Le RPGD et son impact sur votre OF
Le RGPD ou règlement général de l’Union européenne sur la protection des données est entré en vigueur le 25 mai 2018. Les centres de formation professionnelle sont aussi concernés par cette réglementation. De quoi s’agit-il en fait ? Quel impact a-t-il sur les organismes de formation ? Comment faire pour être en conformité ? Nous vous dévoilons tout dans cet article.
Présentation du RGPD
Il s’agit d’un règlement européen dont l’implémentation concerne toutes les entreprises qui opèrent sur le territoire européen, qu’elles soient européennes ou non. L’objectif du RGPD est de responsabiliser les entités sur la gestion des données personnelles à caractère sensible. La mise en place de ses pratiques est facile à mettre en œuvre pour un centre de formation.
Le RGPD a-t-il un impact sur votre OF ?
La réponse est oui, la mise en place du règlement général de l’Union européenne sur la protection des données est un processus interne à votre centre de formation. Il ne suffit pas seulement d’utiliser des logiciels conformes au RGPD. Vous devez aussi mettre en place une politique de collecte et de gestion responsable des données personnelles de vos apprenants que vous gardez sur divers supports, et sur lesquels vous les traitez. Fresh Management est un des supports sur lesquels vous pouvez stocker ces données. Pour vous faciliter la vie, il vous aide à centraliser toutes les données personnelles dans un seul endroit.
La majorité des tâches courantes réalisées par un OF pour l’exécution opérationnelle des formations ne posent pas de soucis particuliers pour la mise en conformité RGPD. Par ailleurs, il faudra :
- faire attention à la sécurité ;
- limiter la collecte aux données minimales réellement indispensables et pour une durée limitée ;
- permettre aux apprenants de demander la récupération et la destruction de ces données sensibles.
En revanche, assurez-vous de porter une attention particulière à l’utilisation des données à des fins commerciales. En effet, le RGPD a pour objectif de lutter contre les abus associés à cela. Dans le cas où vous souhaitez utiliser des données qui vous ont été confiées pour une formation à d’autres fins, assurez-vous de communiquer sur ces traitements de manière claire et d’obtenir le consentement des personnes concernées.
Comment votre organisme de formation peut-il se préparer pour être en conformité ?
Si votre centre de formation traite des données personnelles à grande échelle, il faut absolument que vous désigniez un délégué à la protection des données personnelles. La CNIL recommande de désigner en interne un responsable chargé de piloter la mise en conformité de vos activités.
Pensez à cartographier le traitement des données personnelles au sein de votre organisme de formation. Pour cela, posez-vous les questions suivantes :
- quelles sont les données que vous traitez ?
- qui s’occupe du traitement des données : les employés de votre OF, des sous-traitants, des services cloud ou des organisations externes ?
- à quoi sert la collecte et le traitement des données personnelles ?
- combien de temps allez-vous les conserver ?
- quelles mesures de sécurité avez-vous mises en place pour optimiser la protection des données ?
Vous devez ensuite définir les actions prioritaires en fonction du recensement détaillé. De ce fait, vous êtes en mesure de définir toutes les actions qu’il faut mettre en place. Dans le cas où vous souhaitez faire appel à des sous-traitants, vérifiez bien vos contrats tout en vous assurant que les professionnels connaissent parfaitement leurs obligations. C’est aussi l’occasion de définir et de mettre en place des mesures de sécurité supplémentaires.
Ensuite, il est temps d’identifier les risques pour pouvoir mettre en place les mesures de prévention et de protection les plus adaptées.
Vous devez aussi organiser vos processus en interne. Cela consiste à anticiper les failles au niveau de la sécurité et les violations de données personnelles. Dans cette étape, vous pouvez aussi mettre en place des procédures de traitement des réclamations.
Enfin, documentez vos processus. Notez que le RGPD oblige chaque OF à documenter leurs processus pour prouver sa conformité. Cette obligation comprend les éléments suivants :
- le registre obligatoire des traitements ;
- les contrats avec les sous-traitants ;
- l’encadrement des transferts hors du territoire de l’UE ;
- les procédures mises en place si jamais il y a violation des données.