RGPD (Règlement Général sur la Protection des Données)


Pour toute action de formation, le responsable de formation traite des données personnelles qui concernent les salariés, et les partage aux organismes de formation et aux formateurs. À ce titre, il doit s’assurer que les informations reçues et transmises soient autorisées, modifiables par chaque collaborateur et en accès sécurisé. Définition de RGPD.

RGPD (Règlement Général sur la Protection des Données)

 

Qui est concerné par le RGPD ?

Le règlement général sur la protection des données (RGPD) ou « General Data Protection Regulation » (GDPR) en anglais, est un texte réglementaire voté en 2016 par le Parlement européen et le Conseil de l’Union européenne. Il est en vigueur depuis le 25 mai 2018 pour encadrer tout traitement de données personnelles dans les 27 pays de l’Union européenne. Il remplace l’ensemble des dispositions nationales et s’applique à toute organisation et toute personne qui sont amenées à traiter des données.

Votre entreprise est concernée, et par extension les ressources humaines, le responsable de formation et les sous-traitants, car elle collecte et utilise des données personnelles dont elles ont la responsabilité du traitement.



Qu’est-ce qu’une donnée personnelle ?

Le RGPD définit la notion de donnée à caractère personnel comme une information qui concerne une personne physique identifiée ou identifiable de manière unique directement ou indirectement par :

● son nom,
● ses caractéristiques physiques, génétiques, physiologique, économique, sociale, culturelle
● sa localisation géographique,
● son ou ses numéros d’identification,
● son ou ses identifiants pour des accès en ligne.


Un responsable de la formation peut donc considérer comme étant une donnée personnelle :

● le poste occupé par le collaborateur dans l’entreprise,
● ses compétences personnelles,
● ses formations suivies par le passé,
● son expérience passée,
● son email,
● l’adresse IP,
● les cookies,
● le montant du compte personnel de formation.

Au sein des données personnelles, il existe une catégorie de données particulières sur laquelle il faut être vigilant : les données sensibles. Elles correspondent à des informations sur l’origine ethnique, les opinions politiques ou syndicales, les orientations sexuelles, les pratiques religieuses, la santé du collaborateur…



Quels sont les objectifs du RGPD ?

Le règlement général de la protection des données vise à appliquer un cadre légal unique pour les données personnelles de chaque habitant de l’Union européenne. Ces règles portent autant sur les modes de collecte, que leurs usages et leur archivage, aussi bien sur le lieu de travail qu’à distance. Ce que le RGPD inclut dans l’expression de traitement. Il fixe aussi des obligations aux entreprises sur la légitimité de la détention de données, sur les accès à ces informations et sur la sécurité.

Pour ce dernier point, il s’agit d’assurer que les données des collaborateurs ne puissent pas sortir de l’entreprise sans son consentement, ni consulter par un autre collaborateur qui n’est pas habilité ou n’a aucune raison de pouvoir prendre connaissance des informations. Autrement dit, il s’agit d'évaluer les risques auxquels le traitement des données peut être exposé, les moyens pour détecter une fuite de données et les solutions pour en limiter la durée et l’étendue.

Ainsi, le RGPD vise à responsabiliser l’entreprise dans sa manière de traiter et de stocker les données qu’elle recueille volontairement ou involontairement sur ses salariés, et qu’elle puisse ne conserver que celles qui lui sont utiles dans ses engagements et obligations vis-à-vis de chaque salarié : bulletin de salaire, versement de la rémunération, plan de formation… Pour cela, elle est invitée à nommer un délégué à la protection des données — lequel doit avoir obtenu une certification DPO attestant de ses compétences — et tenir à jour un dossier documentaire qui recense toutes les actions menées amenant à prouver le respect du RGPD.

Toutes les actions de formation mises en œuvre sont concernées par ce contrôle de conformité vis-à-vis des data sur la vie privée du personnel des entreprises. Cela s’applique autant aux formations en présentiel, en distanciel et en session d’e-learning.



Comment mettre en place le RGPD ?

Pour la mise en place d’un RGPD, la CNIL (Commission nationale de l’informatique et des libertés), l’autorité en France chargée de contrôler le respect du règlement général de la protection des données, recommande de :

● désigner une personne chargée de piloter la mise en œuvre du RGPD et organiser les actions à entreprendre (DPO) ;
● cartographier les traitements de données, c’est-à-dire auditer les données personnelles collectées et traitées ;
● identifier l’impact du traitement des données ;
● élaborer un registre des traitements de données ;
● évaluer les risques élevés pour le droit et les libertés des personnes ;
● déterminer les actions à mener pour mettre le registre en conformité du RGPD ;
● établir une analyse d'impact relative à la protection des données (AIPD) ;
● organiser les processus internes permettant un haut niveau de protection des données de manière permanente ;
● documenter la conformité de l’entreprise vis-à-vis du RGPD et présenter ses éléments en cas de contrôle de la CNIL.

 

Comment gérer le RGPD dans le cadre d’une formation ?

Le responsable de formation est amené à traiter exclusivement des données personnelles, comme l'ensemble de la direction des ressources humaines. Il doit s’assurer que les outils utilisés respectent le RGPD et que les salariés ont donné leur consentement, notamment vis-à-vis de la transmission de leurs données personnelles aux organismes de formation et aux formateurs.

Ainsi, il doit veiller à ne communiquer que le minimum de données réellement nécessaires pour la gestion administrative de la formation et de préciser une durée de conservation des données limitées dans le temps. Passé ce délai, l’organisme se doit de détruire les informations dont il dispose. De même, si celui-ci souhaite utiliser les données à des fins commerciales pendant la période de détention des données, il doit recevoir le consentement du salarié concerné.

D’ailleurs, parmi les obligations du droit européen à respecter, le collaborateur doit pouvoir consulter ses données personnelles collectées par l’entreprise et celles transmises à l’organisme de formation, par voie informatique notamment. En plus de la consultation, il doit pouvoir également les modifier, les récupérer et les détruire.

Les plateformes, comme celle du TMS Place de la Formation, ont un statut de sous-traitant des données traitées par le responsable de la formation. Elles appliquent la conformité exigée par le RGPD et permettent le contrôle des données mises à disposition des organismes de formation. Ainsi, l’entreprise respecte ses obligations pour éviter toute violation des données. Surtout, elle échappe aux sanctions prévues en cas de défaut majeur de conformité : jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires annuel. A cela s’ajoute le risque d'image avec la publication de mise en demeure de la CNIL. Pour vous en assurer, Place de la Formation communique à chaque entreprise utilisatrice les éléments de conformité au RGPD, et cette dernière peut faire réaliser un contrôle de vérification.