Chaque ligne du registre correspond à un traitement de données. Voici comment les compléter pour les cas usuels d’un OPAC.
I. Les relations avec les tiers
1. Formateurs externes – sous-traitance
- Finalité du traitement : Organisation et animation de la formation professionnelle
- Catégories de personnes concernées : Apprenants / Stagiaires
- Catégories de données : Nom, prénom, coordonnées, résultats, feuilles d’émargement, évaluations
- Base légale : Exécution d’un contrat ou obligation légale (Code du travail / Qualiopi)
- Destinataires : Formateur externe (sous-traitant), personnel interne autorisé
- Transfert hors UE : Non
- Durée de conservation : 6 à 10 ans selon les obligations liées au financement
- Mesures de sécurité : Accès restreint, chiffrement, clause de confidentialité, contrat de sous-traitance signé
- Qualité du tiers : Sous-traitant
2. Financeurs – co-traitance ou responsables indépendants
- Finalité du traitement : Suivi, financement et justification des actions de formation
- Catégories de personnes concernées : Apprenants, financeurs publics
- Catégories de données : Nom, prénom, numéro de sécurité sociale, informations administratives, justificatifs, pièces d’identité, attestations de présence, résultats
- Base légale : Obligation légale (instruction des dossiers CPF, Pôle emploi, OPCO, etc.)
- Destinataires : OPCO, CDC, Région, Pôle emploi, personnel habilité
- Transfert hors UE : Non
- Durée de conservation : 10 ans (cf. prescription administrative et obligations financières)
- Mesures de sécurité : Portails sécurisés, transmission via systèmes agréés (ex : EDOF)
- Qualité du tiers : Co-responsable ou responsable indépendant (à spécifier selon le cadre contractuel)
3. Certificateurs – co-traitance ou transmission à un responsable de traitement
- Finalité du traitement : Évaluation des compétences et délivrance d’un certificat
- Catégories de personnes concernées : Apprenants
- Catégories de données : Nom, prénom, identifiant, dossier professionnel, résultats, épreuves, copies, vidéos d’évaluation
- Base légale : Intérêt légitime du certificateur + obligation règlementaire (Code de l’éducation, RNCP)
- Destinataires : Certificateur RNCP/RS, jurys, examinateurs, plateforme de certification
- Transfert hors UE : Non
- Durée de conservation : 3 à 10 ans selon les référentiels
- Mesures de sécurité : Accès restreint, traçabilité, plateforme dédiée, anonymisation partielle possible
- Qualité du tiers : Responsable de traitement ou co-traitant selon convention
4. Instances de contrôle (DREETS, DDEETS, DGEFP, CDC, France Compétences…)
- Finalité du traitement : Contrôle qualité, audits, conformité, instruction des demandes d’enregistrement
- Catégories de personnes concernées : Apprenants, formateurs, dirigeants
- Catégories de données : Pièces justificatives, listes de présence, bilans pédagogiques et financiers, conventions, attestations
- Base légale : Obligation légale (Code du travail, décret Qualiopi, contrôles réglementaires)
- Destinataires : DREETS / DDEETS / DGEFP / CDC / France Compétences
- Transfert hors UE : Non
- Durée de conservation : 10 ans (prescription légale)
- Mesures de sécurité : Accès restreint, transmission sécurisée, traçabilité
- Qualité du tiers : Responsable de traitement indépendant
5. Prestataire technique (infogérance serveur / gestion d’un site web)
Traitement concerné : « Gestion du site Web et de son hébergement »
(ou inclus dans un traitement plus large du type « communication institutionnelle »)
- Finalité du traitement : Publication d’un site Internet, hébergement et maintenance
- Catégories de personnes concernées : Internautes, utilisateurs du formulaire de contact
- Catégories de données : Adresse IP, données de navigation, formulaire (nom, prénom, mail, message)
- Outil utilisé : CMS (ex. WordPress), hébergeur (OVH, Infomaniak…), prestataire maintenance
- Base légale : Intérêt légitime (présence en ligne), parfois obligation légale (mentions légales, contact)
- Transfert hors UE : Non
- Durée de conservation : Données de logs : 12 mois max ; messages reçus : selon politique interne (ex. 3 ans)
- Mesures de sécurité : Accès limité aux fichiers serveurs, journalisation, identifiants individuels, sauvegardes, mises à jour régulières
- Qualité du tiers : Sous-traitant (Prestataire de maintenance situé dans l’UE)
Format à adopter dans votre registre (extrait de tableau)
| Finalité du traitement | Base légale | Personnes concernées | Données traitées | Durée | Destinataires | Tiers | Sécurité |
| Animation des formations | Contrat / loi | Apprenants | Coordonnées, résultats | 6 ans | Formateur | Sous-traitant | Accès restreint, contrat |
| Gestion des financements | Obligation légale | Apprenants | Infos CPF / PE | 10 ans | CDC / OPCO | Co-traitant ou Resp. | Plateformes sécurisées |
| Certification | Intérêt légitime | Apprenants | Dossier / résultats | 3-10 ans | Certificateur RNCP | Co-traitant ou Resp. | Plateforme dédiée |
| Contrôle qualité | Obligation légale | Tous | Justificatifs | 10 ans | DREETS, DGEFP | Responsable indép. | Traçabilité, cloisonnement |
| Gestion du site Web et de son hébergement | Intérêt légitime | Internautes Utilisateurs du formulaire de contact | Adresse IP, données de navigation, formulaire | 12 mois | Personnel de l’organisme | Prestataire de maintenance situé dans l’UE(sous-traitant) | Accès limité aux fichiers serveurs, journalisation, identifiants individuels, sauvegardes, mises à jour régulières |
II. Outils numériques = moyens utilisés dans les traitements existants
Les outils doivent apparaître dans les colonnes suivantes :
- Lieu de traitement / outils utilisés
- Sous-traitants / prestataires techniques
- Mesures de sécurité
Et sont liés à la finalité (ex. : animation de la formation, gestion administrative, suivi des apprenants…).
Voici quelques exemples :
Site Web institutionnel
- Finalité : information, inscription, formulaire de contact
- Traitement concerné : « Gestion des demandes entrantes »
- Outils utilisés : CMS WordPress (hébergement chez [OVH, O2Switch…])
- Données : nom, prénom, mail, message
- Sous-traitant : hébergeur / webmaster
- Sécurité : HTTPS, anti-spam, accès restreint, sauvegardes
WEDOF (interface CDC CPF)
- Finalité : gestion administrative des actions CPF
- Traitement concerné : « Gestion des dossiers CPF »
- Outils utilisés : WEDOF via CDC
- Sous-traitant : Caisse des Dépôts (responsable distinct, plateforme publique)
- Sécurité : compte individuel, connexion sécurisée, accès restreint
ERP (Digiforma, Dendreo, Formdev, etc.)
- Finalité : gestion administrative et pédagogique
- Traitement concerné : « Suivi des formations », « Traçabilité des parcours »
- Outils utilisés : Digiforma (SaaS – données hébergées en UE)
- Sous-traitant : l’éditeur de l’ERP (contrat de sous-traitance à formaliser)
- Sécurité : hébergement sécurisé, gestion des accès, journaux d’activité
Visio (Zoom, Teams, Meet…)
- Finalité : animation des formations à distance
- Traitement concerné : « Animation pédagogique »
- Outils utilisés : Zoom (paramétré sans enregistrement), Meet
- Données : identifiant de connexion, nom, adresse mail, IP
- Sous-traitant : éditeur de l’outil (souvent basé aux USA – attention au transfert hors UE)
- Sécurité : lien d’accès protégé, anonymisation possible, clauses contractuelles types à vérifier
Plateforme e-learning (Moodle, 360Learning, etc.)
- Finalité : diffusion de contenus de formation
- Traitement concerné : « Accompagnement pédagogique »
- Outils utilisés : Moodle (hébergé chez [préciser le prestataire])
- Sous-traitant : hébergeur ou éditeur si SaaS
- Sécurité : comptes personnels, restrictions d’accès, pseudonymisation possible
Outils interactifs (Genially, Wooclap, Drive…)
- Finalité : animation de sessions, évaluation formative
- Traitement concerné : « Évaluation / animation »
- Outils utilisés : Genially, Wooclap, kDrive
- Données : prénom, pseudo, résultats d’exercices
- Sous-traitants : éditeurs des outils (souvent en dehors de l’UE)
- Sécurité : attention aux paramètres de confidentialité / éviter données sensibles
Messageries (Discord, WhatsApp, Noisy…)
- Finalité : communication informelle ou tutorat
- Traitement concerné : « Accompagnement / tutorat / animation de communauté »
- Outils utilisés : Discord, WhatsApp
- Données : identifiants, messages, parfois n° de téléphone
- Sous-traitants : Meta, Discord Inc. – attention aux transferts hors UE
- Sécurité : groupes fermés, consentement explicite, règles d’usage à formaliser
Format de registre – exemple de ligne enrichie :
| Finalité | Base légale | Outils utilisés | Sous-traitant(s) | Données traitées | Sécurité | Transfert hors UE |
| Animation visio | Contrat | Zoom, Meet | Zoom Inc., Google | prénom, email, vidéo | Accès restreint, pas d’enregistrement | Oui – avec garanties |
| Suivi administratif | Obligation légale | Digiforma | Syfadis | dossier apprenant | Hébergement UE, comptes utilisateurs | Non |
| Communication | Consentement | WhatsApp, Discord | Meta, Discord |
Recommandations supplémentaires
- Formaliser une politique d’usage des outils (surtout pour WhatsApp, Genially, Drive…)
- Vérifier les DPA (Data Processing Agreements) des éditeurs
- Limiter les données collectées à l’indispensable
- Toujours informer les utilisateurs (mention d’information RGPD) de chaque traitement
III. Publicité
1. Publicités sur Google / Meta / LinkedIn avec formulaire intégré
| Élément | Contenu |
| Finalité | Prospection commerciale et gestion des demandes entrantes |
| Base légale | Consentement (formulaire) ou intérêt légitime (publicité ciblée anonymisée) |
| Personnes concernées | Prospects, leads BtoB ou BtoC |
| Données traitées | Nom, prénom, email, téléphone, ville, demande de formation, comportement de navigation, adresse IP |
| Outils utilisés | Formulaires intégrés dans les publicités (Lead Ads Meta, Google Ads Form, LinkedIn Lead Gen) |
| Sous-traitants / prestataires | Meta Platforms Inc., Google LLC, LinkedIn Ireland, agence marketing (si externalisé) |
| Lieu de traitement | UE + États-Unis (transfert encadré par DPF ou SCC) |
| Durée de conservation | 1 an maximum si non conversion – 3 ans si prospect actif |
| Sécurité | Accès restreint aux leads, export sécurisé, notification des utilisateurs par politique de confidentialité |
| Qualité du tiers | Sous-traitant marketing / responsable indépendant (plateformes) |
| Transfert hors UE | Oui – sous clauses contractuelles types ou DPF (Data Privacy Framework) selon l’éditeur |
À prévoir :
- Une politique de confidentialité claire avec lien dans les publicités.
- Un contrat de sous-traitance ou NDA avec l’agence marketing si elle a accès aux données.
- Une preuve du consentement (click-to-consent sur le formulaire natif).
2. Plateformes annuaires (maformation.fr, topformation.com, etc.)
| Élément | Contenu |
| Finalité | Réception de demandes de contact depuis des plateformes d’intermédiation |
| Base légale | Intérêt légitime ou exécution de mesures précontractuelles à la demande du prospect |
| Personnes concernées | Internautes utilisant les plateformes |
| Données traitées | Nom, prénom, email, téléphone, type de formation recherchée, localisation |
| Outils utilisés | Plateforme de mise en relation (maformation.fr, topformation.com, etc.) |
| Sous-traitants / prestataires | Digiforma, HelloWork, Topformation – selon les cas |
| Lieu de traitement | UE (ou à vérifier dans les CGU) |
| Durée de conservation | 12 à 24 mois maximum si pas d’inscription à une formation |
| Sécurité | Export sécurisé, accès restreint à l’équipe commerciale ou administrative |
| Qualité du tiers | Responsable de traitement indépendant (plateforme) ou co-traitant (si partenariat structuré) |
| Transfert hors UE | À vérifier selon les CGU du site utilisé (souvent non, mais possible) |
À prévoir :
- Un cadre contractuel clair avec la plateforme (CGU ou convention de partenariat).
- Un message d’accueil RGPD dès la prise de contact (“Vos données sont traitées pour répondre à votre demande…”).
- Une politique de gestion des prospects conforme (durée, droits, sécurité).
IV. Les mises place d’automatisations
Il s’agit d’un des angles morts les plus fréquents en matière de RGPD dans les organismes de formation : les automatisations inter-outils (a.k.a. intégrations, synchronisations, API, ou connecteurs via Make/Zapier…). Et pourtant, dès que des données personnelles transitent automatiquement d’un outil vers un autre, il s’agit d’un traitement à part entière, qu’il faut documenter dans le registre, sécuriser, et encadrer juridiquement.
Quand deux outils sont connectés :
- le traitement se poursuit d’un environnement à l’autre (ex. : de Digiforma vers un logiciel de compta),
- les données changent de contexte de traitement (administratif ➜ financier, ou commercial),
- et il faut garantir : transparence, sécurité, traçabilité et finalité claire.
Exemples de cas typiques à intégrer dans le registre
1. Connexion Digiforma ↔ logiciel de comptabilité (Sage, Quickbooks, etc.)
- Finalité : Gestion de la facturation des prestations de formation
- Base légale : Obligation légale (facturation) + exécution du contrat
- Données concernées : Nom, prénom, SIRET, adresse, libellé formation, montant, n° facture
- Outils utilisés : Digiforma + logiciel compta + connecteur API (Make, Zapier, module natif)
- Sous-traitants : éditeurs des logiciels (vérifier les DPA)
- Mesures de sécurité : Connexion HTTPS, restrictions d’accès, logs, jetons d’API régénérables
- Transfert hors UE : À surveiller (Zapier = USA / certains outils = UE)
- Remarque : Documenter l’automatisation comme une modalité technique du traitement « facturation » dans le registre
2. Connexion Stripe ↔ CRM / logiciel de gestion commerciale
- Finalité : Paiement et suivi commercial des prestations
- Base légale : Exécution du contrat
- Données concernées : nom, prénom, email, montant payé, IBAN ou carte (tokenisée), objet de l’achat
- Outils utilisés : Stripe + CRM + passerelle/API (Make, Zapier, API native)
- Sous-traitants : Stripe (sous le DPF ou SCC si USA), éditeur CRM
- Mesures de sécurité : Tokenisation, chiffrement des flux, audit régulier des connexions, scopes d’accès limités
- Transfert hors UE : Oui (Stripe est basé aux USA mais DPF actif)
- Remarque : si l’automatisation envoie les infos vers un ERP (ex. Digiforma ou Dendreo), elle doit être documentée dans chaque registre de traitement correspondant
Comment inscrire les automatisations dans le registre ?
Ajoute une colonne ou un champ dans ton registre avec les modalités d’automatisation, ou indique-les dans la colonne « Outils / moyens techniques ». Par exemple :
| Finalité | Données | Outils utilisés | Automatisations | Sécurité |
| Gestion des factures | Nom, SIRET, adresse, montant | Digiforma, Quickbooks | API Zapier (Digiforma > Quickbooks) | Connexion sécurisée, logs d’activité |
| Suivi des paiements | Nom, email, montant | Stripe, CRM | Webhook Stripe vers CRM | Tokenisation, 2FA, logs, DPF actif |
V. Modèle de registre de traitement (conforme art. 30 RGPD)
Télécharger le modèle de registre de traitement.
