Votre audit Qualiopi approche, et le sujet RGPD vous donne l’impression de marcher sur des œufs. Pas parce que vous ignorez vos obligations, mais parce que personne ne vous a expliqué ce que ça signifie concrètement dans votre dossier.
Le vrai problème, c’est le fossé entre la réglementation et ce qu’un auditeur attend réellement de vous. Vous savez que vous traitez des données personnelles, que vous utilisez un LMS, que vos formulaires d’inscription collectent des informations sur vos apprenants. Mais quelles preuves préparer ? Quels documents formaliser ? Où se situe exactement le lien entre protection des données et conseils Qualiopi ?
Ce guide répond à ces questions avec des éléments directement actionnables : registre des traitements adapté aux organismes de formation, preuves documentaires attendues en audit, erreurs fréquentes à corriger avant le jour J.
Quel est le lien réel entre le RGPD et l’audit Qualiopi (Indicateur 19) ?
Vous préparez votre audit Qualiopi et vous vous demandez ce que le RGPD pour les organismes de formation vient faire là-dedans. La réponse courte : le RGPD n’est pas un indicateur Qualiopi à proprement parler, mais il traverse l’ensemble du référentiel national qualité. Et c’est précisément l’indicateur 19 Qualiopi qui rend ce lien concret.
L’indicateur 19 porte sur la mise à disposition des ressources pédagogiques et la sécurisation de leur accès. En clair, l’auditeur vérifie que vos apprenants accèdent aux contenus dans un cadre maîtrisé : qui peut consulter quoi, comment les accès sont gérés, et quelles données sont générées par votre LMS au passage (logs de connexion, progression, résultats de quiz). C’est ici que la protection des données apprenants entre en jeu, pas comme un sujet juridique abstrait, mais comme une réalité opérationnelle que l’auditeur peut interroger.
Concrètement, un organisme de formation qui digitalise ses parcours collecte des données personnelles à chaque inscription, chaque connexion, chaque export CSV. Le RGPD impose de savoir quelles données vous traitez, sur quelle base légale, et combien de temps vous les conservez. L’audit Qualiopi ne vous demandera pas de réciter le règlement européen, mais un auditeur attentif remarquera l’absence de mentions d’information claires ou d’un registre des traitements à jour.
Ce qui change tout pour votre crédibilité : un dossier Qualiopi solide sur l’indicateur 19 montre que vous maîtrisez la sécurisation des accès et la traçabilité de bout en bout. Pas besoin d’un cabinet d’avocats pour ça. Il faut des preuves simples, documentées, cohérentes avec votre pratique réelle. Et c’est exactement ce que les sections suivantes vont détailler.
Cartographier vos données : le registre des traitements pour un OF
Vous savez que vous devez tenir un registre RGPD pour votre organisme de formation. Vous savez aussi que l’auditeur peut le demander. Ce que vous ne savez peut-être pas, c’est à quel point ce document peut être simple quand il est bien cadré.
Le registre des traitements n’est pas un dossier juridique de 40 pages. C’est un tableau, souvent un tableur, qui répond à quatre questions pour chaque type de donnée que vous manipulez : quoi, pourquoi, combien de temps, et comment vous la protégez. Voici les colonnes minimales à prévoir :
| Colonne | Ce qu’elle contient | Exemple pour un OF |
|---|---|---|
| Type de donnée | La catégorie de données collectées | Nom, email, résultats de quiz |
| Finalité du traitement | Pourquoi vous collectez cette donnée | Suivi de progression, preuves d’assiduité |
| Durée de conservation | Combien de temps vous la gardez | 3 ans après la fin de la formation |
| Mesures de sécurité | Comment vous protégez l’accès | Accès restreint par mot de passe, hébergement en France |
Avec ces quatre colonnes, vous couvrez l’essentiel de ce que la CNIL attend d’un petit organisme. Pas besoin de pseudonymisation avancée ni d’un DPO à temps plein.
Et voici ce que ça donne concrètement pour les traitements typiques d’un OF qui digitalise ses formations :
- Gestion des prospects : nom, email, téléphone collectés via formulaire de contact. Base légale : intérêt légitime. Conservation : 3 ans sans interaction.
- Inscriptions et suivi apprenants sur le LMS : identité, progression, logs de connexion, résultats d’évaluation. Base légale : exécution du contrat de formation. Conservation : durée de la formation + 3 ans (justificatifs Qualiopi).
- Facturation : coordonnées de facturation, montants, dates. Base légale : obligation légale comptable. Conservation : 10 ans.
Un point qui fait souvent trébucher les formateurs : la différence entre donnée essentielle et collecte excessive. Demander un nom et un email pour inscrire quelqu’un à une formation, c’est de la minimisation des données bien appliquée. Demander sa date de naissance, sa situation familiale et son numéro de sécurité sociale dans le même formulaire d’inscription, c’est de la collecte excessive (et un signal d’alerte pour un auditeur).
La règle est simple : si vous ne pouvez pas expliquer en une phrase pourquoi vous collectez une donnée, vous n’en avez probablement pas besoin. Ce réflexe de cartographie des données protège votre dossier Qualiopi et FOAD autant que vos apprenants.
Bonne nouvelle : quand votre LMS héberge les données en France et génère des exports horodatés, une bonne partie de la colonne « mesures de sécurité » se remplit toute seule. C’est le genre de détail qui rassure un auditeur sans que vous ayez eu à produire un document supplémentaire.
Les preuves documentaires RGPD attendues par l’auditeur Qualiopi
Vous avez votre registre des traitements, vos données sont cartographiées. Maintenant, la vraie question : que va chercher l’auditeur le jour J ? Pas une thèse sur le RGPD, rassurez-vous. Il veut des preuves documentaires concrètes qui montrent que la protection des données n’est pas un sujet théorique dans votre organisme, mais une pratique réelle, traçable, cohérente.
Voici les quatre livrables à avoir sous la main.
1. Les mentions d’information sur vos formulaires. Chaque formulaire d’inscription, d’évaluation ou de satisfaction qui collecte des données personnelles doit afficher une mention claire : qui traite les données, pourquoi, combien de temps, et comment l’apprenant peut exercer ses droits d’accès et rectification. Pas besoin d’un pavé juridique : cinq à dix lignes suffisent, visibles au moment de la saisie. Si vos formulaires passent par un LMS, vérifiez que ces mentions apparaissent avant la validation (et pas cachées dans un lien en bas de page que personne ne clique).
2. Une politique de confidentialité accessible. C’est le document de référence pour vos apprenants. Il détaille l’ensemble des traitements, les durées de conservation, les sous-traitants impliqués et les coordonnées du responsable de traitement. L’auditeur peut demander à le consulter, ou simplement vérifier qu’un lien existe sur votre espace de formation. Avec Teachizy, cette politique de confidentialité peut être intégrée directement dans le pied de page personnalisable de votre espace apprenant, visible à chaque connexion.
3. Un tableau des durées de conservation. L’auditeur veut savoir combien de temps vous gardez quoi, et sur quelle base. Concrètement :
- Factures et documents comptables : 10 ans (Code de commerce, art. L123-22)
- Documents fiscaux (déclarations TVA, IS) : 6 ans (guide CNIL sur les durées de conservation)
- Feuilles d’émargement et preuves d’assiduité : 5 ans par analogie avec les justificatifs sociaux (Code du travail, art. L3243-4)
- Données prospects sans interaction : 2 ans maximum après le dernier contact
Ce tableau n’a pas besoin d’être un document séparé : une colonne dans votre registre des traitements fait l’affaire. L’essentiel, c’est que les durées soient définies, justifiées et appliquées.
4. Une procédure en cas de violation de données. Même minimaliste, ce document prouve que vous avez anticipé le scénario. Qui prévenir en interne, comment évaluer la gravité, dans quel délai notifier la CNIL (72 heures). Une page A4 suffit. L’auditeur ne testera pas votre plan de crise, il vérifiera qu’il existe.
Ce qui rassure vraiment un auditeur dans un dossier RGPD pour les organismes de formation, ce n’est pas le volume de documents. C’est leur cohérence avec votre pratique quotidienne. Un formateur qui utilise un LMS hébergé en France, qui affiche ses obligations légales sur ses pages et qui peut montrer un registre à jour en deux clics, celui-là passe l’audit sereinement.
Outils numériques et LMS : maîtriser la sous-traitance de vos données
Dès que vous utilisez un LMS, un outil d’emailing ou un logiciel de facturation pour gérer vos apprenants, vous confiez des données personnelles à un tiers. Et aux yeux du RGPD, ça change votre rôle juridique : vous restez le responsable de traitement, c’est-à-dire celui qui décide quoi collecter et pourquoi. L’outil, lui, agit comme sous-traitant RGPD : il traite les données pour votre compte, selon vos instructions.
Cette distinction n’est pas théorique. En cas de problème (fuite, accès non autorisé, perte de données), c’est vous que la CNIL viendra voir en premier. Pas votre prestataire.
Voici ce que ça implique concrètement pour un organisme de formation qui digitalise son activité :
- Vérifiez le DPA (Data Processing Agreement) de chaque outil que vous utilisez. Ce contrat encadre la sous-traitance : quelles données sont traitées, où elles sont hébergées, quelles mesures techniques et organisationnelles le prestataire applique. Pas de DPA accessible ? C’est un signal d’alerte.
- Contrôlez la localisation des serveurs. Un hébergement hors Union Européenne expose vos données apprenants à des législations moins protectrices (Cloud Act américain, par exemple). Pour un LMS adapté à votre organisme, privilégiez un hébergement en France ou en Europe.
- Listez vos sous-traitants dans votre registre. L’auditeur Qualiopi peut vous demander qui accède aux données de vos apprenants. Avoir cette liste prête (nom de l’outil, finalité, localisation) renforce la crédibilité de votre dossier.
C’est là que le choix de votre plateforme fait une vraie différence. Teachizy héberge l’ensemble des données sur des serveurs situés en France (Titan Datacenters à Mougins, Scaleway à Paris), avec une compatibilité RGPD native. Vos données apprenants, vos logs de connexion, vos exports CSV : tout reste sur le territoire français, sans transfert vers des juridictions tierces. Pour un petit OF qui prépare son audit Qualiopi, c’est un point de conformité réglé d’office, sans configuration supplémentaire.
Un réflexe à prendre : avant d’ajouter un nouvel outil à votre chaîne numérique (Zapier, Brevo, Stripe…), posez-vous deux questions. Où partent les données ? Et est-ce que j’ai un contrat qui encadre ce transfert ? Ces deux vérifications, documentées dans votre registre, suffisent à montrer à l’auditeur que vous maîtrisez votre chaîne de sous-traitance.
Les 3 erreurs RGPD fréquentes qui fragilisent votre audit
Vous avez préparé votre registre, rassemblé vos preuves, choisi un LMS hébergé en France. Et pourtant, le jour de l’audit, un détail peut tout faire basculer. Pas une faille technique majeure, pas un oubli juridique spectaculaire : une habitude quotidienne que personne n’a remise en question.
Voici les trois erreurs que les auditeurs repèrent le plus souvent chez les petits organismes de formation.
Erreur n°1 : le formulaire d’inscription qui demande tout. Date de naissance, situation professionnelle détaillée, adresse postale complète, parfois même le numéro de sécurité sociale. Pour une formation en ligne, un nom, un email et éventuellement un numéro de téléphone suffisent. Chaque champ supplémentaire sans justification viole le principe de minimisation des données et donne à l’auditeur un motif concret d’observation. La règle : si vous ne pouvez pas rattacher un champ à une finalité précise de votre registre, supprimez-le.
Erreur n°2 : conserver les dossiers apprenants indéfiniment. Beaucoup de formateurs gardent « au cas où » des données vieilles de cinq, huit, dix ans. Or l’absence de politique de purge documentée est un signal d’alerte immédiat. Un auditeur qui voit des durées de conservation floues ou inexistantes dans votre registre comprend que la gestion de vos données formation n’est pas maîtrisée. Fixez des échéances claires (3 ans après la fin de la formation pour les données pédagogiques, par exemple) et appliquez-les.
Erreur n°3 : utiliser des outils numériques sans encadrement contractuel. Un tableur Google Sheets partagé avec trois collaborateurs, un Dropbox personnel pour stocker les évaluations, un LMS étranger sans DPA accessible : autant de failles dans la sécurité des outils de digitalisation. L’auditeur ne vous demandera pas un audit technique de chaque logiciel, mais il peut vérifier que vous savez où transitent les données de vos apprenants. Si vous ne pouvez pas répondre en 30 secondes, c’est qu’il y a un problème.
Ces trois erreurs ont un point commun : elles ne viennent pas d’un manque de volonté, mais d’un manque de cadre. Un RGPD pour les organismes de formation bien appliqué, ce n’est pas un projet à part : c’est une hygiène intégrée à vos outils quotidiens. Quand votre LMS limite nativement les champs collectés, héberge les données en France et génère des exports horodatés avec des accès traçables, vous éliminez ces erreurs avant même qu’elles n’apparaissent.
Comment Teachizy sécurise vos données apprenants pour Qualiopi
Vous avez identifié vos traitements, préparé vos preuves, vérifié vos sous-traitants. Reste une question pratique : est-ce que votre LMS vous aide réellement à tenir tout ça, ou est-ce qu’il ajoute une couche de complexité ?
Avec Teachizy, la réponse est intégrée dès le départ. L’ensemble des données apprenants est hébergé sur des serveurs situés en France (Titan Datacenters à Mougins, Scaleway à Paris). Pas de transfert vers les États-Unis, pas de zone grise juridique liée au Cloud Act. Pour un petit organisme qui prépare son audit Qualiopi RGPD, c’est une ligne de votre registre qui se remplit sans effort.
Côté preuves d’assiduité, Teachizy génère des exports CSV horodatés et des logs de connexion détaillés par apprenant. Vous pouvez les produire en quelques clics le jour de l’audit, sans bricolage ni captures d’écran improvisées. Les outils de suivi et d’analyse couvrent la progression individuelle, les résultats d’évaluation et les temps de connexion, exactement ce qu’un auditeur cherche pour valider l’indicateur 19.
Autre détail qui compte : Teachizy intègre des CGV par défaut, modifiables selon vos besoins. Vous gardez la main sur vos mentions légales, votre politique de confidentialité en pied de page, vos conditions de vente. Le formateur reste responsable de traitement, et la plateforme agit comme sous-traitant fiable avec un cadre clair.
Bref, un LMS français compatible RGPD qui vous laisse vous concentrer sur la pédagogie plutôt que sur la conformité technique (et ça, un auditeur le voit tout de suite).
Votre checklist RGPD avant l’audit de surveillance Qualiopi
Vous avez lu, compris, structuré. Il reste à vérifier que rien ne manque le jour J. Voici une checklist audit Qualiopi à parcourir point par point, idéalement une semaine avant la visite de l’auditeur.
- Registre des traitements à jour : chaque traitement (inscription, suivi LMS, facturation, prospection) a sa ligne avec finalité, base légale, durée de conservation et mesures de sécurité. Dernière mise à jour datée de moins de 6 mois.
- Mentions d’information visibles sur tous les points de collecte : formulaire d’inscription, page de contact, espace apprenant, formulaire de satisfaction. Vérifiez qu’elles apparaissent avant la validation, pas dans un sous-menu oublié.
- Contrats sous-traitants vérifiés : pour chaque outil qui traite des données apprenants (LMS, Stripe, outil emailing connecté via Zapier), un DPA accessible et une localisation des serveurs identifiée. Teachizy, par exemple, coche cette case nativement avec un hébergement 100 % France.
- Purge des données anciennes effectuée : les dossiers apprenants au-delà de votre durée de conservation définie ont été supprimés ou anonymisés. Gardez une trace datée de cette opération (un simple email interne ou une ligne dans un tableur suffit).
- Procédure de violation de données rédigée, même en une page : qui prévenir, comment évaluer, dans quel délai contacter la CNIL en cas de violation.
- Politique de confidentialité accessible depuis votre espace de formation et vos pages de vente.
Si vous cochez ces six points, votre conformité RGPD en tant qu’organisme de formation ne sera pas un angle mort pendant l’audit. Ce sera un point de solidité.
L’essentiel à retenir
- L’indicateur 19 Qualiopi exige de prouver que vous maîtrisez les données de vos apprenants, de l’inscription jusqu’à l’archivage.
- Un registre des traitements simple et des mentions d’information sur vos formulaires constituent vos preuves d’audit indispensables.
- Un LMS hébergé en France sécurise votre chaîne de sous-traitance et rassure immédiatement l’auditeur le jour J.
Vous avez désormais toutes les clés pour réussir votre audit. Une fois ce volet maîtrisé, passez à l’étape suivante en découvrant comment promouvoir votre formation en ligne. Pour digitaliser votre activité sans stress technique, vous pouvez essayer Teachizy gratuitement dès maintenant.