Organisation : PRO FORMATION
Adresse : 46 Rue Montgrand, 13006 MARSEILLE, France
Dernière mise à jour : 8 septembre 2025
Portée : l’ensemble des activités de formation professionnelle de PRO FORMATION (présentiel, distanciel, e‑learning, sessions intra/inter, ingénierie pédagogique, évaluations, financement et relation clients/financeurs).
Cette politique interne formalise nos principes et nos procédures RGPD. Elle est conçue pour s’articuler avec notre système qualité (information des publics, gestion des inscriptions, traçabilité des parcours, évaluations de satisfaction, traitement des réclamations, amélioration continue), sans nécessiter de mention explicite d’un référentiel tiers.
1) Gouvernance & responsabilités
- Responsable du traitement : PRO FORMATION, 46 Rue Montgrand, 13006 Marseille.
- Représentant légal : Julien SIKOUTRIS.
- Point de contact RGPD : [email protected]
- Délégué à la Protection des Données (DPO) : non désigné (non obligatoire au regard de notre activité).
- Référent RGPD interne : Julien SIKOUTRIS — pilote l’application de cette politique, le registre des traitements, la sensibilisation des équipes, le suivi des demandes d’exercice des droits et la relation avec l’autorité de contrôle.
Périmètre des équipes concernées : direction, administratif/finance, pédagogie/ingénierie, formateurs, commerciaux, support/apprenants, communication/marketing, IT.
2) Principes généraux
Nous appliquons les principes du RGPD : licéité, loyauté, transparence, minimisation, exactitude, limitation des finalités, limitation de conservation, intégrité et confidentialité, responsabilité (accountability). Toute donnée collectée est nécessaire, proportionnée et justifiée par une finalité explicite.
3) Registre des traitements – extrait opérationnel (formation)
| N° | Activité/Finalité | Bases légales principales | Données (catégories) | Destinataires | Durée de conservation |
|---|---|---|---|---|---|
| 1 | Gestion des demandes d’info, devis, inscriptions | Mesures précontractuelles / contrat | Identité, contact, projet de formation, échanges | Équipe commerciale & administratif | 3 ans après dernier contact (si non-inscrit) |
| 2 | Création/gestion des comptes apprenants (LMS/visioconf.) | Contrat | Identité, contact, identifiants (hachés), parcours/progression, connexions | Pédagogie, formateurs, support IT | Vie du compte + 3 ans d’inactivité |
| 3 | Traçabilité pédagogique & assiduité (émargements, feuilles de présence, connexions, temps, quiz/tests, évaluations) | Contrat / Obligation réglementaire | Identité, présence/assiduité, résultats/notes, commentaires | Pédagogie, formateurs; financeurs sur demande | 5 ans après fin d’action (sauf exigence plus longue du financeur) |
| 4 | Évaluations de satisfaction à chaud/à froid & amélioration continue | Intérêt légitime (qualité) | Identité (ou anonymisé), réponses aux questionnaires | Direction, qualité, pédagogie | 3 ans (données brutes), analyses agrégées : 5 ans |
| 5 | Gestion des réclamations | Intérêt légitime / Obligation légale | Identité, objet, pièces, suivi | Direction, qualité | 5 ans après clôture |
| 6 | Dossiers de financement (OPCO/CPF/Pôle emploi/entreprise) | Obligation légale / Contrat | Identité, justificatifs, assiduité, résultats, convention | Administratif/finance; organismes financeurs | 5 ans (ou suivant les règles du financeur) |
| 7 | Facturation & comptabilité | Obligation légale | Identité, coordonnées, factures, paiements | Administratif/finance; cabinet comptable | 10 ans |
| 8 | Communication & info aux publics (newsletter/offres) | Consentement ou intérêt légitime B2B | Contact, préférences | Marketing/communication | Jusqu’au retrait du consentement ou 3 ans après dernier contact |
| 9 | Sécurité du SI, logs & traçabilité | Intérêt légitime | Logs techniques, IP, identifiants techniques | IT/prestataires | 13 mois pour les logs analytiques, sécurité selon besoin |
Le registre complet décrit aussi les sous‑traitants, mesures de sécurité, transferts, analyses de risques et niveaux d’impact.
4) Information des personnes
Nous fournissons des notices d’information claires au moment de la collecte : finalités, bases légales, destinataires, durées, droits (accès, rectification, effacement, limitation, opposition, portabilité), droit d’introduire une réclamation auprès de la CNIL, modalités de contact. Les formulaires comportent, le cas échéant, des cases de consentement séparées.
5) Droits des personnes & délais de réponse
- Point d’entrée : [e‑mail dédié] ou formulaire « Protection des données ».
- Délai : 1 mois à compter de la réception (prolongeable de 2 mois pour complexité/volume, avec information motivée).
- Vérification d’identité si doute raisonnable.
- Traçabilité : journalisation des demandes et réponses, conservation 3 ans.
Modèles disponibles : accusé de réception, réponse favorable, refus motivé (base légale, impératifs légaux), confirmation d’effacement/limitation.
6) Sous‑traitants & fournisseurs
Nous sélectionnons des prestataires offrant des garanties suffisantes en matière de sécurité et de confidentialité. Un avenant de sous‑traitance (art. 28 RGPD) est conclu, précisant : objet/durée, nature/finalité, catégories de données, obligations de sécurité, aides à l’exercice des droits, sous‑traitance en cascade, sort des données en fin de contrat, auditabilité.
Familles de prestataires typiques : hébergeur et sauvegardes, solution LMS / visioconférence, messagerie et e‑mailing, CRM, outil d’inscription/paiement, support IT/sécurité, analytique/cookies, signature électronique.
7) Transferts hors UE
Si des données sont traitées hors de l’UE/EEE, nous mettons en place des garanties appropriées (Clauses Contractuelles Types de la Commission européenne, mesures complémentaires de sécurité, évaluation de transfert). Les pays/garanties sont documentés dans le registre.
8) Sécurité de l’information (extrait)
- Organisationnelles : politique d’habilitations « moindre privilège », confidentialité contractuelle, charte utilisateur, gestion des entrées/sorties, sensibilisation annuelle, procédure de gestion des incidents.
- Techniques : HTTPS/TLS, mots de passe robustes + MFA pour accès sensibles, journalisation et supervision, mises à jour et correctifs, cloisonnement environnements, sauvegardes chiffrées/testées, anti‑malware/EDR, durcissement serveurs, chiffrement au repos si pertinent, tests de restauration.
- Physiques : contrôle d’accès locaux/bureaux/archives, destruction sécurisée des documents.
ZAN (Zero‑Access Needed) : limitation stricte des accès des formateurs et intervenants aux seules sessions/groupes dont ils ont la charge.
9) Conservation & archivage
- Règle générale : conservation pendant la relation puis archivage limité selon obligations légales et besoins de preuve.
- Référentiel de durées : voir tableau §3. Les dossiers pédagogiques et justificatifs d’assiduité sont conservés 5 ans (sauf règle plus longue d’un financeur/contrat). Les pièces comptables : 10 ans. Les données de prospection : 3 ans après le dernier contact ou retrait du consentement.
En fin de durée : suppression, anonymisation ou archivage sécurisé.
10) Cookies & traceurs
- Mise en place d’un gestionnaire de consentement conforme (bandeau, granularité par finalité, refus aussi simple que l’acceptation, preuve de consentement, retrait à tout moment).
- Les traceurs non essentiels (analytics/marketing) sont bloqués par défaut jusqu’au consentement.
- Durées maximales : cookies ≤ 13 mois, données associées ≤ 25 mois.
11) Processus qualité – données utilisées
- Traçabilité des parcours et assiduité : feuilles d’émargement, connexions LMS/visioconférence, temps passé, évaluations formatives/sommatives, attestations.
- Satisfaction : questionnaires à chaud / à froid, exploitation statistique agrégée, plans d’actions d’amélioration.
- Réclamations : enregistrement, traitement, clôture, actions correctives, revue périodique.
- Communication des résultats : restitutions aux parties prenantes (apprenants, commanditaires, financeurs) dans le respect de la minimisation.
Ces données servent uniquement aux finalités pédagogiques, contractuelles, légales et d’amélioration des prestations.
12) Gestion des incidents & violations de données
- Détection : tout collaborateur/partenaire signale immédiatement tout incident (perte, accès non autorisé, malware, fuite, erreur d’envoi).
- Confinement & analyse : isolement, journalisation, évaluation de l’impact (confidentialité, intégrité, disponibilité), typologie des personnes et données concernées.
- Notification : à la CNIL sous 72 h si risque pour les droits et libertés ; aux personnes concernées si risque élevé (langage clair, conseils de protection).
- Remédiation : mesures correctives, mise à jour des contrôles, retour d’expérience.
- Traçabilité : registre des incidents, preuves conservées au moins 3 ans.
13) Analyses d’impact (AIPD) & évaluations des risques
Nous réalisons une évaluation des risques pour les traitements sensibles (suivi à grande échelle, données particulières, technologies nouvelles). Une AIPD est menée lorsque requise (liste CNIL). Les conclusions et plans de traitement sont tracés et revus périodiquement.
14) Sensibilisation & contrôle interne
- Sensibilisation annuelle des équipes (principes RGPD, sécurité, gestion des demandes de droits, confidentialité des dossiers financés).
- Contrôles internes : revues trimestrielles (accès, journaux, cohérence des durées de conservation), audit documentaire annuel (registre, clauses de sous‑traitance, preuves d’information, preuves de consentement, bannières cookies), tests de restauration des sauvegardes.
15) Révisions & pilotage
- Propriétaire de la politique : [fonction/responsable]
- Cycle de révision : au moins annuel et à chaque changement majeur (nouvelle plateforme, nouveau financeur, nouveaux types de données).
- Indicateurs de pilotage : taux de complétude des notices, délais moyens de réponse aux droits, incidents signalés, conformité des durées de conservation, taux de complétion de la sensibilisation.
