Chapitre 15.4 — Organismes de formation (Qualiopi)
⏱️ TL;DR — Un organisme de formation (OF) est responsable de traitement des données de ses stagiaires : identité, parcours, résultats, émargements, attestations, et souvent des échanges avec des financeurs (OPCO, entreprises, CPF via la Caisse des Dépôts, France Travail). Deux cadres se superposent sans se confondre : Qualiopi (la certification qualité obligatoire pour accéder aux fonds publics et mutualisés) et le RGPD (la protection des données). Ils ne disent pas la même chose, mais un OF doit tenir les deux — et certains points (traçabilité, référent handicap) se recoupent. Ce chapitre relie les deux mondes.
🎯 Objectifs
- Cartographier les traitements typiques d’un organisme de formation.
- Distinguer et articuler Qualiopi (qualité) et RGPD (données).
- Gérer les financeurs et les flux CPF proprement.
- Traiter les émargements, la prospection et les données de santé (aménagements) des stagiaires.
L’organisme de formation, responsable de ses stagiaires
Contrairement à l’école publique (mission d’intérêt public), un OF privé traite le plus souvent ses stagiaires sur la base du contrat (art. 6.1.b, la convention/le contrat de formation) et de l’obligation légale (art. 6.1.c) pour tout ce que la loi impose de conserver et de prouver (émargements, réalisation de l’action, pièces comptables). Il est responsable de traitement.
Ses traitements typiques :
| Traitement | Base légale typique | Sensibilité |
|---|---|---|
| Inscription & convention | Contrat | — |
| Suivi pédagogique, résultats, attestations | Contrat / obligation légale | Impact fort |
| Émargement (présence) | Obligation légale | — |
| Facturation, prise en charge financeur | Obligation légale (comptable) | — |
| Aménagements (handicap) | Voir plus bas | Santé (art. 9) |
| Prospection commerciale | Consentement (B2C) / intérêt légitime (B2B) | — |
💡 Réflexe — Sépare bien deux durées : la donnée utile à la formation (le temps de l’action + suivi) et la donnée qu’on doit prouver (émargements, réalisation, comptabilité) qui répond à une obligation légale de conservation. La seconde justifie un archivage à accès restreint, pas un maintien en base active. Les durées exactes dépendent de textes (formation, comptabilité, contrôle) : vérifie-les à la source, mais code le passage actif → archive → suppression.
Qualiopi et RGPD : deux cadres à ne pas confondre
Qualiopi est la marque de certification qualité (adossée au Référentiel National Qualité) qu’un OF doit obtenir pour bénéficier de fonds publics ou mutualisés (OPCO, CPF, France Travail, Régions…). Elle évalue la qualité du processus de formation : information du public, adaptation des prestations, moyens, appréciation des résultats, amélioration continue.
Le RGPD, lui, ne parle pas de qualité pédagogique : il encadre la protection des données. Les deux sont indépendants — être certifié Qualiopi ne rend pas conforme au RGPD, et inversement. Mais ils se touchent sur quelques points :
- la traçabilité exigée par Qualiopi (preuves, émargements, suivis) crée des données à protéger et à conserver selon des durées maîtrisées ;
- l’accessibilité et l’accueil des personnes en situation de handicap (un indicateur du référentiel impose un référent handicap) impliquent des données de santé (art. 9), donc une protection renforcée.
⚠️ Piège — Penser que « je suis Qualiopi, donc je suis carré côté données ». Faux : un OF parfaitement certifié peut n’avoir aucun registre RGPD, conserver des émargements dix ans « au cas où », prospecter sans base, ou stocker des attestations médicales en clair. Qualiopi audite la qualité, pas la conformité RGPD. Ce sont deux dossiers distincts.
Les financeurs et le CPF
Un OF échange des données avec des tiers financeurs : entreprises clientes, OPCO, France Travail, et pour le Compte Personnel de Formation (CPF), la Caisse des Dépôts (plateforme moncompteformation). Chaque flux mérite d’être qualifié :
- vers un OPCO ou un financeur : transmission de données de suivi/réalisation → il faut une base (obligation contractuelle/légale) et n’envoyer que le nécessaire (minimisation) ;
- côté CPF : l’OF s’inscrit dans les traitements de la plateforme nationale ; il doit respecter les règles de la plateforme et ne pas détourner les coordonnées des titulaires pour de la prospection (un usage régulièrement sanctionné).
🔒 Côté personne concernée — Un stagiaire qui mobilise son CPF confie des données pour se former, pas pour être démarché. Réutiliser ces coordonnées pour vendre d’autres formations est un détournement de finalité (Partie 4) — et l’un des sujets sur lesquels les autorités et la Caisse des Dépôts sont particulièrement vigilantes. Le respect de la finalité, ici, protège directement la personne du harcèlement commercial.
Émargement, prospection, aménagements
Trois points sensibles au quotidien d’un OF :
- Émargement dématérialisé : les feuilles de présence électroniques sont des données personnelles ; elles répondent à une obligation légale de preuve (à archiver), pas à un usage marketing. Sécurise-les et borne leur durée.
- Prospection : un OF vit de la vente de formations. Vers des particuliers (B2C), la base est le consentement ; vers des professionnels (B2C/B2B), l’intérêt légitime peut convenir avec droit d’opposition — mais jamais de prospection sur des coordonnées détournées du CPF ou d’une autre finalité.
- Aménagements : comme à l’école, les informations liées au handicap d’un stagiaire sont des données de santé (art. 9) : accès restreint au référent handicap, cloisonnement, pas de champ libre.
🧭 Sur FormaCampus — Le volet « organisme de formation » de FormaCampus gère des stagiaires adultes financés tantôt par leur entreprise, tantôt par le CPF. Bonnes pratiques mises en place : base contrat pour la formation, obligation légale pour émargements et facturation, archivage à durée bornée plutôt que conservation infinie, consentement distinct et révocable pour la newsletter commerciale, et cloisonnement des aménagements handicap. La prospection ne réutilise jamais les données issues du CPF. Résultat : un OF qui passe les audits Qualiopi et qui tient son registre RGPD.
📚 Le texte — RGPD : bases légales art. 6, données sensibles art. 9, conservation art. 5.1.e, sous-traitance art. 28. Qualiopi relève du Code du travail (référentiel national qualité) — un cadre distinct du RGPD. Pour les durées et obligations de preuve, s’appuyer sur les textes de la formation professionnelle et les référentiels CNIL, à jour.
✏️ Exercices
Exercice 1 — Qualiopi suffit-il ? Un OF fraîchement certifié Qualiopi te dit : « On est audités et carrés, pas besoin de RGPD. » Réponds.
✅ Solution
Qualiopi certifie la qualité du processus de formation, pas la conformité RGPD : ce sont deux cadres indépendants. Un OF certifié peut n’avoir aucun registre (art. 30), conserver des émargements sans limite, prospecter sans base légale ou stocker des données de santé en clair. Il faut mener le dossier RGPD en propre (registre, bases légales, durées, sécurité, DPA avec les outils), même s’il recoupe la traçabilité Qualiopi sur certains points.
Exercice 2 — CPF et prospection. Un OF récupère, via les inscriptions CPF, les coordonnées de 2 000 titulaires et veut leur envoyer une offre pour une autre formation. Est-ce permis ?
✅ Solution
Non, pas sur cette base : les coordonnées ont été fournies pour suivre une formation via le CPF, pas pour de la prospection ; les réutiliser est un détournement de finalité (Partie 4), sujet particulièrement surveillé. Pour prospecter, il faut une base propre (consentement pour des particuliers) et le respect des règles de la plateforme CPF. La bonne pratique : demander, séparément et clairement, un consentement à recevoir des offres — que le stagiaire est libre de refuser.
🧠 Quiz de révision
1. Sur quelle base légale un organisme de formation privé traite-t-il ses stagiaires ?
Le plus souvent le contrat (convention/contrat de formation, art. 6.1.b) et l’obligation légale (art. 6.1.c) pour ce que la loi impose de conserver et prouver (émargements, réalisation, comptabilité). La prospection, elle, relève du consentement (B2C) ou de l’intérêt légitime (B2B).
2. Qualiopi rend-il conforme au RGPD ?
Non. Qualiopi certifie la qualité du processus de formation ; le RGPD encadre la protection des données. Deux cadres indépendants. Un OF certifié Qualiopi doit tout de même tenir son registre, ses bases légales, ses durées et sa sécurité.
3. Que faire des coordonnées récupérées via le CPF pour de la prospection ?
Ne pas les réutiliser pour prospecter : ce serait un détournement de finalité. Il faut une base propre (consentement) et respecter les règles de la plateforme CPF. C’est un usage particulièrement surveillé par les autorités.
4. Combien de temps conserver les émargements ?
Le principe : les conserver au titre de l’obligation légale de preuve, en archivage à accès restreint, pour une durée bornée par les textes (formation, comptabilité, contrôle), puis les supprimer. Les durées précises se vérifient à la source ; le principe de purge doit être codé, pas laissé au hasard.
5. Les informations sur le handicap d’un stagiaire sont-elles sensibles ?
Oui : ce sont des données de santé (art. 9). Accès restreint au référent handicap (dont Qualiopi impose l’existence), cloisonnement technique, pas de champ libre. C’est le point où qualité (accueil du handicap) et RGPD (donnée de santé) se rejoignent.
Chapitre suivant : Atelier : FormaCampus conforme — la synthèse : on met toute la plateforme en conformité, de la cartographie au registre, en réutilisant tout le cours.