Edusign
Glossaire

RGPD : définition, principes clés et obligations pour les organismes de formation

L'équipe Edusign · 10 mars 2026 · 7 min
En bref : Le RGPD (Règlement Général sur la Protection des Données) est le cadre juridique européen qui encadre le traitement des données personnelles. Pour les responsables d'organismes de formation, les directeurs d'école et les responsables scolarité, il impose des obligations concrètes sur la collecte, la conservation et la sécurité des données de leurs apprenants : noms, présences, évaluations, coordonnées. Le non-respect expose à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Qu'est-ce que le RGPD ?

Le RGPD, ou Règlement Général sur la Protection des Données (en anglais GDPR, General Data Protection Regulation), est un règlement européen entré en vigueur le 25 mai 2018. Il remplace la directive de 1995 sur la protection des données et harmonise les législations de tous les États membres de l'Union européenne en matière de traitement des données personnelles.

Une donnée personnelle est toute information qui permet d'identifier directement ou indirectement une personne physique : nom, prénom, adresse email, numéro d'identification, données biométriques, ou même le croisement de plusieurs éléments qui, pris ensemble, permettent l'identification. Cela inclut aussi bien les fichiers numériques que les archives papier.

Le RGPD s'applique à toute organisation, quelle que soit sa taille ou son pays d'implantation, dès lors qu'elle traite des données de résidents européens. Pour les organismes de formation, les CFA, les universités et les services formation en entreprise, cela signifie que l'ensemble des données relatives aux apprenants, stagiaires, collaborateurs et formateurs est soumis à ce règlement.

Les principes clés du RGPD

Le RGPD repose sur sept principes fondamentaux qui guident le traitement des données personnelles :

  • Licéité, loyauté et transparence. Les données ne peuvent être collectées que sur une base légale (consentement, contrat, obligation légale, intérêt légitime) et les personnes concernées doivent être informées de la façon dont leurs données sont utilisées.
  • Limitation des finalités. Les données collectées pour un objectif précis ne peuvent pas être réutilisées pour d'autres finalités incompatibles.
  • Minimisation des données. Seules les données strictement nécessaires à la finalité peuvent être collectées. Un OF n'a pas à demander la date de naissance d'un stagiaire si elle n'est pas utile à la formation.
  • Exactitude. Les données doivent être tenues à jour et les inexactitudes corrigées sans délai.
  • Limitation de la conservation. Les données ne peuvent être conservées que le temps nécessaire à la finalité pour laquelle elles ont été collectées. En formation professionnelle, les durées de conservation sont encadrées par des textes spécifiques.
  • Intégrité et confidentialité. Les données doivent être protégées contre les accès non autorisés, les pertes et les destructions accidentelles.
  • Responsabilité (accountability). L'organisme doit être en mesure de démontrer à tout moment sa conformité au RGPD.

Obligations concrètes pour les organismes de formation

Pour un responsable d'organisme de formation, le RGPD se traduit par des obligations opérationnelles précises :

  • Tenir un registre des activités de traitement. Chaque traitement de données personnelles (gestion des inscriptions, suivi des présences, envoi de communications, archivage des évaluations) doit être documenté dans un registre tenu à jour.
  • Informer les apprenants. Lors de toute collecte de données, les apprenants et stagiaires doivent être informés de la finalité du traitement, de la durée de conservation et de leurs droits (accès, rectification, effacement, portabilité, opposition).
  • Obtenir un consentement valide. Lorsque le traitement repose sur le consentement, celui-ci doit être libre, spécifique, éclairé et univoque. Un case pré-cochée n'est pas un consentement valide au sens du RGPD.
  • Sécuriser les données. Des mesures techniques et organisationnelles appropriées doivent être mises en place : chiffrement, contrôle d'accès, sauvegardes régulières, gestion des habilitations.
  • Gérer les sous-traitants. Tout prestataire qui traite des données pour le compte de l'OF (hébergeur, logiciel de gestion, outil d'émargement) doit avoir signé un contrat de sous-traitance conforme au RGPD.
  • Notifier les violations de données. En cas de fuite ou d'accès non autorisé, l'OF doit notifier la CNIL dans les 72 heures et informer les personnes concernées si le risque est élevé.

Sanctions et risques pour les non-conformes

Le RGPD n'est pas une contrainte purement théorique. La Commission nationale de l'informatique et des libertés (CNIL) en France dispose de pouvoirs de contrôle et de sanction étendus.

Deux niveaux d'amendes sont prévus :

  • Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les manquements aux obligations de base (registre, délégué à la protection des données, sécurité des traitements).
  • Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les violations des droits fondamentaux des personnes concernées (absence de consentement, non-respect du droit à l'effacement, transferts illicites de données hors UE).

Au-delà des amendes, la CNIL peut imposer des mesures correctives comme la limitation ou la suspension du traitement de données, ce qui peut paralyser l'activité d'un OF dont les processus clés reposent sur des outils numériques non conformes.

RGPD et données des apprenants

Les apprenants, stagiaires et étudiants constituent la population la plus sensible pour les organismes de formation au regard du RGPD. Leurs données sont multiples : identité, coordonnées, suivi des présences, résultats aux évaluations, données de santé dans certains contextes, informations sur le financement de la formation.

Trois points d'attention particuliers pour les responsables formation :

  • Durée de conservation des données. Les documents de formation (feuilles d'émargement, évaluations, conventions) doivent être conservés pendant une durée qui varie selon leur nature. Les documents nécessaires aux contrôles financeurs sont généralement conservés 5 ans. Les données de connexion à des outils numériques ne dépassent pas 12 mois en règle générale.
  • Données des apprenants mineurs. Lorsque des mineurs de moins de 15 ans sont concernés, le consentement parental est obligatoire pour tout traitement de données non strictement nécessaire à l'exécution de la formation.
  • Hébergement des données. Pour les organismes certifiés Qualiopi ou traçant leurs activités dans un outil numérique, l'hébergement des données en Europe (ou avec garanties équivalentes) est fortement recommandé pour limiter le risque de transferts illicites hors UE.

Comment Edusign garantit la conformité RGPD

Edusign a été conçu avec la conformité RGPD comme contrainte de conception, pas comme un ajout a posteriori. Concrètement, cela se traduit par plusieurs garanties :

  • Hébergement en Europe. Toutes les données sont hébergées sur des infrastructures certifiées ISO 27001, sur le territoire européen, sans transfert vers des pays tiers non adéquats.
  • Chiffrement des données. Les données sont chiffrées en transit (TLS) et au repos, limitant le risque d'accès non autorisé en cas de violation.
  • Contrat de sous-traitance conforme. Edusign signe avec chaque client un contrat de sous-traitance (DPA, Data Processing Agreement) décrivant précisément les traitements réalisés et les garanties apportées, conforme à l'article 28 du RGPD.
  • Émargement digital : les feuilles de présence électroniques sont horodatées et archivées de manière conforme, avec une durée de conservation paramétrable selon les obligations réglementaires de chaque OF.
  • Signature électronique conforme eIDAS : les conventions de formation et documents contractuels signés via Edusign disposent d'une valeur probante reconnue, sans nécessiter de stocker des copies papier.

Pour les directeurs d'OF, les responsables scolarité et les DPO (délégués à la protection des données) qui cherchent à simplifier leur conformité RGPD tout en maintenant la traçabilité exigée par leurs financeurs, Edusign offre une solution clé en main qui réduit le risque réglementaire sans alourdir le quotidien des équipes.

Questions fréquentes sur le RGPD

La loi Informatique et Libertés, adoptée en France en 1978, a été la première loi au monde à encadrer le traitement des données personnelles. Elle s'appliquait uniquement en France. Le RGPD, entré en vigueur en mai 2018, est un règlement européen directement applicable dans tous les États membres, sans transposition nécessaire. La loi Informatique et Libertés a été mise à jour en 2018 pour s'articuler avec le RGPD, en traitant les marges de manoeuvre laissées aux États membres (comme les conditions spécifiques pour les mineurs). En pratique, les organismes français doivent se conformer au RGPD, complété par les dispositions nationales résiduelles de la loi Informatique et Libertés.

La nomination d'un délégué à la protection des données (DPO) est obligatoire pour les organismes qui traitent à grande échelle des données sensibles ou qui réalisent un suivi systématique et à grande échelle de personnes. Pour la plupart des organismes de formation de taille modeste, la nomination d'un DPO n'est pas légalement obligatoire. Elle est cependant fortement recommandée dès lors que l'organisme gère les données de centaines d'apprenants, utilise des outils de suivi numérique (LMS, émargement digital) ou traite des données sensibles (santé, situation de handicap). Même sans obligation légale, désigner un référent RGPD interne est une bonne pratique qui facilite la gestion des incidents.

La durée de conservation dépend de la nature des données et de leur finalité. Pour les données relatives à la formation professionnelle, les principales durées sont : les conventions et contrats de formation doivent être conservés 5 ans après la fin de la formation pour répondre aux contrôles des financeurs. Les feuilles d'émargement et attestations de présence sont généralement conservées 5 ans. Les données de candidature non retenues ne devraient pas être conservées plus de 2 ans. Les données de connexion aux outils numériques ne dépassent pas 12 mois. Au-delà de ces durées, les données doivent être supprimées ou anonymisées. Il est recommandé de formaliser ces durées dans le registre des activités de traitement.

En cas de violation de données (accès non autorisé, perte, destruction ou divulgation accidentelle), l'organisme de formation dispose de 72 heures pour notifier la CNIL via le portail notifications.cnil.fr. Cette notification doit décrire la nature de la violation, les catégories et le nombre de personnes concernées, les conséquences probables et les mesures prises. Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, ces dernières doivent également être informées dans les meilleurs délais. Une bonne organisation préalable (registre des traitements, procédures d'urgence, contacts CNIL identifiés) permet de réduire considérablement le temps de réaction.

Oui, avec des règles spécifiques. Pour les mineurs de moins de 15 ans, le consentement d'un parent ou tuteur légal est requis pour tout traitement de données personnelles qui repose sur la base légale du consentement. Au-delà de 15 ans, le mineur peut consentir lui-même dans la plupart des cas. Pour les organismes de formation accueillant des mineurs (lycées professionnels, CFA, formations certifiantes pour jeunes), il est impératif d'intégrer ce point dans les formulaires d'inscription et de s'assurer que les outils numériques utilisés (LMS, émargement) traitent les données des mineurs de façon conforme et sécurisée.

Prêt à simplifier votre gestion ?

Essai gratuit