Skip to Content
RGPDPartie 11 — Documenter & piloter la conformité11.5 — Atelier : le registre de FormaCampus

Chapitre 11.5 — Atelier : le registre de FormaCampus

⏱️ TL;DR — On assemble tout : registre (11.1), privacy by design (11.2), AIPD (11.3), gouvernance (11.4). L’exercice : cartographier les traitements de FormaCampus — comptes, scolarité, prospection, support, paie, analytics —, décider pour chacun si FormaCampus est responsable ou sous-traitant, remplir deux fiches complètes (une par registre), et repérer ceux qui déclenchent une AIPD. Le verdict clé : la scolarité (élèves mineurs à grande échelle, avec des données de santé) exige une AIPD — portée par l’école responsable, assistée par FormaCampus. À la fin, FormaCampus dispose d’une cartographie vivante : sa preuve d’accountability.

🎯 Objectifs

  • Lister les traitements d’une plateforme réelle et les qualifier (RT ou ST).
  • Remplir une fiche de registre responsable et une fiche sous-traitant.
  • Identifier les traitements qui déclenchent une AIPD et dire qui la porte.
  • Repartir avec une méthode reproductible pour ton propre registre.

Étape 1 — Lister et qualifier les traitements

On recense les traitements de FormaCampus, et pour chacun on tranche la question du chapitre 3 : qui détermine les finalités et les moyens ? Si c’est FormaCampus, il est responsable ; si c’est un client (école, organisme) qui lui confie ses apprenants, FormaCampus est sous-traitant.

TraitementRôle de FormaCampusBase légale (indicative)AIPD ?
Comptes utilisateursResponsableContrat (le compte est nécessaire au service)Non
Scolarité (LMS élèves mineurs)Sous-traitant (l’école est responsable)Fixée par l’écoleOui — mineurs à grande échelle + santé
Prospection commercialeResponsableConsentement (B2C) / intérêt légitime (B2B)Non
Support clientResponsableContrat / intérêt légitimeNon
Paie des salariésResponsableObligation légale + contratNon
Analytics / mesure d’audienceResponsableConsentement (traceurs) / intérêt légitimeNon par défaut ; oui si profilage des apprenants

Résultat immédiat : FormaCampus a besoin de deux registres (11.1). La scolarité part dans le registre sous-traitant ; tout le reste, dans le registre responsable.

⚠️ Piège — Ne tenir qu’un seul registre et y verser la scolarité comme si FormaCampus en était responsable. C’est l’erreur classique du SaaS EdTech : on oublie sa casquette de sous-traitant. Conséquence : on s’attribue des finalités qui ne sont pas les siennes, on rate les obligations de l’article 28 (contrat, instructions, assistance), et le registre sous-traitant — pourtant obligatoire (art. 30.2) — n’existe pas. Deux casquettes, deux registres.

Étape 2 — Remplir une fiche du registre responsable

Prenons la prospection commerciale (FormaCampus est responsable, il décide seul). Format complet, art. 30.1 :

# registre/responsable/prospection.yaml traitement: "Prospection commerciale et newsletter" responsable: "FormaCampus SAS" dpo: "dpo@formacampus.fr" finalites: - "Envoyer des informations commerciales sur les offres FormaCampus" base_legale: "Consentement (prospect B2C) / intérêt légitime (contact B2B), art. 6" personnes_concernees: - "Prospects et contacts professionnels" - "Abonnés à la newsletter" categories_donnees: identite: ["nom", "prénom", "adresse e-mail", "organisme"] suivi: ["ouvertures et clics des e-mails"] sensibles: "aucune" destinataires: internes: ["équipe commerciale et marketing"] sous_traitants: ["prestataire e-mailing (UE)"] transferts_hors_ue: "Aucun (prestataire UE)" conservation: base_active: "jusqu'au retrait du consentement ou expiration du délai après le dernier contact" puis: "suppression" mesures_securite: - "opt-in, lien de désabonnement dans chaque message" - "accès restreint à l'outil d'e-mailing" aipd: "Non requise (aucun critère de risque élevé réuni)"

Chaque rubrique de l’article 30.1 est renseignée : finalité, base, personnes, données, destinataires, transferts, durées, sécurité. Rien n’est laissé vide.

Étape 3 — Remplir une fiche du registre sous-traitant

Même donnée, autre casquette : la scolarité pour le collège Jules-Ferry. Ici FormaCampus agit pour le compte de l’école. La fiche suit l’article 30.2 : pas de finalités ni de durées (elles appartiennent au responsable), mais les catégories de traitements effectués pour ce client.

# registre/sous-traitant/scolarite-college-jules-ferry.yaml sous_traitant: "FormaCampus SAS" dpo: "dpo@formacampus.fr" responsable_pour_le_compte_duquel: "Collège Jules-Ferry" # Pas de finalités ni de durées ici : elles sont fixées par le responsable (l'établissement) categories_de_traitements: - "Hébergement et mise à disposition du LMS" - "Stockage des résultats et de la progression des élèves" - "Envoi de notifications aux parents" personnes_concernees: # renseignées pour la traçabilité - "Élèves mineurs" - "Parents / responsables légaux" - "Enseignants" categories_donnees: identite: ["nom", "prénom", "classe"] scolarite: ["résultats", "progression", "absences"] sensibles: ["aménagements de handicap"] # donnée de santé, art. 9 transferts_hors_ue: "Aucun (hébergement UE)" sous_traitants_ulterieurs: - "hébergeur (UE)" - "prestataire e-mailing (UE)" mesures_securite: - "chiffrement au repos et en transit" - "cloisonnement par établissement (un client ne voit que ses élèves)" - "journalisation des accès aux données de santé" aipd: "Obligation du responsable (le collège) ; FormaCampus assiste (art. 28)"

Compare les deux fiches : le responsable décrit le pourquoi et le combien de temps, le sous-traitant décrit le quoi, pour quel client. C’est toute la différence entre l’article 30.1 et l’article 30.2, rendue concrète.

Étape 4 — Repérer les AIPD

On reprend l’arbre du chapitre 11.3 pour chaque traitement :

  • Scolarité → AIPD obligatoire. Plusieurs critères CEPD réunis : personnes vulnérables (mineurs) + grande échelle (des milliers d’élèves de plusieurs établissements) + données sensibles (aménagements de santé). Mais attention : l’AIPD est l’obligation du responsable — le collège — pas de FormaCampus. FormaCampus, sous-traitant, doit l’assister (fournir les informations sur le traitement, les mesures de sécurité) au titre de l’article 28.
  • Analytics → à surveiller. Une mesure d’audience configurée (chapitre 7.4) ne déclenche pas d’AIPD. Mais si l’analytics profile les apprenants (scoring, prédiction de décrochage), on bascule vers évaluation/scoring + personnes vulnérables : AIPD, et FormaCampus en serait alors responsable.
  • Comptes, prospection, support, paie → pas d’AIPD. Aucun ne réunit deux critères de risque élevé. On documente ce raisonnement (l’absence d’AIPD se justifie, elle aussi).

🔒 Côté personne concernée — Derrière ces fiches, il y a des enfants. Un parent confie à l’école les résultats, les absences et parfois un aménagement de handicap de son enfant. La fiche sous-traitant et l’AIPD sont ce qui garantit que ces données restent cloisonnées (le collège voisin ne les voit pas), ne partent pas hors UE sans garantie, et ne servent qu’à la scolarité. Le registre, invisible pour le parent, est la trace écrite de cette promesse.

Étape 5 — Synthèse : ce qu’on retient

FormaCampus repart de cet atelier avec :

  • Deux registres : responsable (comptes, prospection, support, paie, analytics) et sous-traitant (scolarité pour chaque établissement client).
  • Des fiches complètes, versionnées dans le dépôt, revues à chaque nouveau traitement ou sous-traitant.
  • Une AIPD identifiée pour la scolarité (portée par les écoles, assistée par FormaCampus) et une vigilance sur l’analytics profilant.
  • Une méthode reproductible : lister → qualifier (RT/ST) → remplir la fiche → tester l’arbre AIPD → tenir à jour.

💡 Réflexe — Fais vivre ton registre dans le dépôt, en fichiers versionnés (YAML, Markdown), revus en pull request comme du code. Chaque nouvelle fonctionnalité qui touche des données personnelles ouvre une fiche ; chaque changement de finalité, de durée ou de sous-traitant se voit dans l’historique git. Le registre cesse d’être un tableur oublié : il devient un artefact d’ingénierie tenu à jour par construction.

📚 Le texte — Cet atelier mobilise l’article 30 (les deux registres), l’article 35 (l’AIPD de la scolarité) et l’article 28 (l’assistance du sous-traitant au responsable). Le manquement au registre relève du premier palier de sanctions (jusqu’à 10 M€ ou 2 %, art. 83). Mais l’enjeu réel n’est pas la sanction : c’est de savoir ce qu’on fait des données — condition de tout le reste.

✏️ Exercices

Exercice 1 — Qualifie et décide. FormaCampus lance une visio intégrée pour les cours en direct, opérée via un prestataire, pour les classes des écoles clientes. (a) FormaCampus y est-il responsable ou sous-traitant ? (b) Faut-il une AIPD, et qui la porte ? (c) Dans quel registre la fiche atterrit-elle ?

✅ Solution

(a) Sous-traitant : la visio sert les cours des écoles, qui restent responsables des données de leurs élèves ; le prestataire de visio est un sous-traitant ultérieur que FormaCampus doit encadrer (art. 28). (b) AIPD probable : mineurs (vulnérables) + grande échelle, potentiellement surveillance de l’activité — elle est portée par le responsable (l’école), FormaCampus assiste. (c) Dans le registre sous-traitant, avec le prestataire de visio listé en sous-traitant ultérieur et les transferts vérifiés (où est hébergée la visio ?).

Exercice 2 — Transforme la fiche. On te donne la fiche responsable de la prospection ci-dessus. Quelles rubriques retires-tu et laquelle ajoutes-tu pour en faire une fiche de registre sous-traitant (dans un scénario où FormaCampus enverrait ces e-mails pour le compte d’un client) ?

✅ Solution

On retire les finalités et les durées de conservation (elles appartiennent au responsable, ici le client), et on remplace « responsable : FormaCampus » par « sous-traitant : FormaCampus » + « pour le compte de : [client] ». On remplace la description par finalité par les catégories de traitements effectués pour ce client (ex. « envoi de campagnes e-mail pour le compte du client X »). On conserve : responsable client, DPO, transferts hors UE et garanties, sous-traitants ultérieurs, mesures de sécurité. C’est le passage de l’article 30.1 à l’article 30.2.

Exercice 3 — Chasse aux AIPD. Parmi ces nouveaux projets de FormaCampus, lesquels déclenchent une AIPD et pourquoi : (a) un module d’IA qui note automatiquement les copies des élèves ; (b) un trombinoscope interne des 15 salariés ; (c) un tableau de bord affichant au formateur le taux de réussite moyen par module.

✅ Solution

(a) AIPD — évaluation/scoring (notation automatique) + usage innovant (IA) + personnes vulnérables (élèves mineurs) : plusieurs critères, avec en plus la vigilance sur la décision automatisée (art. 22) et l’intervention humaine. (b) Pas d’AIPD — pas de grande échelle, pas de données sensibles, pas de profilage. (c) Pas d’AIPD — un taux moyen agrégé sur de nombreux apprenants n’isole personne : ce sont des données anonymes (chapitre 1.1), hors champ tant qu’aucun individu n’est ré-identifiable. Le fil : c’est le risque pour les personnes, pas la « taille du projet », qui déclenche l’AIPD.

🧠 Quiz de révision

1. Pourquoi FormaCampus tient-il deux registres ?

Parce qu’il est responsable de certains traitements (comptes, prospection, support, paie, analytics — il en décide les finalités) et sous-traitant d’autres (la scolarité des élèves, qu’il opère pour le compte des écoles). Le registre responsable (art. 30.1) et le registre sous-traitant (art. 30.2) n’ont pas le même contenu : deux casquettes, deux registres.

2. Quelle est la différence de contenu entre les deux fiches de scolarité et de prospection ?

La fiche prospection (responsable, art. 30.1) contient les finalités et les durées que FormaCampus fixe. La fiche scolarité (sous-traitant, art. 30.2) n’a pas de finalités ni de durées — elles appartiennent à l’école — mais liste les catégories de traitements effectués pour ce client, le responsable, les transferts et les mesures de sécurité.

3. Lequel des traitements de FormaCampus déclenche clairement une AIPD, et qui la porte ?

La scolarité : mineurs (personnes vulnérables) + grande échelle + données de santé (aménagements) = plusieurs critères CEPD. L’AIPD est l’obligation du responsable (l’école) ; FormaCampus, sous-traitant, doit l’assister au titre de l’article 28. L’analytics devient aussi concerné s’il profile les apprenants.

4. L’analytics de FormaCampus impose-t-il une AIPD ?

Pas par défaut : une mesure d’audience configurée ne réunit pas de critère de risque élevé. Mais oui si l’analytics profile les apprenants (scoring, prédiction de décrochage) : on réunit alors évaluation/scoring + personnes vulnérables, et FormaCampus en serait responsable. On documente le raisonnement dans les deux cas.

5. Comment garder le registre vivant plutôt qu’oublié ?

En le faisant vivre dans le dépôt : fiches versionnées (YAML/Markdown), revues en pull request comme du code, une fiche par nouvelle fonctionnalité touchant des données personnelles, chaque changement visible dans l’historique git. Couplé à une revue régulière (chapitre 11.4), le registre devient un artefact d’ingénierie à jour par construction, pas un tableur mort.


Chapitre suivant : Partie 12 — Sous-traitance & contrats — on a vu que FormaCampus est tantôt responsable, tantôt sous-traitant, et qu’il s’appuie sur une chaîne de prestataires. Il est temps de sécuriser ces relations par le contrat : le DPA de l’article 28, les instructions documentées et l’encadrement de la sous-traitance ultérieure.

Last updated on