Pour un cabinet RH ou un organisme de formation, le RGPD n'est pas qu'une contrainte légale lointaine. C'est une réalité quotidienne : chaque bénéficiaire dont on traite les données (nom, coordonnées, situation professionnelle, résultats d'évaluations, compte-rendu de séances) est protégé par ce règlement. Ne pas le respecter expose à des sanctions, certes — mais surtout à une perte de confiance irréparable de la part des personnes accompagnées.
Définition
Le RGPD (Règlement Général sur la Protection des Données, ou GDPR en anglais) est le règlement européen n°2016/679, entré en application le 25 mai 2018, qui encadre la collecte, le traitement, le stockage et le transfert des données personnelles de toute personne physique résidant dans l'Union européenne.
Il repose sur plusieurs principes fondateurs : licéité du traitement (base légale obligatoire), limitation des finalités (les données ne peuvent être utilisées que pour les raisons déclarées), minimisation des données (collecter uniquement ce qui est nécessaire), exactitude, limitation de la conservation, intégrité et confidentialité, et responsabilité (accountability — l'organisation doit pouvoir démontrer sa conformité).
En France, la CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle compétente.
Pourquoi ce terme est-il important ?
Les cabinets de formation et d'accompagnement traitent des données particulièrement sensibles : situation professionnelle, résultats de tests psychologiques, bilans de compétences, notes de séances de coaching. Ces données peuvent révéler des informations sur la santé mentale, les opinions politiques ou la vie privée des bénéficiaires — des catégories qui bénéficient d'une protection renforcée sous le RGPD.
La conformité RGPD est aussi une exigence implicite de nombreux commanditaires institutionnels. Une entreprise ou un OPCO qui confie ses collaborateurs à un cabinet s'attend à ce que leurs données soient protégées.
Comment est-il utilisé dans la pratique ?
Concrètement, un cabinet conforme au RGPD a identifié ses traitements de données (registre des traitements), défini une base légale pour chacun d'eux (consentement, contrat, intérêt légitime...), informé ses bénéficiaires de leurs droits (information préalable dans la convention ou les CGV), défini des durées de conservation, et sécurisé l'accès aux données (mots de passe robustes, accès limités selon les rôles).
Le choix de la plateforme d'accompagnement ou du LMS utilisé doit également être guidé par la conformité RGPD du fournisseur : serveurs en Europe, DPA (Data Processing Agreement) disponible, garanties de sécurité documentées.
Cas d'usage
Demande de droit d'accès : Un ancien bénéficiaire d'un bilan de compétences demande à consulter toutes les données le concernant détenues par le cabinet. Le cabinet dispose d'un mois pour répondre à cette demande et fournir les informations demandées, de manière compréhensible.
Violation de données : Un consultant perd son ordinateur sur lequel sont stockées des notes de séances non chiffrées. Si les données concernent plus de 50 bénéficiaires ou présentent un risque élevé pour leur vie privée, le cabinet doit notifier la CNIL dans les 72 heures et informer les personnes concernées.
Bonnes pratiques
Tenir un registre des activités de traitement. C'est l'obligation de base. Ce document recense tous les traitements de données : type de données, finalité, base légale, durée de conservation, destinataires. Il est obligatoire pour toutes les organisations qui traitent des données à grande échelle ou des données sensibles.
Choisir des outils conformes RGPD. Hébergement en Europe, DPA avec le fournisseur, chiffrement des données, politique de confidentialité claire : ces critères doivent guider le choix de toute solution SaaS qui traite des données de bénéficiaires.
Former l'équipe aux bases du RGPD. Le RGPD ne concerne pas seulement le responsable juridique ou informatique. Chaque consultant qui note des informations sur un bénéficiaire est acteur de la conformité.
Questions fréquentes (FAQ)
Faut-il un DPO (délégué à la protection des données) dans un cabinet RH ?
La désignation d'un DPO est obligatoire uniquement dans certains cas (traitement à grande échelle de données sensibles, autorité publique, surveillance systématique). Pour un petit cabinet, ce n'est généralement pas obligatoire, mais il est recommandé de désigner un référent interne qui suit les questions RGPD.
Peut-on envoyer les notes de séances de coaching par email ?
Avec précaution. L'email n'est pas un canal sécurisé par défaut. Pour des informations sensibles, il est préférable d'utiliser la messagerie sécurisée d'une plateforme dédiée, ou au minimum de chiffrer les pièces jointes. L'email non chiffré pour des notes de séances sensibles est une pratique à risque.
Combien de temps peut-on conserver les données d'un bénéficiaire ?
La durée de conservation doit être justifiée par la finalité du traitement. Pour les dossiers de formation, une durée de 3 à 5 ans est généralement justifiable (obligations légales, éventuels litiges). Au-delà, les données doivent être supprimées ou anonymisées.
Pour aller plus loin
Le site de la CNIL est la référence pour comprendre vos obligations RGPD. Pour les aspects pratiques liés à votre activité, consultez aussi notre page sur la signature électronique et la gestion documentaire.