En tant qu’organisme de formation, vous récoltez des données à caractère personnel :
– nom et prénom des stagiaires, des formateurs, des autres membres du personnel, des partenaires…
– adresse personnelle des stagiaires, et du personnel,
– date de naissance, lieu de naissance, numéro de sécurité sociale des stagiaires (nécessaire pour l’accrochage des certifications) et des salariés,
– numéro de téléphone et e-mail des stagiaires, du personnel, des formateurs, des partenaires…
– relevés de connexion avec IP pour les formations en e-learning,
– visioconférences, surtout lorsqu’elles sont enregistrées, notamment lors du passage d’un examen,
– etc.
Ces données doivent être cartographiées, indiquées dans votre registre des traitements (avec les informations quant aux divers traitements, la finalité de chaque traitement, les personnes qui les traitent, les destinataires de ces traitements (dans l’organisation et à l’extérieur)), et vous devez évaluer la solidité de votre système d’informations puis mettre en place des solutions permettent d’assurer la sécurité des données collectées et traitées.
En cas de violation des données, dans votre organisation ou chez un partenaire (sous-traitant ou co-traitant), vous devez en informer la CNIL et les personnes concernées dans les 72 heures suivant la découverte de cette violation. Vous devez indiquer l’ampleur, le risque pour les personnes concernées et votre plan d’action.
Si vous traitez de grandes quantités de données, ou que vous avez un site « marchand », vous devez déclarer un Délégué à la protection des données (DPO / DPD) à la CNIL.
