RGPD : les nouveaux enjeux de la protection des données pour la formation professionnelle

11 Jan 2018 | Règles et obligations | 0 commentaires

Le 13 décembre dernier, le conseil des ministres a adopté le « Projet de loi relatif à la protection des données personnelles », confirmant l’entrée en vigueur du nouveau RGPD en mai 2018. Les entreprises devront avoir, d’ici là, mis à jour leur gestion des données utilisateurs. Les organismes de formation sont évidemment concernés, comme le sont les éditeurs de logiciels et, plus largement, l’ensemble des acteurs de la formation professionnelle. Panoramique des enjeux et impacts du nouveau règlement.

Le RGPD, règlement général de l’Union européenne sur la protection des données, entrera en application dans les pays membres de l’Union européenne le 25 mai 2018. Objectif de ce nouveau règlement : renforcer le cadre de la protection des données au sein des entreprises et des organisations et, à terme, mieux protéger les particuliers.

Le nouveau RGPD, un challenge pour les éditeurs et acteurs du digital learning

Le monde de la formation est concerné à plusieurs titres par l’entrée en vigueur du nouveau RGPD. En effet, si l’on s’en tient à ce que dit la loi, est considérée comme donnée personnelle une donnée dont l’analyse permet d’identifier un individu. Des informations comme le prénom, le nom, un e-mail, une photo ou d’autres données de connexion en font évidemment partie.

Dès lors, les éditeurs de logiciels et autres acteurs du digital learning sont les premiers impactés. À titre d’exemple, les logiciels de Learning Management Systems (LMS) stockent un volume élevé de données individuelles : un LMS collecte ainsi le nom et le prénom des apprenants, ses heures de connexion, le temps passé à la formation, le terminal utilisé… Mais aussi, avec les « learning analytics » (ou traces d’apprentissage), le type de ressources pédagogiques utilisées, la validation de connaissances, le nombre de tentatives à des quizz, etc.

Les DRH et responsables formation, dans un souci légitime de conformité vis-à-vis des salariés, vont exiger que figurent dans leurs contrats avec leurs prestataires des clauses pour encadrer l’analyse et l’exploitation des données et garantir le respect des règles de sécurité et confidentialité. Il faudra donc aux éditeurs cartographier les données recueillies, identifier les risques en matière de protection et définir des process rigoureux de reporting sur cette question.

Besoin de simplifier la recherche de vos prestataires de formations ?

La mise en conformité des organismes de formation

Comme toute entreprise, les organismes de formation sont eux aussi amenés à collecter des données à caractère personnel dans leur activité. Il leur faut bien intégrer que Les obligations du nouveau RGPD concernent également les sous-traitants, c’est-à-dire tout organisme qui traite des données personnelles dans le cadre d’un service ou d’une prestation.

La responsabilité ne relève pas de la seule entreprise commanditaire d’une formation, mais bien de l’organisme prestataire.

Pour être en conformité, les organismes de formation devront tenir un registre des données collectées mentionnant le but de la collecte et la durée d’exploitation prévue. Il leur faudra également instaurer des procédures en interne pour gérer les réclamations, demandes de modification ou de suppression des données, notifications en cas de fuite de données, etc. Par ailleurs, le règlement européen oblige les organismes à documenter leurs processus pour prouver leur conformité. Cette obligation comprend notamment le registre obligatoire des traitements, les contrats avec les sous-traitants, l’encadrement des éventuels transferts hors de l’Union européenne, sans oublier les procédures enclenchées en cas de violation des données.

Au-delà de l’identification des risques liés au traitement des données et de la gestion de ces risques, il leur faudra aussi assurer la traçabilité des mesures de prévention.

On relèvera aussi que, pour tout organisme traitant des données sensibles à grande échelle, il est obligatoire de désigner un délégué à la protection des données personnelles. Certes, données personnelles et données sensibles recouvrent des notions différentes, et un organisme de formation peut ne pas se sentir concerné par ce point. La CNIL recommande cependant à toute organisation de désigner en interne une personne chargée de piloter la mise en conformité de ses activités.

Au 25 mai 2018, les entreprises n’étant pas en conformité avec le RGPD s’exposeront à de lourdes sanctions. Les prestataires ont tout intérêt à consulter le guide des sous-traitants mis à leur disposition par la CNIL, qui les aidera dans la mise en œuvre concrète de leurs obligations. Une question demeure avec l’entrée du nouveau RGPD : l’innovation pédagogique, foisonnante depuis l’arrivée du digital dans la formation professionnelle, pourrait-elle connaître un coup d’arrêt ? Seule une forte implication des prestataires de formation – notamment des éditeurs – dans le respect des recommandations de la CNIL leur permettra d’intégrer la protection des données personnelles à leur réflexion dès la conception de leurs nouveaux produits ou services ; et ainsi de continuer à inventer des dispositifs toujours plus personnalisés.