Le RGPD (Règlement Général sur la Protection des Données) s’impose à tous les organismes traitant des données à caractère personnel. Pour les OPAC, ce traitement est quotidien : inscriptions, évaluations, traçabilité des parcours, preuves administratives… et tout cela implique de bien identifier les rôles et responsabilités de chaque acteur dans la chaîne.
1. Les prestataires externes : la sous-traitance par excellence
Cas typique : un formateur indépendant ou une société de portage.
- Rôle : le formateur agit généralement en sous-traitant, car il traite les données (nom, coordonnées, évaluation, progression…) pour le compte de l’organisme de formation.
- Obligations :
- Un contrat de sous-traitance RGPD doit être signé.
- Le sous-traitant s’engage à respecter les mesures de sécurité, de confidentialité et à ne pas utiliser les données pour son propre compte.
- Un contrat de sous-traitance RGPD doit être signé.
- Astuce : tout prestataire externe, y compris pour la paie, la maintenance informatique ou l’archivage numérique, doit être encadré contractuellement si des données personnelles sont traitées.
2. Les financeurs : souvent co-responsables du traitement
Exemples : OPCO, France Travail, Régions, Pôle emploi, CPF via la CDC.
- Rôle : la relation est souvent celle de co-traitance. Les deux entités (vous et le financeur) décident ensemble des finalités et des moyens du traitement (inscription, traçabilité, reporting…).
- Conséquence :
- Il faut documenter cette co-responsabilité (ex. : convention de co-traitance ou clause spécifique dans la convention de financement).
- Chacun doit informer les personnes concernées, assurer la sécurité des données et permettre l’exercice des droits (accès, rectification, etc.).
- Il faut documenter cette co-responsabilité (ex. : convention de co-traitance ou clause spécifique dans la convention de financement).
3. Les certificateurs : entre co-traitance et autonomie
Exemples : France Compétences, certificateurs privés, ministères certificateurs.
- Rôle : ça dépend du modèle :
- Si vous êtes organisme préparant à une certification enregistrée au RNCP ou RS, le certificateur est souvent responsable autonome de son traitement (ex. : traitement des dossiers de certification), et vous lui transmettez les données nécessaires.
- Parfois, une co-traitance est établie si la définition des moyens/finalités est partagée.
- Si vous êtes organisme préparant à une certification enregistrée au RNCP ou RS, le certificateur est souvent responsable autonome de son traitement (ex. : traitement des dossiers de certification), et vous lui transmettez les données nécessaires.
- À faire :
- Analyser les flux de données (quelles infos, pourquoi, à qui ?).
- Intégrer des clauses RGPD dans les conventions de partenariat/certification.
- Analyser les flux de données (quelles infos, pourquoi, à qui ?).
4. Les instances de contrôle : un traitement imposé par la loi
Acteurs : DREETS/DDEETS, DGEFP, France Compétences, Caisse des Dépôts, etc.
- Rôle : ces instances sont responsables de traitement indépendants. Vous leur transmettez des données dans le cadre d’une obligation légale ou réglementaire.
- Donc :
- Pas de contrat de sous-traitance ici, mais un fondement juridique clair (contrôle qualité, suivi des financements publics, etc.).
- Il faut cependant informer les personnes concernées que leurs données peuvent être transmises à des autorités de contrôle dans le cadre de la loi.
- Pas de contrat de sous-traitance ici, mais un fondement juridique clair (contrôle qualité, suivi des financements publics, etc.).
Résumé en tableau pour y voir clair :
| Acteur | Rôle RGPD probable | Exemple de formalisation |
| Formateur indépendant | Sous-traitant | Contrat de sous-traitance |
| Prestataire informatique | Sous-traitant | Contrat de prestations avec clauses RGPD |
| OPCO / CDC / Régions | Co-traitant | Convention de co-traitance ou clause spécifique |
| Certificateur RNCP/RS | Responsable ou co-traitant | Convention de partenariat avec mentions RGPD |
| DREETS / DGEFP / CDC | Responsable indépendant | Mention dans la politique de confidentialité |
Exemple de clause RGPD pour un contrat de sous-traitance
(à insérer dans un contrat entre un OPAC et un prestataire, ex. formateur indépendant ou prestataire technique)
Article X – Protection des données à caractère personnel
Dans le cadre du présent contrat, le Sous-traitant est amené à traiter, pour le compte de l’Organisme, des données à caractère personnel, au sens du Règlement Général sur la Protection des Données (UE) 2016/679 du 27 avril 2016 (« RGPD »).
À ce titre, le Sous-traitant s’engage à :
- N’agir que sur instruction documentée de l’Organisme concernant le traitement des données ;
- Garantir la confidentialité des données traitées, et veiller à ce que les personnes autorisées à les traiter soient soumises à une obligation de confidentialité ;
- Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité, la disponibilité, l’intégrité et la confidentialité des données ;
- Aider l’Organisme à satisfaire à son obligation de répondre aux demandes d’exercice des droits des personnes concernées ;
- Notifier toute violation de données à l’Organisme dans un délai de 24h après en avoir eu connaissance ;
- Ne pas recourir à un autre sous-traitant sans l’accord écrit préalable de l’Organisme ;
- Fournir à l’Organisme toute information nécessaire pour démontrer le respect des obligations RGPD, et se soumettre à tout audit ou contrôle réalisé par l’Organisme ou un auditeur mandaté ;
- Détruire ou restituer l’ensemble des données à l’issue de la prestation, sauf obligation légale contraire.
Exemple de clause RGPD pour une convention de co-traitance
(à insérer entre un OPAC et un financeur ou certificateur avec co-responsabilité du traitement)
Article X – Protection des données à caractère personnel
Les Parties reconnaissent leur statut de co-responsables du traitement des données à caractère personnel traitées dans le cadre de l’exécution de la présente convention, conformément à l’article 26 du Règlement Général sur la Protection des Données (UE) 2016/679.
Les Parties s’engagent à :
- Déterminer conjointement les finalités et les moyens essentiels du traitement (ex. : suivi de parcours, reporting, justification administrative) ;
- Informer de manière transparente les personnes concernées (apprenants, intervenants, etc.) de la co-responsabilité des Parties, des droits dont elles disposent et des modalités pour les exercer ;
- Mettre en œuvre des mesures de sécurité appropriées, chacune pour sa part, afin de garantir la confidentialité, l’intégrité et la disponibilité des données ;
- Se notifier mutuellement toute violation de données, sans délai excessif, et collaborer dans la gestion des incidents ;
- Documenter et actualiser cette répartition des responsabilités en annexe, avec un point de contact identifié pour chaque Partie ;
- Permettre à chacun d’exercer les droits des personnes concernées, en s’informant mutuellement des demandes reçues.
Et côté bonnes pratiques ?
- Tenir un registre des traitements (obligatoire dès lors que vous traitez des données de manière structurée).
- Sensibiliser vos équipes et sous-traitants aux règles de confidentialité.
- Mettre à jour vos mentions d’information et politiques de confidentialité.
- Documenter toutes les relations contractuelles où il y a un échange de données personnelles.
