Comment protéger les données perso de vos stagiaires en formation ?

Posted by

Sandrine

–

15 janvier 2018

Quelles sont les obligations pour les organismes de la formation continue en matière de protection des données en 2018 ?

A partir du 25 mai 2018, les obligations en matière de protection de données sont renforcées. La déclaration à la Cnil ne suffira plus. Le règlement GDPR (General Data Protection Regulation) s’appliquera alors à toute entreprise européenne qui collecte, traite et stocke des données personnelles… ce qui est le cas des organismes de formation dans le cadre des sessions organisées.

L’objectif du GDPR ? Protéger au maximum les données personnelles ! Chaque entreprise devra être en mesure de prouver que les données à caractère personnel sont protégées et inexploitables en cas de vol.

Quel est le périmètre du GDPR ?

Le GDPR est un règlement européen : il s’applique dès le 25 mai 2018 à tous les Etats membres de l’Union européenne. Il s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

Bon à savoir : le GDPR concerne les responsables directs du recueil de données personnelles mais aussi les sous-traitants auxquels ils peuvent faire appel pour la gestion ou l’analyse de ces données, par exemple.

Quels sont les impacts pour les entreprises ?

Le GDPR précise que “les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.”

Il couvre aussi le droit à la portabilité des données : “ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.”

Concrètement, chaque entreprise devra développer les outils suivants :

La tenue d’un registre des traitements mis en œuvre ;
La notification de failles de sécurité (aux autorités et personnes concernées) ;
La certification de traitements ;
L’adhésion à des codes de conduites ;
Le DPO (délégué à la protection des données) ;
Les études d’impact sur la vie privée (EIVP).

Comment un organisme de formation peut-il se mettre en conformité ?

Un organisme de formation recueille différentes données sur les stagiaires à ses formations : prénom, nom, date de naissance, coordonnées postales et électroniques, photo, employeur, données relatives aux connexions lors de sessions en ligne, etc.

A partir du 25 mai 2018, il devra obtenir le consentement éclairé du stagiaire et énoncer la finalité de chaque donnée recueillie. Par exemple, pour l’inscription à la newsletter de l’organisme de formation, l’OF devrait indiquer comment son mail pourrait être utilisé par la suite (démarchage commercial, etc.). Dans les formulaires en ligne, les cases pré-cochées seront désormais à bannir.

Sur le site de la CNIL, 6 étapes clés ont été identifiées pour être prêt à la mise en place du GDPR :

Désigner un pilote des données personnelles pour votre structure ;
Cartographie le traitement que vous faites des données ;
Identifier et assigner des priorités aux actions à mener ;
Faire une analyse d’impact pour chaque risque détecté ;
Organiser des procédures internes pouvant garantir la protection des données personnelles à tout niveau de l’entreprise ;
Réaliser la documentation justifiant de vos actions de conformité avec la GDPR.

Avec le nouveau règlement, vous devez être en mesure de justifier :

qui intervient sur chaque traitement de données personnelles ;
à qui et où les données sont transmises ;
où sont stockées vos données ;
combien de temps ces données sont conservées ;
les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données.

Quels sont les risques encourus en cas de non conformité ?

Les autorités de protection pourront sanctionner chaque contrevenant par :

Un avertissement ;
Une mise en demeure l’entreprise ;
La limitation temporaire ou définitive d’un traitement ;
La suspension du flux de données ;
Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
Ordonner la rectification, la limitation ou l’effacement des données.

Des amendes administratives sont également prévues pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise.

Pour aller plus loin :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

formation

Sandrine

Après 10 ans au sein du carif-oref francilien, Sandrine s’est lancée en freelance. Elle rédige aujourd’hui régulièrement des articles et interviews sur l’emploi, la formation initiale et la formation continue pour différents médias.

Laisser un commentaire Annuler la réponse

Suivez nos publication sur :

Derniers articles :

L’heure est venue de soutenir l’accès au CPF11 avril 2024
La réforme du CPF: la fin des formations gratuites ?4 avril 2024
Comment transformer le Leadership de mes managers pour assurer un authentique engagement de leurs équipes ?2 avril 2024
Entretien avec Jean-Christian Mattei, Coach 29 mars 2024
Non, vous ne pouvez pas utiliser votre CPF pour financer votre permis moto pour le plaisir !23 janvier 2024

Derniers commentaires :

Arnaud sur La réforme du CPF: la fin des formations gratuites ?15 avril 2024
le 1er mai 2024 normalement
helt liliane sur La réforme du CPF: la fin des formations gratuites ?14 avril 2024
Article pertinent. Il permet de savoir quand débutera la contribution des salariés.
Richard Bergeron sur Le guide des compétences transversales1 avril 2024
Bonjour, ce guide à l’air vraiment pertinent! Comment pouvons nous le lire?