Avec la digitalisation, les échanges numériques se multiplient et les données enregistrées s’accumulent : les structures de formation n’y échappent pas. Pour garantir à chaque citoyen de faire valoir ses droits, un nouveau Règlement général sur la protection des données (RGPD) va entrer en vigueur le 25 mai 2018 (1). Son but : harmoniser l’ensemble des lois pour les membres de l’Union Européenne. Comme de nombreuses organisations, les structures de formation devront faire preuve de vigilance dans la manipulation des données personnelles.

Ce qui se cache derrière le Règlement général sur la protection des données

L’objectif de la nouvelle réglementation sur la protection des données est simple : protéger l’ensemble des citoyens de l’Union Européenne en matière de données personnelles. Pour cela, le texte va garantir les droits des personnes physiques, responsabiliser les entreprises qui stockent des données personnelles et crédibiliser la régulation en renforçant la coopération entre les autorités.

Le RGPD va par exemple permettre le droit à l’oubli, qui concerne notamment des sociétés comme Facebook ou Google : dans certains cas, il sera possible de demander l’effacement de ses données personnelles.

Les structures concernées par la nouvelle réglementation

Si le RGPD vise à mettre au pas certaines sociétés venues d’Outre-Atlantique, il s’adresse aussi à l’ensemble des organismes qui collectent des données personnelles. Car aujourd’hui, fini les listes d’informations écrites à la main et les envois de courriers postaux ! Comme de nombreuses sociétés, les structures de formation traitent et gèrent des données numériques.

    • Avant même d’être accepté dans un établissement, un jeune partage certaines informations en envoyant sa candidature en ligne : nom, prénom, numéro de téléphone, etc.
    • Quand les jeunes alternants doivent trouver une entreprise, il est parfois nécessaire de transmettre des données aux entreprises potentiellement intéressées.
  • Certains établissements qui proposent des formations à distance (e-learning, MOOCs, etc.) doivent stocker les informations de chaque élève inscrit.

En tant que structure de formation en contact avec des jeunes et des entreprises, il est donc difficile d’échapper à cette nouvelle réglementation. Avec toutes les données que cela représente, les dangers potentiels – comme les attaques pirates, qui touchent de nombreux CFA (2) – sont réels.

Comment appliquer ces directives à sa structure de formation ?

Afin de ne pas être hors-la-loi et de respecter le Règlement général sur la protection des données, toute structure de formation va devoir changer ses habitudes pour continuer à traiter certaines données personnelles.

    • Les structures publiques auront pour obligation de nommer un délégué à la protection des données. Il sera chargé de s’assurer que l’organisme est bien en conformité avec la réglementation, en cartographiant les risques et en apportant des solutions. Ce délégué devra également conseiller l’ensemble des employés et faire le lien avec la CNIL. Il doit faire preuve de pédagogie, de clairvoyance et, surtout, maîtriser la législation sur le bout des doigts !
    • Afin de limiter les risques, la protection de la vie privée ne sera plus une option. Le RGPD s’inspire d’une pratique venue des États-Unis appelée « privacy by design » : les organisations devront intégrer la protection des données dès la conception des systèmes informatiques.
    • Un certain nombre d’outils de conformité devront également être mis en place : pour notifier les failles de sécurité, adhérer à certains codes de conduites, minimiser la collecte des données et limiter leur conservation. Par exemple, les CV des jeunes qui abandonnent leur formation devront être détruits au bout de 6 mois.
    • Si une violation de données à caractère personnel est constatée, elle devra impérativement être notifiée dans les 72 heures à la CNIL.
  • La législation est plus exigeante concernant les mineurs de moins de 16 ans : les informations devront être rédigées de façon à être intelligibles et le consentement du titulaire de l’autorité parentale sera obligatoire.

Les risques en cas de défaillance

Aujourd’hui, il est encore temps d’anticiper pour se mettre en règle. À partir de la date fatidique du 25 mai 2018, les structures de formation qui ne respecteront pas le Règlement général sur la protection des données personnelles seront exposées à un avertissement (dans le meilleur des cas) ou à une amende pouvant atteindre 20 millions d’euros (dans le pire des cas). Mais avant d’en arriver à des sanctions aussi extrêmes, la CNIL pourra mettre en demeure l’organisation, suspendre les flux de données ou ordonner leur effacement.

Afin d’éviter toute déconvenue, mieux vaut donc se préparer dès maintenant au nouveau Règlement général sur la protection des données : choisissez un délégué, recensez vos traitements de données personnelles, répertoriez les failles et identifiez les actions à mener pour être en règle le jour J. En cas de doute, rendez-vous sur le site de la CNIL pour obtenir de précieux renseignements !

(1) CNIL, Règlement européen sur la protection des données : ce qui change pour les professionnels
(2) La Depeche, Piratage du CFA-BTP

Crédit photo : Freepik / mrsiraphol