RGPD & Protection des Données

Guide complet pour les organismes de formation utilisateurs d'Doceris

1. Présentation du RGPD

Le Règlement Général sur la Protection des Données (« RGPD » – UE 2016/679) est le texte européen qui encadre la collecte, le traitement et l'utilisation des données à caractère personnel.

Il s'applique à tous les organismes de formation, quelle que soit leur taille ou leur secteur, dès lors qu'ils collectent et traitent des données personnelles (clients, stagiaires, formateurs, partenaires, salariés, etc.).

Le RGPD poursuit deux objectifs principaux :

  • renforcer les droits des personnes concernées (droits d'accès, de rectification, d'opposition, d'effacement, etc.) ;
  • responsabiliser les organisations qui traitent des données (organismes de formation, prestataires, éditeurs de logiciels…).

Doceris est un outil qui vous aide à structurer et sécuriser la gestion de vos données, mais la mise en conformité RGPD reste avant tout un chantier interne à votre organisme.

2. Qu'est-ce qu'une donnée à caractère personnel ?

Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.

Exemples (non exhaustifs) :

  • nom, prénom, adresse postale ;
  • adresse e-mail, numéro de téléphone ;
  • fonction, employeur, secteur d'activité ;
  • numéro de contrat, identifiant interne ;
  • données de connexion, adresse IP, logs ;
  • éventuellement des données plus sensibles (santé, handicap, etc.) lorsqu'elles sont collectées.

En tant qu'organisme de formation, vous traitez des données personnelles notamment pour :

  • la gestion des inscriptions, convocations et présences ;
  • le suivi pédagogique des stagiaires ;
  • l'édition des conventions, contrats, attestations et factures ;
  • la facturation et la comptabilité ;
  • la communication et la prospection commerciale ;
  • l'évaluation des formations.

3. Les grands principes du RGPD

Le RGPD repose sur quelques principes clés que tout responsable de traitement doit respecter :

Licéité, loyauté, transparence

Vos traitements doivent reposer sur une base légale (contrat, obligation légale, intérêt légitime, consentement…) et les personnes doivent être informées de manière claire.

Finalités déterminées

Les données ne doivent être collectées que pour des objectifs précis, légitimes et clairement annoncés (gestion des formations, facturation, suivi qualité, prospection, etc.).

Minimisation des données

Vous ne collectez que les données strictement nécessaires à vos finalités (pas plus, pas "au cas où").

Exactitude et mise à jour

Les données doivent être exactes, complètes et mises à jour lorsque c'est nécessaire (changement d'adresse, d'employeur, etc.).

Limitation de la durée de conservation

Les données ne doivent pas être conservées indéfiniment. Vous définissez des durées de conservation adaptées (par exemple durée de la relation contractuelle + durée légale d'archivage).

Intégrité, confidentialité, sécurité

Vous devez protéger les données contre les accès non autorisés, pertes, fuites, destructions, par des mesures techniques et organisationnelles (droits d'accès, mots de passe, sauvegardes, etc.).

Enfin, vous devez être capable de démontrer votre conformité (registre des traitements, procédures internes, contrats avec vos sous-traitants, etc.).

4. Êtes-vous concerné en tant qu'organisme de formation ?

Oui, sans ambiguïté.

Dès que vous gérez des dossiers de stagiaires, de formateurs, de contacts commerciaux ou de clients, vous traitez des données personnelles. Cela vaut aussi si vous travaillez principalement avec des entreprises : vos interlocuteurs restent des personnes physiques.

Doceris est l'un des outils dans lesquels vous pouvez centraliser ces données. L'éditeur d'Doceris, Lysia SAS, intervient alors comme sous-traitant au sens du RGPD. Votre rôle, en tant qu'organisme, est celui de responsable de traitement.

Utiliser un logiciel conforme et sécurisé est un levier important, mais ne suffit pas : vous devez également définir vos propres règles internes (qui a accès à quoi, pour combien de temps, pour quelles finalités, etc.).

5. Le rôle de votre organisme et celui d'Doceris

Vous : responsable de traitement

En tant qu'organisme de formation, vous :

  • décidez des finalités des traitements (pourquoi vous traitez ces données) ;
  • choisissez les catégories de données que vous collectez ;
  • définissez qui peut accéder à quelles informations ;
  • paramétrez vos campagnes de communication / prospection, vos enquêtes, etc.

Vous êtes responsable du respect du RGPD vis-à-vis :

  • de vos stagiaires,
  • de vos clients (entreprises, financeurs, particuliers),
  • de vos formateurs et partenaires,
  • de vos collaborateurs.

Doceris : sous-traitant

Doceris est fourni par Lysia SAS et agit comme sous-traitant. Concrètement, Lysia :

  • héberge et traite les données que vous enregistrez dans Doceris ;
  • met en place des mesures de sécurité techniques (chiffrement des flux, sauvegardes, contrôle d'accès, etc.) ;
  • fournit des fonctionnalités qui vous aident à répondre à vos obligations RGPD (export, suppression, anonymisation, journalisation, gestion des droits…).

Lysia ne décide pas de vos finalités de traitement et n'utilise pas vos données à ses propres fins commerciales, en dehors de ce qui est décrit dans la Politique de confidentialité et dans les CGU.

6. Vos principales obligations en tant qu'organisme de formation

En résumé, en tant que responsable de traitement, vous devez notamment :

  • Identifier vos traitements : registre des traitements (ou au minimum une cartographie claire) ;
  • Définir vos bases légales : contrat, intérêt légitime, consentement (en particulier pour la prospection), obligation légale, etc. ;
  • Informer les personnes (stagiaires, clients, formateurs) de manière claire :
    • pourquoi vous collectez les données,
    • quelles données,
    • pendant combien de temps,
    • qui y a accès,
    • quels sont leurs droits et comment les exercer ;
  • Sécuriser les données : mots de passe forts, gestion des habilitations, sauvegardes, procédures internes ;
  • Encadrer vos sous-traitants : contrats, DPA, clauses RGPD, localisation des données, etc. ;
  • Gérer les durées de conservation : distinguer ce qui relève du contractuel, du légal (ex. comptabilité) et du purement marketing ;
  • Être prêt à répondre aux demandes de droits (accès, rectification, effacement, opposition, portabilité, etc.) sous un délai d'un mois.

Doceris ne remplace pas cette démarche, mais vous fournit un outil pour l'appliquer de façon plus simple et plus sécurisée.

7. Collecte des données des stagiaires et autres personnes

Lors de la collecte de données (formulaires d'inscription, enquêtes, évaluations, formulaires web, etc.), veillez à :

  • ne demander que ce qui est nécessaire (ex : coordonnées, informations nécessaires à la prise en charge, prérequis pédagogiques…) ;
  • distinguer ce qui est obligatoire et facultatif ;
  • expliquer pourquoi vous demandez certaines informations, surtout si elles sont sensibles ou très personnelles ;
  • prévoir une information RGPD claire (lien vers votre politique de confidentialité, mention sur le formulaire, etc.) ;
  • collecter un consentement explicite lorsqu'il est requis (par exemple pour l'envoi d'offres commerciales si vous ne pouvez pas vous baser sur l'intérêt légitime).

Doceris peut vous aider à formaliser cela via :

  • des modèles de formulaires d'inscription ou de convocation ;
  • des champs personnalisés documentés ;
  • des modèles d'email incluant des mentions d'information.

8. Faut-il désigner un DPO / référent RGPD ?

Selon votre taille, vos activités et le volume de données traitées, vous pouvez être amené à :

  • désigner un Délégué à la Protection des Données (DPO) lorsque la loi l'exige (certaines structures publiques, traitements à grande échelle de données sensibles, etc.) ;
  • à défaut, désigner au minimum un référent RGPD chargé de piloter la démarche et d'animer la conformité au quotidien.

Dans tous les cas, il est utile de :

  • nommer clairement la personne responsable de la protection des données ;
  • définir ses missions (veille, sensibilisation, vérification, point de contact) ;
  • lui donner le temps et les moyens nécessaires.

9. Procédure en cas de violation de données

Une violation de données personnelles, c'est un incident de sécurité qui entraîne :

  • l'accès non autorisé à des données ;
  • la perte, la destruction, l'altération ou la divulgation de ces données ;
  • ou un risque important pour les droits et libertés des personnes concernées.

À titre d'exemple : perte d'un ordinateur non chiffré, compromission de mots de passe, envoi par erreur d'un fichier à un mauvais destinataire, etc.

Vous devez définir une procédure interne qui prévoit :

  • Comment détecter et qualifier l'incident ;
  • Quelles mesures correctrices immédiates mettre en place (blocage d'accès, changement de mots de passe, etc.) ;
  • Comment évaluer les risques pour les personnes concernées ;
  • Dans quels cas vous devez notifier la CNIL (en principe sous 72h) ;
  • Dans quels cas vous devez informer directement les personnes concernées ;
  • Comment documenter l'incident dans un registre interne des violations.

Doceris, de son côté, met en place des dispositifs de sécurité et des logs techniques. En cas d'incident impactant l'infrastructure d'Doceris, Lysia vous informera dans les conditions prévues par sa Politique de confidentialité et ses CGU.

10. Procédure pour les demandes d'exercice de droits (RGPD)

Toute personne dont vous traitez les données (stagiaire, client, formateur, salarié) peut exercer ses droits :

  • droit d'accès ;
  • droit de rectification ;
  • droit d'effacement (dans certaines limites) ;
  • droit d'opposition ou de limitation ;
  • droit à la portabilité de certaines données.

Votre organisme doit être en mesure :

  • de réceptionner ces demandes (adresse email dédiée, formulaire, contact identifié) ;
  • de vérifier l'identité de la personne ;
  • de répondre dans un délai d'un mois, en expliquant ce qui est fait ou pourquoi une demande ne peut pas être satisfaite ;
  • de réaliser concrètement les actions dans vos outils (export, mise à jour, suppression, anonymisation).

Doceris peut vous aider à :

  • retrouver les données d'un stagiaire, formateur ou contact ;
  • exporter certains jeux de données ;
  • supprimer ou anonymiser des enregistrements, lorsque cela est compatible avec vos obligations légales (ex : comptabilité, traçabilité des formations).

11. La conformité RGPD d'Doceris

Point de contact RGPD

Pour toute question relative à la protection des données dans Doceris, vous pouvez contacter :

Email : privacy@doceris.fr

Lysia SAS identifie en interne un référent RGPD chargé de piloter le sujet et d'échanger avec les clients sur les aspects conformité et sécurité.

Données traitées dans Doceris

Doceris traite principalement :

Les données des utilisateurs du compte Doceris

  • identité (nom, prénom, éventuellement fonction) ;
  • coordonnées (email professionnel, téléphone) ;
  • paramètres de compte, droits d'accès, traces de connexion.

Les données de vos stagiaires et contacts

  • identité (nom, prénom) ;
  • coordonnées (email, téléphone, adresse) ;
  • informations liées à la formation (session, statut, résultats, évaluations) ;
  • données administratives liées à la prise en charge, conventions, attestations, etc.

Les données requises par défaut sont limitées à ce qui est nécessaire au fonctionnement du service et à vos obligations réglementaires. Les champs que vous ajoutez vous-même doivent respecter les principes de minimisation et de proportionnalité.

Les modalités exactes de traitement (finalités, durées, sous-traitants, transferts éventuels) sont détaillées dans la Politique de confidentialité d'Doceris.

Mesures techniques et organisationnelles mises en œuvre

Sans entrer dans des détails sensibles, Doceris met en œuvre notamment :

  • Hébergement en Europe chez OVH (France), dans des datacenters sécurisés ;
  • Chiffrement des échanges entre votre navigateur et la plateforme (HTTPS / TLS) ;
  • Gestion des accès par identifiants individuels, droits et rôles ;
  • Sauvegardes régulières des données ;
  • Journalisation de certaines actions critiques pour la traçabilité ;
  • Mises à jour régulières de la plateforme et de ses composants.

Ces mesures ont pour objectif de limiter les risques d'accès non autorisé, de perte ou d'altération des données.

Intégrations, IA et transferts éventuels

Doceris peut être connecté à des services tiers (par exemple : solutions d'emailing, outils d'automatisation type n8n, outils IA, solutions de paiement, etc.). Dans ce cadre :

  • seules les données nécessaires à la fonctionnalité concernée sont transmises ;
  • Lysia sélectionne des prestataires qui présentent des garanties en matière de sécurité et de confidentialité ;
  • lorsque des données sont susceptibles de sortir de l'Union européenne, des mécanismes juridiques adaptés sont mis en place (clauses contractuelles types, autres garanties).

Les services d'IA (par exemple, assistance à la rédaction, classification, analyse) sont paramétrés pour ne pas utiliser vos données à des fins d'entraînement de modèles publics, dans la limite des options proposées par les prestataires concernés.

Le détail des prestataires utilisés et des flux de données est décrit et mis à jour dans la Politique de confidentialité d'Doceris.

12. Ce que vous pouvez faire dès maintenant avec Doceris pour votre RGPD

Avec Doceris, vous pouvez notamment :

  • centraliser une grande partie de vos données clients / stagiaires dans un environnement unique et sécurisé ;
  • limiter les fichiers éparpillés (Excel, emails, papiers…) difficiles à contrôler ;
  • paramétrer des modèles de documents et de formulaires intégrant vos mentions d'information RGPD ;
  • gérer des droits d'accès différenciés selon les rôles (administratif, commercial, formateur, etc.) ;
  • faciliter l'export, la correction ou la suppression de données sur demande.

Doceris est un levier pour votre conformité, mais ne la remplace pas : la cohérence de l'ensemble dépend de vos propres procédures internes.

13. Pour aller plus loin

Pour approfondir votre démarche RGPD, vous pouvez consulter :

  • les ressources et guides de la CNIL à destination des professionnels de la formation ;
  • votre conseil juridique ou DPO pour adapter ces principes à votre situation particulière ;
  • la Politique de confidentialité, les CGU et les CGV d'Doceris pour connaître précisément le cadre de traitement des données par Lysia SAS.