opposition (article 21 du Règlement).
Il faudra aussi informer les personnes qu'elles peuvent introduire une réclamation auprès d'une autorité de protection des données (article 77 du Règlement).
Par ailleurs, la règlementation française prévoit un droit à l'oubli après la mort. Les personnes doivent donc être informées du droit qu'elles ont de définir des directives relatives au sort de leurs données à caractère personnel après leur mort (article 40-1 de la Loi Informatique et Libertés).
Exemple : si l'organisme de formation propose, via son site internet, l'abonnement à une newsletter, il faut que l'internaute soit informé de l'usage qui va être fait de ses données personnelles (appelé aussi "finalité") et de leur durée de conservation, de ses droits (accès, rectification, opposition, etc.) et de la manière dont il peut les exercer (par voie postale, par voie électronique grâce à un formulaire spécifique, en passant par le DPD s'il existe au sein de l'organisme). Il doit pouvoir se désabonner librement.
L'information des personnes sur leurs droit dépend de la nature de la collecte, directe (article 13 du Règlement) ou indirecte (article 14 du Règlement).
2° Renforcement de la responsabilité des professionnels
Ce renforcement prend diverses formes.
Tout d'abord, la reconnaissance de la responsabilité, aux côtés du responsable de traitement, du sous-traitant (article 28 du Règlement).
L'organisme de formation devra répertorier tous les sous-traitants qui traitent en son nom des données personnelles.
Pour un prestataire de formation, il s'agira notamment des éditeurs de logiciels et autres acteurs du digital learning comme :
- les plateformes de Learning Management Systems (LMS) qui stockent de nombreuses données personnelles (temps de connexion, mot de passe, identifiant de connexion, nom et prénom, etc.) ;
- les services et outils en ligne comme Moodle par exemple qui proposent du « learning analytics » (ou traces d'apprentissage) et dont le principe est de mesurer, collecter, analyser et présenter des rapports basés sur des données des apprenants en contexte d'apprentissage dans le but de comprendre et d'optimiser l'apprentissage (exemples de données collectées : type de ressources pédagogiques utilisées, le nombre de tentatives à des quizz, etc.) ;
Sont aussi concernés les logiciels de gestion de la formation (du prospect à la facturation) qui peuvent se présenter en modes SAAS (Software As A service, service mutualisé en ligne) ou encore les outils CRM (Customer Relationship Management).
L'organisme de formation devra adapter en conséquence ses relations contractuelles. La nouveauté, c'est que le sous-traitant sera lui aussi responsable.
Pour aller plus loin "Guide du sous-traitant de la CNIL"
Bon à savoir ! Le Règlement aborde aussi la question des transferts vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert. Le responsable du traitement et son sous sous-traitant doivent prévoir des garanties appropriées à la protection des données transférées et garantir que les personnes concernées disposent de droits opposables et de voies de droit effectives (articles 44 , 45, 46, 47, 48, 49 et 50 et s. du Règlement). .
Ensuite, le passage d'une logique de « formalités préalables » (déclaration, autorisations) à une logique de conformité, dont les acteurs sont responsables. Les responsables de traitements et les sous-traitants doivent à ce titre :
- mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service et par défaut (privacy by design (article 25 du Règlement) ;
- mettre en place des mesures de protection des données appropriées et être en capacité de démontrer cette conformité à tout moment (accountability) (article 24 du Règlement).
Concrètement, les organismes de formation devront avoir recours à de nouveaux outils, parmi lesquels :
- la tenue d'un registre des données collectées mentionnant le but de la collecte et la durée d'exploitation prévue (article 30 du Règlement). Ce registre est obligatoire pour les organismes occupant au moins 250 salariés ;
- la notification de failles de sécurité (aux autorités et personnes concernées) (articles 33 et 34 du Règlement) ;
- le Délégué à la protection des données (DPD) (articles 37, 38 et 39 du Règlement).;
- les études d'impact sur la vie privée (EIVP) (article 35 du Règlement).
Enfin, une très sensible augmentation du montant des sanctions administratives dont peuvent faire l'objet non seulement le responsable de traitement mais aussi le sous-traitant, en cas de méconnaissance des dispositions du Règlement (article 83 du Règlement).
Ces amendes peuvent en effet s'élever, selon la catégorie de l'infraction, de 10 ou 20 millions d'euros pour une administration, ou dans le cas d'une entreprise, de 2% jusqu'à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Quels sont les principes fondamentaux du traitement des données personnelles ?
Six grands principes doivent guider le traitement des données à caractère personnel (article 5 du Règlement :
1° Principe de licéité, de loyauté et de transparence.
2° Principe de finalité. Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités.
3° Principe de minimisation des données. Les données traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
4° Principe d'exactitude. Les données traitées doivent être exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.
5° Principe de limitation de la conservation. Les données traitées doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
6° Principe d'intégrité et de confidentialité. Les données traitées doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur le site de la CNIL
Principes du RGPD sur le site de la Commission européenne
S'inscrire à la matinée d'actualité Centre Inffo :
- Protection des données personnelles : Les actions à mettre en place
- Mardi 3 juillet 2018, de 9h à 13h