RGPD et organisme de formation : guide complet de mise en conformité
Pourquoi le RGPD concerne les organismes de formation
Le RGPD s'applique à tout organisme collectant des données personnelles. Les organismes de formation manipulent quotidiennement des informations sensibles : coordonnées des stagiaires, résultats d'évaluations, parcours professionnels et données de financement.
La non-conformité peut entraîner des sanctions allant jusqu'à 4% du chiffre d'affaires annuel. La certification Qualiopi exige le respect du RGPD.
📋 Besoin des documents Qualiopi ?
170 modèles professionnels prêts à personnaliser, conformes au RNQ 2026.
Quelles données collecte un organisme de formation
Données d'identification : nom, prénom, date de naissance, adresse, email, téléphone.
Données professionnelles : poste, entreprise, parcours, diplômes, compétences évaluées.
Données financières : numéro CPF, identifiants OPCO, montants de prise en charge.
Données sensibles : situation de handicap, difficultés d'apprentissage, aménagements spécifiques. Le principe de minimisation impose de ne collecter que les données strictement nécessaires.
Créer le registre des traitements
Le registre est la pierre angulaire de votre conformité. Pour chaque traitement, documentez : la finalité, les catégories de données, les personnes concernées, les destinataires, les durées de conservation et les mesures de sécurité.
Traitements typiques : gestion des inscriptions, suivi pédagogique, émission de certificats, facturation, prospection commerciale, gestion du site web et cookies. Le registre doit être tenu à jour et disponible pour la CNIL sur demande.
Gérer les droits des stagiaires
Droit d'accès : consultation de toutes les données dans un délai d'un mois. Droit de rectification : correction de données inexactes. Droit à l'effacement : suppression sauf obligations légales (certificats 5 ans, comptabilité 10 ans). Droit à la portabilité : export CSV/JSON. Droit d'opposition : particulièrement pour la prospection commerciale.
Sécuriser les données de votre organisme
Mesures techniques : chiffrement, authentification deux facteurs, mises à jour régulières, sauvegardes testées, certificat SSL.
Mesures organisationnelles : politique d'accès, formation des collaborateurs, procédure de violation (notification CNIL sous 72h), clauses de confidentialité. Vérifiez la conformité de vos sous-traitants (LMS, CRM, visioconférence).
RGPD et Qualiopi : les convergences
L'indicateur 32 du RNQ exige la transparence sur l'utilisation des données. L'indicateur 17 implique la conformité des outils numériques. L'indicateur 26 couvre la veille RGPD. Un organisme certifié Qualiopi non conforme au RGPD s'expose à un risque lors de l'audit de surveillance.
Questions fréquentes
Un organisme de formation doit-il nommer un DPO ?
La désignation n'est pas obligatoire pour tous. Elle le devient si vous traitez des données à grande échelle. Il est recommandé de désigner un référent RGPD interne.
Combien de temps conserver les données des stagiaires ?
Certificats : 5 ans. Documents comptables : 10 ans. Prospection : 3 ans après dernier contact. Suivi pédagogique : durée contractuelle plus 3 ans.
Le RGPD s'applique-t-il aux formations en présentiel ?
Oui, dès que vous collectez des données personnelles, quel que soit le format de la formation.
Simplifiez votre démarche Qualiopi
Découvrez notre kit de documents prêts à l'emploi pour réussir votre certification.
Découvrir le kit QualioDocs