La mise en conformité RGPD des organismes prestataires d’actions concourant au développement des compétences (OPAC) ne se limite pas aux déclarations formelles : elle implique une compréhension fine des flux de données, des outils numériques utilisés, des sous-traitants impliqués et des interactions entre systèmes. Ce guide vise à accompagner les OPAC dans l’analyse, la formalisation et la documentation des traitements, notamment ceux automatisés entre logiciels, plateformes ou prestataires.
1. Fondamentaux du RGPD dans le contexte d’un OPAC
1.1. Définir les rôles : responsable de traitement, sous-traitant, co-traitant
- Responsable de traitement : l’organisme qui détermine les finalités et les moyens du traitement.
- Sous-traitant : agit pour le compte du responsable, sur ses instructions.
- Co-traitants : déterminent conjointement les finalités et moyens.
1.2. Typologie des tiers traitant des données dans un OPAC
- Prestataires externes (formateurs, développeurs, hébergeurs) : généralement sous-traitants.
- Financeurs (OPCO, CDC, Régions, Pôle emploi) : souvent co-traitants.
- Certificateurs (titres RNCP, certifications RS) : co-traitants ou responsables indépendants.
- Instances de contrôle (DREETS, DGEFP, France Compétences) : responsables de traitement indépendants.
Pour plus d’information, voir l’article La sous-traitance dans la formation professionnelle : cadre légal, qualité et conformité des données
2. Les traitements spécifiques et leur inscription au registre RGPD
Pour chaque traitement, les éléments suivants doivent être précisés :
- Finalité
- Base légale
- Données concernées
- Personnes concernées
- Outils utilisés
- Sous-traitants
- Mesures de sécurité
- Transfert hors UE
2.1. Exemples de traitements typiques
Animation pédagogique
- Formateurs externes : sous-traitants
- Outils : Digiforma, Zoom, Moodle
- Données : prénom, nom, téléphone, mail, session, présence, évaluation
Gestion administrative et comptable
- ERP, logiciels comptables, CRM
- Automatisations via Zapier, Make ou APIs internes
Certification et titres professionnels
- Dossier professionnel, résultats, échanges avec certificateur RNCP ou RS
- Transfert ou co-traitance selon convention
Prospection / Inbound marketing
- Formulaires Meta/Google/LinkedIn
- Plateformes : MaFormation.fr, Topformation.com
3. Gestion des outils numériques dans le registre
Tous les outils utilisés doivent apparaître dans le registre, non pas comme finalités mais comme modalités techniques d’un traitement existant.
3.1. Outils concernés
- Site Web institutionnel (WordPress, formulaire)
- ERP / CRM / LMS (Digiforma, Dendreo, Moodle…)
- Visio (Zoom, Teams, Meet)
- Plateformes d’interactivité (Genially, Wooclap)
- Hébergement et maintenance (infogérance serveur)
- Messageries (Discord, WhatsApp, Noisy)
3.2. Exemple de fiche registre enrichie
| Élément | Contenu |
| Nom du traitement | Gestion des parcours de formation via plateforme LMS interconnectée à l’ERP |
| Finalité | Suivi pédagogique, administratif et financier des apprenants |
| Base légale | Contrat, obligation légale, intérêt légitime |
| Catégories de personnes | Apprenants, formateurs, personnel administratif |
| Catégories de données | Identité, coordonnées, données de formation, connexions, résultats, paiements |
| Durée de conservation | 6 à 10 ans selon obligations légales |
| Outils utilisés | Moodle, Digiforma, Stripe, Zapier, logiciel de compta |
| Sous-traitants | Prestataire LMS, éditeur ERP, hébergeur, Stripe |
| Interconnexions | Zapier (Digiforma > Stripe), API (LMS > ERP), webhook (site Web > CRM) |
| Transfert hors UE | Non (ou à encadrer si oui) |
| Mesures de sécurité | Hébergement sécurisé, chiffrement, journalisation, cloisonnement |
| Risque résiduel | Élevé sans sécurisation, atténué avec les mesures en place |
| Mesures correctives | Contrats de sous-traitance, audit annuel, revue des accès |
| Commentaires | (à compléter par le responsable de traitement) |
4. Automatisations inter-outils : un traitement à part entière
4.1. Traitements impliqués
- Facturation : Digiforma > Quickbooks
- Paiement : Stripe > CRM
- Suivi formation : LMS > ERP
4.2. Risques RGPD
- Multiplication des points d’entrée / sortie de données
- Manque de traçabilité
- Transferts hors UE mal encadrés
4.3. Obligations
- Enregistrer les automatisations dans le registre
- Encadrer contractuellement l’ensemble des outils et connecteurs
- Garantir les droits des personnes concernées
5. Sous-traitance technique : maintenance, hébergement, web
5.1. Quand un prestataire Web est-il sous-traitant ?
- Dès qu’il a accès potentiel aux données (FTP, SSH, sauvegarde), même sans y toucher
5.2. Clause RGPD à insérer dans un contrat de maintenance
(voir section « Clause RGPD – Traitement de données dans le cadre de la maintenance du serveur Web »)
5.3. Annexe technique
- Raison sociale du prestataire
- Contacts
- Type d’accès (FTP, SSH…)
- Fréquence des interventions
- Mesures de sécurité mises en œuvre
6. Check-list d’audit RGPD des interconnexions et connecteurs
| Élément à auditer | Conforme (Oui / Non / À revoir) | Commentaires / Actions à mener |
| Liste des outils interconnectés identifiée | ||
| Documentations des connecteurs disponibles | ||
| Contrats de sous-traitance mis à jour | ||
| Journalisation des échanges entre outils | ||
| Protection des API par jetons ou clés | ||
| Pas de duplication excessive des données | ||
| Conservation conforme aux finalités | ||
| Transfert hors UE maîtrisé et encadré | ||
| Sensibilisation interne aux interconnexions | ||
| AIPD réalisée si nécessaire | ||
| Registre de traitement mis à jour |
Objectif : permettre une vérification périodique des risques RGPD liés à l’automatisation, notamment lors de la mise en place de nouveaux outils, de nouveaux connecteurs ou de partenariats techniques.
7. Modèles de documents essentiels pour le responsable de traitement
7.1. Modèle de registre de traitement
- Liste des traitements avec colonnes : finalité, base légale, données, durée, destinataires, sécurité
- vous pouvez télécharger cet exemple de registre de traitement pour vous en inspirer
- Liste des cas usuels d’un OPAC.
7.2. Modèle de clauses pour un contrat de sous-traitance RGPD
- Clauses contractuelles en fonction des situations et finalités
7.3. Modèle de clause co-traitance (art. 26 RGPD)
- Répartition des responsabilités, point de contact, information des personnes concernées
- Modèle de clause art.26 RGPD
7.4. Modèle de politique de confidentialité (site Web / plateforme)
- Finalités de collecte, base légale, durée, droit des personnes, contact DPO ou référent
- Modèle de politique de confidentialité
7.5. Modèle de notification de violation de données
- Déclaration à la CNIL, information des personnes concernées, délai 72h
- Modèle de notification à la CNIL
7.6. Modèle d’analyse d’impact (PIA / AIPD)
- Description du traitement, nécessité et proportionnalité, risques et mesures d’atténuation
- Modèle d’analyse d’impact
- Modèle fiche synthèse AIPD
7.7. Modèle de fiche d’information à remettre aux apprenants
- Objectifs du traitement, droits RGPD, modalités d’accès / opposition / rectification
- Exemple de fiche d’information à remettre aux apprenants
Conclusion
Ce guide a pour objectif d’aider les OPAC à être plus rigoureux et proactifs dans leur gestion de la conformité RGPD, notamment à l’heure de la digitalisation croissante des parcours, de la multiplication des outils, et de la sous-traitance technique.
La rigueur documentaire, l’encadrement contractuel, et la clarté de l’information aux personnes concernées sont les trois piliers d’une conformité RGPD solide.
