RGPD pour un organisme de formation : le guide sans jargon
RGPD et organisme de formation : vos vraies obligations sur les données stagiaires, une checklist concrète et ce que vous pouvez régler cette semaine, sans être juriste.
RGPD et organisme de formation : pourquoi vous êtes concerné, forcément
Vous allez peut-être vous dire « moi je suis un petit OF, le RGPD c'est pour les grosses boîtes ». Faux. Le RGPD ne regarde pas votre taille, il regarde ce que vous faites avec les données des gens. Et un OF, ça manipule des données personnelles à longueur de journée.
Réfléchissez deux secondes à tout ce que vous stockez sur un stagiaire : nom, prénom, email, téléphone, employeur, poste, parfois date de naissance, numéro de sécurité sociale (pour le CPF ou certaines certifications), résultats d'évaluation, émargements, attestations. Ajoutez les prospects dans votre CRM, les contacts chez les financeurs, vos formateurs sous-traitants. Vous êtes un traitement de données ambulant.
Le RGPD, c'est la loi européenne qui dit : ces données appartiennent aux personnes, pas à vous. Vous en êtes le gardien, pas le propriétaire. Vous avez donc des devoirs. La bonne nouvelle, c'est que ces devoirs sont logiques et qu'une fois posés, ils tournent tout seuls.
Et il y a un enjeu très concret pour vous : Qualiopi. Les auditeurs regardent de plus en plus votre gestion des données, et un bon nombre de vos obligations RGPD recoupent directement des indicateurs Qualiopi (information des stagiaires, traçabilité, confidentialité). Être en règle RGPD, c'est aussi blinder votre audit. Si le sujet Qualiopi vous stresse, jetez un œil à notre checklist Qualiopi pour un organisme de formation.
Les 6 obligations concrètes, expliquées comme à un pote
Oubliez les 99 articles du règlement. Pour un OF, tout tient en six blocs. Voici chacun, en clair.
1. La base légale : pourquoi avez-vous le droit de traiter ces données
Pour chaque donnée que vous collectez, vous devez pouvoir répondre à la question « au nom de quoi ? ». Le RGPD appelle ça la base légale. Vous n'avez pas à en choisir une exotique, dans un OF il y en a trois qui couvrent 95% des cas.
- Le contrat. Quand un stagiaire s'inscrit à votre formation, vous avez besoin de son nom, son email et ses infos pour exécuter la prestation. Pas besoin de lui demander son autorisation, c'est nécessaire au contrat. C'est votre base par défaut pour les données stagiaires.
- L'obligation légale. Certaines données, vous devez les garder parce que la loi vous y oblige (feuilles d'émargement, factures, données CPF). Là encore, pas de consentement à demander, c'est la loi.
- Le consentement. Il ne sert que dans un cas précis : la prospection commerciale et la newsletter. Si vous envoyez des offres à quelqu'un qui n'est pas déjà client, il faut qu'il ait dit oui, librement, avec une case à cocher non pré-cochée.
Retenez ce réflexe : consentement uniquement pour le marketing, contrat et obligation légale pour tout le reste. Ne demandez pas le consentement des stagiaires pour les former, c'est absurde et ça vous fragilise.
2. Le registre des traitements : votre document maître
C'est LE document qui fait peur pour rien. Le registre des traitements, c'est juste un tableau qui liste tout ce que vous faites avec des données. Rien de plus.
La CNIL en impose la tenue à quasiment tout le monde, y compris les petites structures dès que le traitement n'est pas occasionnel (et le vôtre ne l'est pas). Pour un OF, votre registre contient typiquement quatre à six lignes :
- Gestion des stagiaires (inscriptions, suivi, attestations)
- Gestion des formateurs / sous-traitants
- Facturation et comptabilité
- Prospection et communication
- Gestion du site web (formulaires, cookies)
Pour chaque ligne, vous notez : la finalité (à quoi ça sert), les données concernées, la base légale, qui y a accès, la durée de conservation, et où c'est stocké. La CNIL fournit un modèle gratuit de registre au format tableur, téléchargez-le et remplissez-le, vous avez fini en une heure.
3. Les durées de conservation : ne gardez pas tout à vie
Grosse erreur classique de l'OF : garder tous les dossiers stagiaires depuis dix ans « au cas où ». Le RGPD interdit ça. Vous ne conservez une donnée que le temps nécessaire, puis vous la supprimez ou l'archivez.
Les repères concrets pour un OF :
- Dossier stagiaire actif (suivi pédagogique) : pendant la formation + la durée utile au suivi.
- Émargements, attestations, preuves de réalisation : au moins la durée de contrôle possible par les financeurs et l'administration, souvent citée autour de plusieurs années après la fin de l'action. Alignez-vous sur vos obligations Qualiopi et CPF.
- Factures et comptabilité : 10 ans (obligation commerciale).
- Prospects sans suite : 3 ans après le dernier contact, ensuite on supprime ou on redemande l'accord.
Le principe : vous fixez une durée par type de donnée, vous l'écrivez dans le registre, et vous faites le ménage. Un tri annuel des vieux dossiers, c'est le minimum syndical.
4. Les sous-traitants : vous êtes responsable de vos outils
Voilà le point que 90% des OF oublient. Dès que vous utilisez un outil externe qui touche aux données de vos stagiaires (logiciel de gestion, emailing, plateforme e-learning, hébergeur, comptable), ce prestataire est votre « sous-traitant » au sens RGPD. Et vous devez avoir un contrat qui encadre ça, appelé DPA (accord de traitement des données).
Concrètement, vérifiez pour chaque outil :
- Que les données sont hébergées dans l'UE (ou avec des garanties correctes).
- Que le prestataire fournit un DPA (les outils sérieux l'ont en libre accès dans leurs conditions).
- Que vous ne dispersez pas les données stagiaires dans quinze tableurs et boîtes mail perso.
Le meilleur réflexe : centraliser. Moins vous avez d'outils qui touchent aux données, moins vous avez de sous-traitants à surveiller. Un bon logiciel de gestion pour organisme de formation qui regroupe inscriptions, suivi et documents, c'est déjà la moitié du problème réglé.
5. Les mentions d'information : dire aux gens ce que vous faites
Les personnes ont le droit de savoir ce que vous faites de leurs données, au moment où vous les collectez. Ça passe par deux choses simples.
D'abord, une politique de confidentialité sur votre site : qui vous êtes, quelles données vous collectez, pourquoi, combien de temps, et comment exercer ses droits. Un modèle existe partout, adaptez-le à votre OF.
Ensuite, une mention courte sur vos formulaires (inscription, contact). Deux lignes suffisent : « Les informations recueillies servent à gérer votre inscription et votre suivi de formation. Elles sont conservées X années. Vous disposez d'un droit d'accès, de rectification et de suppression en écrivant à contact@... ». C'est tout.
6. Les droits des personnes : savoir répondre
Un stagiaire ou un prospect peut vous écrire pour demander l'accès à ses données, leur correction, leur suppression, ou pour s'opposer à recevoir vos emails. Vous avez un mois pour répondre. Ce n'est pas optionnel.
Les droits que vous croiserez le plus :
- Accès : « donnez-moi ce que vous avez sur moi ».
- Rectification : « corrigez mon email / mon nom ».
- Effacement : « supprimez mes données » (sauf ce que la loi vous oblige à garder, comme les factures).
- Opposition : « arrêtez de m'envoyer votre newsletter » (votre lien de désinscription doit marcher, toujours).
Le vrai enjeu, c'est d'être capable de retrouver vite toutes les données d'une personne. Si elles sont éparpillées, vous galérez. Si elles sont dans un outil centralisé, vous exportez en deux clics.
Le retour d'expérience de Maxime
Quand j'ai commencé à bosser avec des OF sur ces sujets, le schéma était toujours le même. Un dirigeant qui gérait tout dans un mélange de tableurs Excel, sa boîte Gmail perso, un dossier Drive partagé avec trois formateurs, et des PDF sur son bureau. Des données stagiaires partout, aucune vue d'ensemble.
Le jour où l'un d'eux a reçu un mail d'un ancien stagiaire qui demandait « supprimez toutes mes données », il a passé un après-midi entier à fouiller ses fichiers pour être sûr d'avoir tout trouvé. Un après-midi. Pour une demande qui aurait dû prendre cinq minutes.
Ce qui m'a marqué, c'est que la conformité RGPD ne l'a pas ralenti, elle l'a organisé. En centralisant tout dans un seul outil de gestion et en écrivant noir sur blanc ses durées de conservation, il a d'un coup su où étaient ses données, qui y accédait, et quand les supprimer. Bonus imprévu : son audit Qualiopi suivant s'est passé beaucoup mieux, parce que la moitié des preuves qu'on lui demandait étaient déjà rangées et traçables. Le RGPD, mal vu, c'est une corvée. Bien vu, c'est juste de la bonne gestion.
Vos données stagiaires sont dispersées partout ? Formiva centralise inscriptions, suivi et documents dans un seul outil, hébergé en France. Essayez gratuitement.
La checklist RGPD à faire cette semaine
Assez de théorie. Voici l'ordre concret pour vous mettre en règle sans y passer un mois. Bloquez deux ou trois créneaux et déroulez.
Jour 1 (1 h). Téléchargez le modèle de registre des traitements de la CNIL. Listez vos traitements (stagiaires, formateurs, facturation, prospection, site). Vous avez déjà 80% du travail structuré.
Jour 2 (1 h). Pour chaque traitement, remplissez la base légale et la durée de conservation. Utilisez les repères de cet article. Ne cherchez pas la perfection juridique, cherchez la cohérence.
Jour 3 (1 h). Faites l'inventaire de vos outils qui touchent aux données stagiaires. Pour chacun, vérifiez l'hébergement et récupérez le DPA. Repérez les endroits où vous éparpillez des données inutilement (vieux tableurs, mails perso) et prévoyez de centraliser.
Jour 4 (45 min). Rédigez ou mettez à jour votre politique de confidentialité et ajoutez la mention courte sur vos formulaires d'inscription et de contact.
Jour 5 (30 min). Préparez une procédure simple pour les demandes de droits : une adresse email dédiée, un réflexe « je réponds sous un mois », et un moyen de retrouver vite toutes les données d'une personne. Vérifiez aussi que votre désinscription newsletter fonctionne.
Voilà. En cinq petites sessions, vous êtes passé de « je crois que je ne suis pas en règle » à « j'ai un registre, des durées, des mentions et une procédure ». C'est déjà mieux que la grande majorité des OF.
Les erreurs qui coûtent cher (et faciles à éviter)
Quelques pièges que je vois revenir, et qu'il suffit de connaître pour éviter.
Demander le consentement pour tout. Non. Le consentement, c'est le marketing, pas la gestion des stagiaires. Sur les données stagiaires, votre base c'est le contrat.
Garder les dossiers à vie. Le « au cas où » n'est pas une base légale. Fixez des durées et faites le ménage.
Oublier les sous-traitants. Votre comptable, votre outil d'emailing, votre hébergeur voient des données. Sans DPA, vous êtes exposé.
Une newsletter sans désinscription qui marche. C'est une infraction basique et pourtant hyper courante. Testez votre lien.
Croire qu'il faut un DPO obligatoire. Pour la plupart des petits OF, le délégué à la protection des données n'est pas obligatoire. Vous pouvez désigner un référent en interne. Ne vous inventez pas des contraintes.
À retenir
- Le RGPD s'applique à tout OF, quelle que soit sa taille, parce que vous manipulez des données personnelles en permanence.
- L'essentiel tient en six blocs : base légale, registre, durées de conservation, sous-traitants, mentions, droits des personnes.
- Vous vous mettez en règle en cinq petites sessions d'une heure, avec les modèles gratuits de la CNIL, sans juriste.
- Centraliser vos données dans un seul outil règle d'un coup la moitié des obligations et facilite votre audit Qualiopi.
FAQ
Un petit organisme de formation est-il vraiment obligé de respecter le RGPD ?
Oui, sans exception. Le RGPD ne dépend pas de votre chiffre d'affaires ni de votre nombre de salariés, mais du fait que vous traitez des données personnelles. Un OF, même solo, traite en permanence des identités, emails et résultats de stagiaires. Vous êtes concerné dès le premier stagiaire.
Faut-il obligatoirement un DPO (délégué à la protection des données) ?
Non, pas pour la plupart des OF. Le DPO est obligatoire dans des cas précis (organismes publics, suivi à grande échelle, données sensibles massives). Un petit ou moyen OF peut simplement désigner un référent interne chargé du sujet. N'ajoutez pas cette contrainte si elle ne vous concerne pas.
Combien de temps dois-je conserver les dossiers de mes stagiaires ?
Ça dépend du type de document. Les factures se gardent 10 ans. Les émargements et preuves de réalisation s'alignent sur vos obligations de contrôle Qualiopi et des financeurs, souvent plusieurs années après l'action. Les prospects sans suite : 3 ans après le dernier contact. Fixez une durée par type de donnée, notez-la dans votre registre, et supprimez ensuite.
Un stagiaire me demande de supprimer ses données, je fais quoi ?
Vous avez un mois pour répondre. Vous supprimez ce que vous n'avez pas l'obligation légale de garder. Attention : vous devez conserver certaines pièces (factures, preuves de réalisation) même en cas de demande d'effacement, la loi prime. Le reste (fiche prospect, données non obligatoires) doit être supprimé. Le plus dur est de retrouver toutes les données de la personne, d'où l'intérêt d'un outil centralisé.
Est-ce que mon logiciel de gestion peut m'aider à être conforme ?
Beaucoup, oui. Un outil qui centralise inscriptions, suivi et documents règle plusieurs obligations d'un coup : les données ne sont plus éparpillées, vous les retrouvez vite pour répondre aux demandes de droits, et vous limitez le nombre de sous-traitants à surveiller. Vérifiez juste qu'il héberge les données dans l'UE et qu'il fournit un DPA.
Et avec Formiva ?
Formiva centralise toutes vos données stagiaires (inscriptions, suivi, émargements, documents) dans un seul outil hébergé en France, avec un DPA fourni. Fini les données éparpillées entre tableurs et boîtes mail : vous savez où tout se trouve, vous répondez à une demande de suppression en deux clics, et vous arrivez à votre audit Qualiopi avec des preuves déjà rangées. Essayez gratuitement ou demandez une démo.
Prêt à lancer ou structurer votre organisme de formation ?
Formiva centralise la gestion de vos cours, sessions, apprenants, documents et conformité Qualiopi.
Essayer Formiva gratuitement