Passer au contenu
Faire le point
Critère ISS-DP-04 — Conformité RGPD — Noyau Systémique — Référentiel ISS Turquoise Academy
Structurer un organisme Données & Pilotage ISS-DP-04

ISS-DP-04 — Conformité RGPD

Alan CALLOC'H
Alan CALLOC'H

STRUCTURER Données & Pilotage → ISS-DP-04

Organisme de formation : des données personnelles collectées, stockées et utilisées sans cadre structuré pour garantir leur traitement conforme au RGPD

Des formulaires collectent des données. Un CRM les stocke. Des emails les utilisent. Des sous-traitants y ont accès. Mais personne ne sait exactement quelles données sont collectées, pour quelle finalité, combien de temps elles sont conservées ni si les personnes concernées ont été correctement informées de leurs droits. La conformité RGPD n'est pas une formalité administrative. C'est un cadre de traitement des données qui engage la responsabilité de l'organisme vis-à-vis de chaque personne dont il détient des informations. Un organisme non conforme ne le sait généralement pas — jusqu'au contrôle ou à l'incident qui le révèle.

Comprendre l'ISS

Le référentiel ISS — Indice de Solidité Structurelle — évalue la robustesse d'un organisme de formation à travers 5 piliers et 35 critères.

Chaque critère analyse un point précis de l'architecture — indépendamment de la performance apparente ou du volume d'activité.

Principe clé : la performance ne compense jamais une fragilité structurelle.

Lecture : 5 niveaux de maturité, de Fragile à Résilient, selon une logique non compensatoire.

Ce critère appartient au pilier Données & Pilotage — qui mesure la capacité de l'organisme de formation à comprendre ce qui se passe réellement et à agir en conséquence.

 

Présentation du critère

La conformité RGPD ne se déclare pas. Elle se démontre — par des registres tenus, des consentements traçables et des procédures qui fonctionnent indépendamment des individus qui les connaissent.

Le critère ISS-DP-04 évalue la capacité d'un organisme de formation à traiter les données personnelles de ses apprenants, prospects, clients et collaborateurs dans le respect du Règlement Général sur la Protection des Données — par un cadre structuré qui couvre la collecte, le stockage, l'utilisation, la durée de conservation et les droits des personnes concernées.

La conformité RGPD est le socle de la responsabilité numérique de l'organisme. Sans elle, chaque activité de collecte de données — formulaires, CRM, emails, outils pédagogiques — produit un risque réglementaire et financier que l'organisme ne mesure pas, parce qu'il ne sait pas précisément ce qu'il traite ni comment.

Dans la plupart des organismes de formation fragiles, une conscience du RGPD existe — une mention légale sur le site, une case à cocher dans les formulaires — mais aucun cadre structuré ne garantit que les obligations réelles sont respectées en continu et défendables lors d'un contrôle.

Une mention légale sur un site ne constitue pas une conformité RGPD. Elle constitue une apparence de conformité — jusqu'au contrôle qui vérifie ce qui se passe réellement.

Faire le Pré-diagnostic ISS

 

Ce que le critère révèle

Un organisme de formation dont la conformité RGPD est maîtrisée peut affirmer les six réalités suivantes.

  • Lisibilité de l'ensemble des traitements de données personnelles. L'organisme sait exactement quelles données personnelles il collecte, pour quelle finalité, sur quelle base légale et combien de temps elles sont conservées — pour chaque traitement, pas seulement pour les plus visibles. Un registre des traitements à jour permet de répondre à tout moment à la question : que faites-vous avec les données de vos apprenants et prospects ?
  • Traçabilité des consentements et des bases légales. Les consentements collectés sont tracés et vérifiables — l'organisme peut démontrer qu'une personne a consenti à un traitement spécifique, à quel moment et dans quelles conditions. Un droit d'accès ou une plainte ne crée pas de mobilisation exceptionnelle — les preuves de consentement et les bases légales sont accessibles sans reconstitution.
  • Continuité de la conformité indépendante des individus. Les procédures de traitement des données personnelles fonctionnent indépendamment de la personne qui les connaît — elles sont documentées et applicables par tout collaborateur concerné. Le départ d'un collaborateur qui gérait la conformité RGPD ne crée pas de rupture dans le respect des obligations — les procédures appartiennent au système, pas à l'individu.
  • Risque de la conformité de surface. Un organisme peut afficher une politique de confidentialité, des cases à cocher et une mention RGPD sur ses formulaires — sans que les traitements réels correspondent aux déclarations, sans registre des traitements à jour et sans procédure de gestion des droits. La conformité visible ne protège pas contre un contrôle de fond. Elle protège contre une lecture superficielle — ce qui n'est pas la même chose.
  • Capacité à répondre aux droits des personnes dans les délais légaux.Une demande d'accès, de rectification, d'effacement ou de portabilité peut être traitée dans le délai légal d'un mois — sans mobilisation exceptionnelle ni recherche manuelle dans des systèmes dispersés. L'exercice des droits par une personne concernée est absorbé structurellement — il ne crée pas une crise opérationnelle parce que les données sont localisables et les procédures documentées.
  • Couverture de l'ensemble de la chaîne de traitement.La conformité couvre non seulement les traitements directs de l'organisme mais aussi ceux de ses sous-traitants qui accèdent aux données personnelles — CRM, outils pédagogiques, prestataires marketing. La responsabilité de l'organisme ne s'arrête pas à ses propres outils — elle couvre l'ensemble de la chaîne de traitement dont il est responsable de droit.

Ce que le critère ne mesure pas

  • Ce critère ne porte que sur la structuration de la conformité RGPD dans les pratiques réelles de l'organisme. Il ne dit rien de : la sécurité technique des systèmes qui stockent les données personnelles, la conformité des sous-traitants eux-mêmes à leurs propres obligations RGPD, les aspects juridiques spécifiques liés à des traitements particuliers qui nécessitent un conseil juridique spécialisé.

Signaux observables

▶️ L'organisme ne dispose pas d'un registre des traitements de données personnelles à jour.

L'absence de registre des traitements est l'indicateur le plus direct d'une non-conformité structurelle — c'est la première pièce demandée lors d'un contrôle CNIL et la base de toute démarche de conformité sérieuse.

▶️ Les données personnelles collectées via les formulaires du site sont utilisées à des fins qui n'ont pas été explicitement portées à la connaissance des personnes concernées.

Une utilisation non déclarée des données confirme que la base légale du traitement n'a pas été définie — les données sont utilisées sans que l'organisme ait vérifié qu'il en avait le droit dans les conditions où il le fait.

▶️ Aucune procédure ne définit comment répondre à une demande d'accès ou d'effacement d'un apprenant ou d'un prospect.

L'absence de procédure de gestion des droits confirme que la conformité est déclarative — l'organisme affiche les droits des personnes sans avoir défini comment les exercer concrètement dans ses systèmes.

▶️ Les sous-traitants qui accèdent aux données personnelles de l'organisme n'ont pas signé de contrat de traitement de données conforme au RGPD.

L'absence de contrats de sous-traitance conformes expose l'organisme à une responsabilité directe pour les traitements effectués par ses prestataires — la chaîne de responsabilité n'est pas couverte structurellement.

▶️ Des données personnelles sont conservées sans limite de durée définie dans des outils qui ne sont jamais nettoyés.

Une conservation illimitée par défaut révèle l'absence d'une politique de durée de conservation — les données s'accumulent sans que leur pertinence soit réévaluée, créant un risque croissant proportionnel au volume accumulé.

 

Les 5 niveaux de maturité

Tous les organismes de formation ne traitent pas les données personnelles avec le même niveau de rigueur réglementaire. Le degré de structuration de la conformité RGPD détermine directement la capacité à défendre ses pratiques lors d'un contrôle — et à maintenir la confiance des apprenants et des clients sur la façon dont leurs données sont traitées.

Niveau 1 — Fragile

Non structuré

Aucun cadre de conformité RGPD n'existe. Les données personnelles sont collectées et utilisées sans base légale définie, sans registre des traitements et sans information structurée des personnes concernées. Un contrôle CNIL produirait des manquements majeurs immédiats.

 

Niveau 2 — Tendu

Partiel et instable

Une politique de confidentialité existe sur le site et des cases à cocher sont présentes sur les formulaires. Aucun registre des traitements n'est maintenu. Aucune procédure de gestion des droits n'est définie. Les sous-traitants n'ont pas de contrats conformes. La conformité est visible en surface, inexistante en profondeur.

 

Niveau 3 — Stabilisé

Structuré de base (seuil critique)

Un registre des traitements est maintenu et à jour. Les bases légales sont définies pour les traitements principaux. Une procédure de gestion des droits existe. Les principaux sous-traitants ont des contrats conformes. La conformité est défendable lors d'un contrôle de premier niveau.

 

Niveau 4 — Structuré

Piloté

La conformité couvre l'ensemble des traitements et de la chaîne de sous-traitance. Les durées de conservation sont définies et appliquées. Les procédures de gestion des droits sont documentées et opérationnelles. La conformité est pilotée en continu — les nouveaux traitements sont évalués avant leur mise en place.

 

Niveau 5 — Résilient

Optimisé et scénarisé

La conformité RGPD est intégrée dans les processus opérationnels — chaque nouveau traitement de données est évalué automatiquement. Le registre est maintenu en temps réel. Les droits des personnes sont traitables sans délai. La conformité est indépendante de tout individu et défendable à tout moment lors d'un contrôle approfondi.


En dessous du niveau 3, ce critère expose l'organisme à un risque réglementaire et financier structurel — non parce qu'un contrôle est probable, mais parce que les pratiques réelles ne correspondent pas aux obligations légales qui s'appliquent à tous les organismes traitant des données personnelles.

Ce que ce critère ne dit pas

Un cadre de conformité RGPD structuré ne garantit pas la solidité globale. Il peut rester :

- fragile si la sécurité technique des systèmes qui stockent les données personnelles n'est pas assurée — conformité et sécurité sont deux dimensions complémentaires mais distinctes

- insuffisant si les pratiques réelles divergent des procédures documentées — une conformité sur papier qui ne correspond pas à ce qui se passe dans les outils ne protège pas lors d'un contrôle approfondi

- partiel si la chaîne de sous-traitance n'est pas couverte — la responsabilité de l'organisme s'étend à l'ensemble des prestataires qui accèdent aux données dont il est responsable

Un organisme de formation peut être solide sur ce critère et rester fragile sur d'autres dimensions du même pilier.

Critères en interaction

ISS-OC-02 — Sécurité & continuité des données

Sans ISS-OC-02, la conformité RGPD reste déclarative sur la sécurité — les données personnelles sont protégées réglementairement sur le papier sans que les systèmes qui les stockent offrent une protection technique réelle contre la perte, l'altération ou l'accès non autorisé.

Découvrir

 

ISS-OC-03 — Centralisation documentaire

Sans ISS-OC-03, le registre des traitements et les preuves de conformité ne peuvent pas être maintenus à jour ni produits rapidement lors d'un contrôle — la conformité existe peut-être dans les pratiques sans être documentée de façon accessible et défendable.

Découvrir

 

ISS-VA-01 — Capture de leads

Sans ISS-DP-04, chaque formulaire de capture de leads est un point de risque réglementaire non maîtrisé — les données collectées n'ont pas de base légale définie, les consentements ne sont pas tracés et les finalités ne sont pas documentées.

Découvrir

 

Lecture via le diagnostic ISS

Ce critère est évalué selon une logique non compensatoire.

Un niveau faible sur ISS-DP-04 expose l'organisme à un risque réglementaire structurel — indépendamment de la probabilité d'un contrôle, les obligations légales s'appliquent dès lors que des données personnelles sont traitées, et leur non-respect engage la responsabilité civile et pénale de l'organisme. Les critères ISS-OC-02, ISS-OC-03 et ISS-VA-01 deviennent partiellement ininterprétables en l'absence d'un cadre de conformité RGPD qui couvre l'ensemble des traitements, des sous-traitants et des procédures de gestion des droits.

Ce critère ne peut pas être compensé par la performance d'un autre pilier.

Lecture du critère :

  • la lisibilité de l'ensemble des traitements — registre à jour, bases légales définies, durées de conservation documentées
  • la distinction entre conformité visible et conformité défendable — une politique de confidentialité ne suffit pas à démontrer une conformité réelle
  • la couverture de la chaîne complète — sous-traitants, outils, procédures de gestion des droits

Ce que cette lecture incomplète produit dans la réalité

Un organisme de formation qui affiche une politique de confidentialité et des cases à cocher sur ses formulaires peut croire être conforme au RGPD — et constater lors d'un contrôle ou d'une plainte qu'aucun registre des traitements n'existe, qu'aucun contrat de sous-traitance n'a été signé avec ses prestataires et qu'aucune procédure ne permet de répondre à une demande d'effacement dans le délai légal. La conformité de surface protège contre une lecture rapide. Elle ne protège pas contre une vérification réelle. Et quand la vérification arrive — qu'elle soit déclenchée par un contrôle, une plainte ou un incident — la distance entre ce qui est affiché et ce qui se passe réellement devient le problème, pas l'incident lui-même.

Sans cette lecture, la conformité RGPD reste une formalité d'affichage — pas un cadre structuré qui garantit que les données personnelles de chaque apprenant, prospect et client sont traitées conformément aux droits qui leur sont reconnus

 

Parcourir le référentiel

Pilier Données & Pilotage

 

← ISS-DP-03 — Capacité d’absorption organisationnelle

 

ISS-DP-05 — Suivi du tunnel de vente →

 

Partager ce post

Poursuivre la lecture