Pourquoi le RGPD est un sujet structurant pour un OF
Un organisme de formation collecte, à chaque session, un volume de données personnelles bien plus important qu'il ne le réalise. Identité civile et professionnelle des stagiaires, données de contact, parcours antérieurs, résultats d'évaluation, productions pédagogiques, justificatifs de financement, parfois informations relatives à un handicap ou à un aménagement spécifique. Sur l'année, un OF de taille moyenne gère ainsi plusieurs centaines, voire plusieurs milliers de fiches stagiaires.
S'ajoutent les flux de sous-traitance : un LMS pour héberger les contenus, un outil d'émargement, un service de signature électronique, une plateforme de classe virtuelle, un logiciel de facturation, un CRM, parfois un outil d'emailing marketing. Chacun de ces prestataires reçoit, traite et stocke une partie des données pour le compte de l'OF — et chacun engage la responsabilité de l'organisme en cas de manquement.
La CNIL a, depuis 2023, intensifié ses contrôles dans le secteur de la formation professionnelle, en partie parce que la digitalisation accélérée post-Covid a multiplié les flux de données sans toujours s'accompagner d'une mise à jour de la conformité. Le sujet n'est plus théorique : il est désormais un point d'attention récurrent dans les audits Qualiopi (indicateur 23) et un facteur de différenciation dans les appels d'offres OPCO et grands comptes.
Qualiopi et RGPD : deux logiques qui se renforcent
Le référentiel Qualiopi exige de tracer et de documenter l'accompagnement individualisé de chaque stagiaire. Le RGPD impose de minimiser les données collectées, de limiter leur durée de conservation et de garantir leur sécurité. Les deux ne s'opposent pas : un système d'information bien pensé répond simultanément aux deux exigences, en distinguant les données nécessaires à la preuve Qualiopi (à conserver le temps légal) et les données pédagogiques (à archiver ou supprimer en fin de parcours).
Les 5 chantiers RGPD prioritaires d'un organisme de formation
La conformité RGPD ne se construit pas en un audit unique. Elle se déploie sur cinq chantiers distincts, qu'il est possible d'attaquer en parallèle ou en séquence selon les ressources disponibles. Aucun ne demande de compétences juridiques poussées : ce sont des chantiers de méthode et d'organisation, pas de droit.
Chantier 1 — Le registre des traitements
C'est la pierre angulaire de la conformité. Le registre des traitements est une cartographie écrite de toutes les finalités pour lesquelles l'OF traite des données personnelles. Pour un organisme de formation, on identifie typiquement six à dix traitements principaux : gestion des inscriptions et des conventions, suivi pédagogique, émargement et attestations, facturation et comptabilité, gestion des financements (OPCO, CPF, France Travail), prospection commerciale et marketing, gestion RH des formateurs, gestion du site web et des candidatures spontanées.
Pour chaque traitement, le registre décrit la finalité, la base légale (contrat, obligation légale, intérêt légitime, consentement), les catégories de personnes concernées, les catégories de données collectées, les destinataires internes et externes, les durées de conservation et les mesures de sécurité. Un modèle gratuit est mis à disposition par la CNIL et peut être adapté aux spécificités d'un OF en quelques heures.
Chantier 2 — Les contrats de sous-traitance
Tout prestataire qui traite des données pour le compte de l'organisme est sous-traitant au sens de l'article 28 du RGPD. Cela inclut le LMS, l'outil d'émargement, la plateforme de signature électronique, l'outil de classe virtuelle, l'hébergeur, le CRM, le service de paie des formateurs externes. Pour chacun, l'OF doit disposer d'un contrat ou d'un avenant — souvent appelé DPA (Data Processing Agreement) — qui précise la nature du traitement confié, les catégories de données concernées, la durée, les sous-traitants ultérieurs autorisés et les mesures de sécurité.
La pratique la plus efficace consiste à demander, au moment du choix d'un prestataire, le DPA standard et la liste des sous-traitants ultérieurs. Un éditeur sérieux fournit ces documents en moins de 48 heures. Un éditeur qui ne sait pas ce qu'est un DPA ou qui héberge ses données hors Union européenne sans encadrement contractuel adéquat doit être considéré avec prudence. La localisation des serveurs en France simplifie sensiblement cette analyse, en évitant les questions liées aux transferts internationaux de données.
Chantier 3 — L'information des stagiaires
Le RGPD impose une information claire, lisible et accessible des personnes dont les données sont collectées. Pour un OF, cette information se matérialise en trois endroits : la convention de formation (ou le contrat pour les particuliers), le livret d'accueil du stagiaire, et la politique de confidentialité du site web. Les trois doivent dire la même chose, dans des termes compréhensibles : qui collecte les données, pour quoi, pendant combien de temps, qui y a accès, et comment exercer ses droits.
L'information ne se limite pas à une mention administrative en bas de convention. Elle doit être active : un livret d'accueil bien construit comporte une page dédiée, intitulée par exemple « vos données personnelles », qui présente en quelques paragraphes les traitements, les durées de conservation et l'adresse de contact pour exercer ses droits. Cette page sert également de preuve d'information en cas de contrôle.
Chantier 4 — Sécurité et durées de conservation
La sécurité des données est l'obligation la plus opérationnelle du RGPD. Concrètement, elle se traduit par des règles d'accès (qui voit quoi), des règles d'authentification (mot de passe robuste, double authentification pour les comptes administrateurs), des sauvegardes régulières et testées, et un journal des accès qui permet de détecter et de tracer les incidents.
Les durées de conservation, elles, doivent être différenciées par catégorie de données. Les pièces comptables et les conventions sont conservées 10 ans au titre du Code de commerce. Les feuilles d'émargement et les éléments de réalisation sont conservés au minimum 4 ans pour le contrôle administratif. Les données pédagogiques actives (résultats d'évaluation, productions) sont conservées le temps du parcours, puis archivées ou supprimées. Les données de prospection sont conservées trois ans après le dernier contact. Au-delà de ces durées, les données ne doivent pas rester accessibles en base active : elles doivent être archivées en accès restreint, ou supprimées.
Chantier 5 — Les droits des personnes
Toute personne dont les données sont traitées dispose de droits : accès, rectification, effacement (sous réserve des durées légales de conservation), opposition, portabilité, limitation du traitement. L'OF doit être en mesure de répondre à une demande dans un délai d'un mois. En pratique, cela suppose une procédure interne claire : qui reçoit la demande, qui la qualifie, qui la traite, qui répond.
Le droit à l'effacement, en particulier, demande de la rigueur. Une demande de suppression formulée par un ancien stagiaire ne peut généralement pas être satisfaite tant que les obligations légales de conservation courent (10 ans pour les conventions, 4 ans pour les éléments de réalisation). La réponse correcte consiste à expliquer pourquoi les données ne peuvent pas être supprimées immédiatement, à préciser la date à laquelle elles le seront, et à supprimer dès maintenant tout ce qui n'est pas couvert par une obligation légale (par exemple les données marketing).
Pas de registre des traitements. Aucun DPA signé avec le LMS ni les outils tiers. Mention RGPD vague en bas de convention. Données stagiaires conservées indéfiniment. Aucune procédure pour traiter une demande d'exercice de droits. Risque : sanction CNIL, non-conformité Qualiopi indicateur 23.
Registre tenu à jour. DPA collectés et archivés pour chaque sous-traitant. Information stagiaire structurée dans la convention et le livret d'accueil. Durées de conservation paramétrées dans le système. Procédure documentée pour les droits des personnes. Conformité Qualiopi facilitée et confiance renforcée auprès des financeurs.
Les erreurs RGPD les plus fréquentes en OF
L'expérience montre que les écarts RGPD observés en organisme de formation se concentrent sur quelques angles morts récurrents — généralement faciles à corriger une fois identifiés.
- Conserver les CV et lettres de motivation indéfiniment — les candidatures spontanées et les pré-inscriptions non concrétisées doivent être supprimées sous deux ans maximum, sauf consentement explicite à la conservation
- Utiliser les emails des anciens stagiaires pour de la prospection sans consentement explicite — la base légale du contrat de formation ne couvre pas la prospection commerciale ultérieure sur d'autres formations
- Exporter les listes de stagiaires en local sans contrôle d'accès — un export Excel envoyé par email, dupliqué sur trois ordinateurs portables non chiffrés, est une faille de sécurité directe
- Ne pas chiffrer les justificatifs sensibles — pièces d'identité, RIB, justificatifs de handicap doivent faire l'objet d'un stockage à accès restreint et chiffré au repos
- Confondre cookies analytiques et cookies de mesure d'audience exemptés — la mesure d'audience peut être exemptée de consentement si elle respecte les conditions CNIL ; un déploiement de Google Analytics standard ne l'est généralement pas
Articulation avec Qualiopi V10 et l'audit 2026
L'indicateur 23 du référentiel Qualiopi V10 demande à l'organisme de respecter les obligations légales et réglementaires applicables — ce qui inclut explicitement le RGPD. En audit, ce n'est pas le contenu juridique du registre qui est évalué, mais sa simple existence et sa cohérence avec les pratiques observées. Un OF qui présente un registre formellement complet mais qui, dans les faits, conserve des données depuis sept ans sans procédure d'archivage, sera flagué.
Inversement, un OF qui dispose d'un registre simple mais à jour, de DPA archivés pour ses principaux sous-traitants, et d'une procédure d'exercice des droits documentée, traverse l'indicateur 23 sans difficulté. Pour structurer cette préparation au-delà de l'aspect RGPD, consultez notre guide dédié à la préparation d'un audit Qualiopi 2026.
Le bon réflexe : commencer par cartographier
Avant de signer des DPA en série ou de réécrire la politique de confidentialité, prenez 90 minutes pour lister, en équipe, l'ensemble des outils et des fichiers où sont stockées des données personnelles. Cette cartographie est la base de tous les chantiers suivants. Elle révèle systématiquement deux ou trois traitements oubliés — souvent dans des feuilles de calcul partagées ou des outils marketing déployés en autonomie par un commercial.
Comment CentreOF accompagne la conformité RGPD
CentreOF a été conçue pour qu'un organisme de formation puisse répondre à ses obligations RGPD sans empiler les outils ni les responsabilités. Quatre éléments structurants sont intégrés à la plateforme.
Hébergement en France et DPA standard fourni
Toutes les données traitées par CentreOF sont hébergées sur des serveurs situés en France. Un Data Processing Agreement standard est annexé au contrat de service, sans surcoût, et la liste des sous-traitants ultérieurs (hébergeur, outils techniques) est publique et tenue à jour. Cette transparence simplifie la chaîne de conformité de l'OF utilisateur : il sait précisément à quoi s'engager et quoi documenter.
Registre des traitements pré-rempli
Pour les finalités classiques d'un OF (gestion des inscriptions, suivi pédagogique, facturation, financements, marketing, RH formateurs), CentreOF fournit un modèle de registre pré-rempli, à compléter et personnaliser. L'OF économise plusieurs jours de travail et démarre sa conformité avec une base solide.
Durées de conservation paramétrées par catégorie
Les données stagiaires sont catégorisées dès la collecte (identité, parcours, financements, pédagogique, marketing) et chaque catégorie est associée à une durée de conservation paramétrable, alignée par défaut sur les obligations légales. Les passages en archivage et les suppressions s'exécutent automatiquement, avec un journal traçable.
Mentions d'information intégrées aux documents
Les conventions de formation, livrets d'accueil et politiques de confidentialité générés par CentreOF intègrent par défaut les mentions d'information RGPD à jour, qui peuvent être adaptées par l'OF. Cela garantit une cohérence entre les documents contractuels remis aux stagiaires et la réalité des traitements opérés. Pour comprendre comment cette intégration s'inscrit dans une plateforme unique, voyez notre comparatif sur le choix d'un LMS pour organisme de formation.
Questions fréquentes
RGPD pour OF — vos questions
La désignation d'un délégué à la protection des données n'est obligatoire pour un OF que dans certains cas (traitement à grande échelle de données sensibles, suivi systématique, organisme public). La plupart des OF de moins de 50 personnes ne sont pas tenus de désigner un DPO formel, mais la CNIL recommande d'identifier en interne une personne référente RGPD.
Les pièces comptables et conventions : 10 ans (Code de commerce). Les feuilles d'émargement et éléments de réalisation : 4 ans minimum. Les données pédagogiques : le temps du parcours, puis archivage ou suppression. Les données de prospection : 3 ans après le dernier contact.
Le référentiel Qualiopi exige des preuves de traçabilité du parcours de chaque stagiaire (logique d'archivage probatoire). Le RGPD exige un registre des traitements qui décrit, pour chaque finalité, les données collectées, les destinataires, les durées et les mesures de sécurité (logique de cartographie). Les deux documents sont complémentaires.
Oui, c'est une obligation de l'article 28 du RGPD. Tout prestataire qui traite des données pour le compte de l'OF est sous-traitant et doit être encadré par un contrat précisant la nature du traitement, les catégories de données, la durée et les mesures de sécurité.
CentreOF est hébergé en France, fournit un DPA standard intégré au contrat, propose un registre des traitements pré-rempli, gère automatiquement les durées de conservation différenciées et trace les demandes d'exercice de droits. Les mentions d'information sont intégrées aux conventions et livrets d'accueil générés.