Aller au contenu principal
jerome@kaliopi.io01 59 13 14 38
Kaliopi.io

RGPD et Qualiopi 2026 : obligations et bonnes pratiques pour les organismes de formation

Mis à jour en mai 2026

Le RGPD s'applique à tous les organismes de formation qui traitent des données personnelles de stagiaires, formateurs et clients. Bien que Qualiopi ne mentionne pas explicitement le RGPD, sa conformité est un attendu de professionnalisme. Les points clés : registre des traitements, durée de conservation limitée, information des stagiaires et sécurisation des données.

Le RGPD s'applique-t-il aux organismes de formation ?

Oui, tout organisme de formation traite des données personnelles : noms, emails, coordonnées, données de santé (handicap, PSH), résultats d'évaluation. Ces traitements sont soumis au Règlement Général sur la Protection des Données (RGPD) en vigueur depuis mai 2018 en France et dans toute l'UE.

  • Données traitées typiques : noms/prénoms stagiaires, emails, téléphones, adresses, données employeur, résultats d'évaluation, émargements
  • Données sensibles possibles : situation de handicap, besoins d'adaptation PSH — soumises à des règles renforcées
  • Responsable de traitement : l'OF est responsable du traitement de ces données, même s'il utilise un logiciel tiers
  • Sous-traitants : tout prestataire traitant des données pour votre compte (logiciel, hébergeur, formateur vacataire) doit signer un DPA (accord de sous-traitance RGPD)
  • Sanction CNIL : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial — en pratique, les OF reçoivent des mises en demeure et sanctions proportionnées
  • PME et indépendants concernés : le RGPD s'applique quelle que soit la taille de l'OF, même à un formateur indépendant auto-entrepreneur

Le registre des traitements : obligatoire pour votre OF

Le registre des traitements est le document central de votre conformité RGPD. Il liste tous les traitements de données personnelles effectués par votre OF, leur finalité, leur durée de conservation et les mesures de sécurité associées. C'est la base de votre accountability (responsabilisation).

  • Contenu minimal : nom du traitement, finalité, catégories de données, catégories de personnes concernées, durée de conservation, mesures de sécurité
  • Exemples de traitements pour un OF : gestion des stagiaires, facturation clients, gestion des formateurs, envoi des émargements, évaluations de satisfaction
  • Format libre : le registre peut être un tableau Excel, un document Word ou un logiciel dédié — l'essentiel est qu'il soit tenu à jour
  • Mise à jour obligatoire : tout nouveau traitement doit être ajouté au registre avant sa mise en œuvre
  • Inspection CNIL : en cas de contrôle, la CNIL peut demander votre registre — son absence est une non-conformité caractérisée
  • Modèle CNIL : la CNIL propose un modèle de registre téléchargeable sur cnil.fr — point de départ recommandé

Durée de conservation des données : les règles pour les OF

La durée de conservation est l'un des points les plus souvent négligés par les OF. Le RGPD impose de ne conserver les données que le temps nécessaire à la finalité du traitement. Pour les formations professionnelles, des durées spécifiques s'appliquent.

  • Données de formation (convention, émargement, attestation) : 5 ans après la fin de la formation (prescription légale en droit commercial)
  • Données comptables et factures : 10 ans (obligation comptable légale)
  • Données de candidats non retenus : 2 ans maximum après la fin du processus de sélection
  • Dossier PSH / données de santé : durée de la formation + 1 an maximum (données sensibles à durée limitée)
  • Données de satisfaction et évaluation : 3 ans maximum après la collecte (usage statistique interne)
  • Purge obligatoire : une fois la durée dépassée, les données doivent être supprimées ou anonymisées — prévoir une procédure de purge régulière

Informer les stagiaires : l'obligation de transparence

Avant de collecter des données personnelles, vous devez informer les stagiaires de façon claire et complète. Cette information peut figurer dans la convention de formation, le règlement intérieur ou un document dédié. Elle doit être remise avant ou au moment de la collecte des données.

  • Identité du responsable de traitement : nom de votre OF et coordonnées
  • Finalités du traitement : à quoi servent les données collectées (gestion de la formation, facturation, émargement, satisfaction)
  • Base légale : exécution du contrat (formation), obligation légale (facturation), intérêt légitime (amélioration de la formation)
  • Durée de conservation : indiquez la durée ou les critères qui la déterminent
  • Droits des personnes : droit d'accès, de rectification, d'effacement, de portabilité, d'opposition — et comment les exercer
  • Transfert hors UE : si vous utilisez des outils hébergés hors UE (certains logiciels US), vous devez le mentionner et justifier les garanties

RGPD et référentiel Qualiopi : le lien

Le référentiel Qualiopi ne cite pas explicitement le RGPD, mais plusieurs indicateurs y font écho indirectement. La protection des données des stagiaires participe à la qualité globale de votre démarche et peut être abordée lors d'un audit.

  • Indicateur 7 (accessibilité et handicap) : les données PSH sont sensibles — leur traitement sécurisé est implicitement attendu
  • Indicateur 13 (traçabilité des résultats) : les résultats d'évaluation doivent être conservés de façon sécurisée et accessible
  • Indicateur 21 (amélioration continue) : l'exploitation des données de satisfaction doit respecter le RGPD
  • Sous-traitants et partenaires (indicateurs 19-20) : vérifier la conformité RGPD de vos intervenants extérieurs est une bonne pratique
  • Politique qualité globale : un OF sérieux intègre le RGPD dans sa politique qualité — les auditeurs Qualiopi y sont sensibles
  • Risque reputationnel : une fuite de données peut compromettre la confiance des stagiaires et des financeurs

Kaliopi.io et RGPD : vos données de formation sécurisées

Kaliopi.io est hébergé en Europe (Supabase Ireland) et conçu pour vous aider à gérer vos données de formation dans le respect du RGPD. Toutes les données sont chiffrées et l'accès est contrôlé par authentification sécurisée.

  • Hébergement EU : données stockées en Irlande (EU), aucun transfert hors UE par défaut
  • Accès sécurisé : authentification multi-facteurs disponible, accès cloisonné par organisme
  • Données minimales : Kaliopi.io ne collecte que les données nécessaires à la gestion de votre formation
  • Export et portabilité : vous pouvez exporter vos données à tout moment — vous restez propriétaire
  • Suppression possible : en cas de résiliation, vos données sont supprimées dans les délais réglementaires
  • 100% gratuit : la sécurité et la conformité RGPD sont incluses dans le plan gratuit Kaliopi.io

Points clés à retenir

  • Tout OF traite des données personnelles de stagiaires — le RGPD s'applique, quelle que soit votre taille
  • Le registre des traitements est obligatoire et doit être tenu à jour pour chaque traitement (formation, facturation, satisfaction)
  • Durée de conservation : 5 ans pour les documents de formation, 10 ans pour les factures, données PSH à purger sous 1 an après la formation
  • Informez vos stagiaires avant de collecter leurs données : finalité, durée, droits d'accès et de rectification
  • Kaliopi.io est hébergé en Europe et conçu pour la conformité RGPD des organismes de formation

Questions fréquentes

Oui. Le RGPD s'applique à toute entité qui traite des données personnelles, quelle que soit sa taille. En tant que formateur indépendant, vous collectez les noms, emails et coordonnées de vos stagiaires — vous êtes responsable de traitement à part entière. Vous devez tenir un registre des traitements, informer vos stagiaires de leurs droits et conserver les données le temps strictement nécessaire. La CNIL propose des guides spécifiques pour les TPE/indépendants.

Les conventions de formation, émargements et attestations de présence doivent être conservés 5 ans après la fin de la formation (prescription légale en droit commercial français). Les factures doivent être conservées 10 ans (obligation comptable). Les données sensibles comme les informations sur le handicap doivent être conservées le moins longtemps possible — en général, la durée de la formation plus 1 an maximum.

Oui. Tout prestataire qui traite des données personnelles pour votre compte est un sous-traitant RGPD au sens de l'article 28 du règlement. Vous devez vérifier qu'il propose un DPA (Data Processing Agreement ou accord de sous-traitance) et que ses conditions garantissent un niveau de protection adéquat. Privilégiez les solutions hébergées en Europe. Kaliopi.io est hébergé en Irlande (UE) et met à disposition ses conditions de traitement des données.

Les sanctions CNIL sont graduées. Pour un petit OF, une première non-conformité donne généralement lieu à une mise en demeure avec délai de correction. En cas de récidive ou de manquement grave (fuite de données non déclarée, absence totale de registre), des sanctions financières s'appliquent. Les amendes pour PME/TPE sont généralement comprises entre 1 000€ et 50 000€ selon la gravité. La CNIL dispose aussi du pouvoir d'injonction (obligation de mettre en conformité sous peine de 150€/jour d'astreinte).

Gérez votre Qualiopi sans effort

Kaliopi produit vos documents, suit vos indicateurs et prépare votre audit — gratuitement, sans engagement.

Démarrer gratuitement