Visuel ISS-DP-04 sur la conformité RGPD, référentiel ISS Turquoise Academy

STRUCTURER DONNÉES et PILOTAGE

ISS-DP-04 — Conformité RGPD

Alan CALLOC'H

5 mai 2026

STRUCTURER → Données & Pilotage → ISS-DP-04

Un organisme de formation, un CFA ou une école privée peut collecter, stocker et utiliser des données personnelles chaque jour — sans disposer d’un cadre structuré garantissant que ces traitements sont réellement conformes au RGPD.

Des formulaires collectent des données. Un CRM les stocke. Des emails les utilisent. Des outils pédagogiques, administratifs ou marketing y accèdent. Des prestataires les traitent. Mais personne ne sait toujours précisément quelles données sont collectées, pour quelle finalité, sur quelle base légale, pendant combien de temps elles sont conservées ni comment les droits des personnes concernées sont traités dans le réel. La conformité RGPD n’est pas une formalité d’affichage. C’est un cadre de traitement qui engage directement la responsabilité de la structure envers chaque personne dont elle détient des données. Une structure non conforme le sait rarement à l’avance. Elle le découvre au contrôle, à la plainte ou à l’incident.

Comprendre l'ISS

Le référentiel ISS — Indice de Solidité Structurelle — évalue la robustesse d’une structure de formation à travers 5 piliers et 35 critères.

Chaque critère analyse un point précis de l’architecture, indépendamment de la performance apparente ou du volume d’activité.

Principe clé : la performance ne compense jamais une fragilité structurelle.

Lecture : 5 niveaux de maturité, de Fragile à Résilient, selon une logique non compensatoire.

Ce critère appartient au pilier Données & Pilotage — qui mesure la capacité de la structure à comprendre ce qui se passe réellement et à agir en conséquence.

Présentation du critère

La conformité RGPD ne se déclare pas. Elle se démontre.

Le critère ISS-DP-04 évalue la capacité d’une structure à traiter les données personnelles de ses prospects, candidats, apprenants, apprentis, élèves, clients, familles, entreprises partenaires, intervenants ou collaborateurs dans le respect du RGPD, à travers un cadre structuré couvrant la collecte, l’usage, la conservation, les droits des personnes et la chaîne de sous-traitance.

La conformité RGPD est le socle de la responsabilité numérique de la structure. Sans elle, chaque activité de collecte, de stockage ou d’utilisation des données produit un risque réglementaire que la structure ne maîtrise pas réellement, parce qu’elle ne sait pas précisément ce qu’elle traite, pourquoi, pendant combien de temps et dans quelles conditions.

Dans la plupart des structures fragiles, une conscience du RGPD existe — politique de confidentialité, cases à cocher, mentions visibles — mais aucun cadre structuré ne garantit que les obligations réelles sont respectées dans les pratiques, les outils et la durée.

Critère A1 — Survie. En dessous du niveau 3, ce critère active un verrou absolu — toute stratégie de croissance, de cession ou de développement est structurellement non fondée tant que la dépendance au dirigeant n'est pas résolue.

Une mention légale visible ne constitue pas une conformité RGPD. Elle constitue souvent une apparence de conformité.

Faire le Pré-diagnostic ISS

Ce que le critère révèle

Une structure dont la conformité RGPD est maîtrisée peut affirmer les six réalités suivantes.

Lisibilité de l’ensemble des traitements de données personnelles. La structure sait quelles données elle collecte, pour quelle finalité, sur quelle base légale et pour quelle durée de conservation, sur l’ensemble de ses traitements — pas uniquement sur les plus visibles. Elle peut répondre clairement à la question : que faisons-nous réellement des données personnelles que nous détenons ?
Traçabilité des bases légales et des consentements. Les bases légales sont définies et les consentements, lorsqu’ils sont requis, sont traçables et vérifiables. La structure peut démontrer ce qu’elle a demandé, à qui, dans quelles conditions et à quel moment.
Continuité de la conformité indépendante des individus. Les obligations RGPD ne reposent pas uniquement sur la mémoire ou la vigilance d’une personne qui “connaît le sujet”. Les procédures sont documentées, transmissibles et applicables par les personnes concernées.
Risque de la conformité de surface. Une structure peut afficher une politique de confidentialité, des cases à cocher et quelques mentions visibles sans que ses traitements réels correspondent à ce qu’elle déclare. La conformité visible ne protège pas contre une vérification de fond.
Capacité à traiter les droits des personnes dans les délais. Une demande d’accès, de rectification, d’effacement, d’opposition ou de portabilité peut être prise en charge dans le délai légal sans provoquer une mobilisation exceptionnelle ni une recherche manuelle dans des systèmes dispersés.
Couverture de l’ensemble de la chaîne de traitement. La conformité couvre non seulement les outils et traitements directs de la structure, mais aussi ses sous-traitants, prestataires et plateformes qui accèdent aux données personnelles dans le cadre de l’activité.

Ce que le critère ne mesure pas

Ce critère ne porte que sur la structuration de la conformité RGPD dans les pratiques réelles de la structure. Il ne dit rien, à lui seul, de la sécurité technique détaillée des systèmes, de la conformité propre de chaque sous-traitant à l’ensemble de ses obligations, ni des analyses juridiques spécialisées nécessaires sur certains traitements particuliers.

Signaux observables

▶️ La structure ne dispose pas d’un registre des traitements à jour.L’absence de registre révèle une non-conformité structurelle immédiate.

La structure traite des données sans disposer de la cartographie minimale qui permet de savoir ce qu’elle fait réellement.

▶️ Des données collectées via les formulaires, outils ou échanges sont utilisées à des fins qui n’ont pas été clairement portées à la connaissance des personnes concernées.

Cette utilisation confirme que les finalités, les bases légales ou l’information des personnes ne sont pas correctement cadrées.

▶️ Aucune procédure claire ne définit comment répondre à une demande d’accès, d’effacement ou de rectification.

Cette absence confirme que l’exercice des droits n’est pas absorbé structurellement par le système.

▶️ Les sous-traitants ou prestataires accédant aux données personnelles ne sont pas tous couverts par un cadre contractuel conforme.

Cette lacune expose directement la structure, car sa responsabilité ne s’arrête pas à ses propres outils.

▶️ Des données personnelles sont conservées sans durée définie ni logique claire de suppression, d’archivage ou de nettoyage.

Cette accumulation révèle l’absence d’une politique réelle de conservation. Les données s’empilent sans gouvernance claire.

Les 5 niveaux de maturité

Toutes les structures ne traitent pas les données personnelles avec le même niveau de rigueur réglementaire. Le degré de structuration de la conformité RGPD détermine directement la capacité d’un organisme de formation, d’un CFA ou d’une école privée à défendre ses pratiques et à maintenir la confiance des personnes concernées.

Niveau 1 — Fragile

Aucun cadre réel de conformité RGPD n’existe. Les données personnelles sont collectées, stockées et utilisées sans registre des traitements, sans logique claire de base légale ni cadre structuré de gestion des droits.

Niveau 2 — Tendu

Des éléments visibles existent : politique de confidentialité, cases à cocher, mentions sur les formulaires. Mais la conformité reste largement de surface. Le registre est absent ou incomplet, les procédures ne sont pas réellement opérationnelles et la chaîne de sous-traitance n’est pas correctement couverte.

Niveau 3 — Stabilisé

Un registre des traitements est maintenu. Les bases légales principales sont définies. Une procédure de gestion des droits existe. Les principaux sous-traitants critiques sont couverts. La conformité est défendable à un premier niveau de contrôle.

Niveau 4 — Structuré

La conformité couvre l’ensemble des traitements significatifs et de la chaîne de sous-traitance. Les durées de conservation sont définies et appliquées. Les nouveaux traitements sont évalués avant leur mise en œuvre. La conformité est pilotée dans le temps.

Niveau 5 — Résilient

La conformité RGPD est intégrée dans les processus opérationnels. Le registre est tenu de façon vivante, les droits sont traitables sans rupture, les nouveaux traitements sont cadrés avant activation, et la conformité reste défendable à tout moment indépendamment des individus.

En dessous du niveau 3, ce critère expose la structure à un risque réglementaire réel et continu. Non pas parce qu’un contrôle serait certain, mais parce que les obligations s’appliquent déjà, quelle que soit la visibilité du risque.

Ce que ce critère ne dit pas

Un cadre de conformité RGPD structuré ne garantit pas la solidité globale. Il peut rester :

fragile si la sécurité technique des systèmes qui stockent les données n’est pas réellement maîtrisée ;
insuffisant si les pratiques réelles divergent des procédures documentées ;
partiel si la chaîne de sous-traitance n’est couverte qu’en apparence ou de manière incomplète.

Une structure peut être solide sur ce critère et rester fragile sur d’autres dimensions du même pilier.

Critères en interaction

ISS-OC-03 — Architecture informationnelle & sécurité

Sans ISS-OC-03, la conformité RGPD reste difficile à tenir dans le réel : la structure ne sait pas clairement où se trouvent ses données, qui y a accès ni comment elles circulent entre les systèmes.

Découvrir

ISS-VA-01 — Capture des demandes entrantes

Sans ISS-DP-04, chaque formulaire, point de collecte ou flux de demande entrante peut devenir un risque réglementaire non maîtrisé. Les données sont captées avant même que leur traitement soit correctement cadré.

Découvrir

ISS-DP-06 — Data-driven mindset

Sans ISS-DP-04, la culture de la donnée peut pousser à collecter, conserver ou exploiter davantage d’informations sans cadre suffisant. La donnée devient alors un levier mal gouverné plutôt qu’un actif piloté.

Découvrir

Lecture via le diagnostic ISS

Ce critère est évalué selon une logique non compensatoire.

Un niveau faible sur ISS-DP-04 expose directement la structure à un risque réglementaire structurel. Les obligations légales s’appliquent dès lors que des données personnelles sont traitées, et leur non-respect engage la responsabilité de la structure indépendamment de la probabilité d’un contrôle.

Les critères ISS-OC-03, ISS-VA-01 et ISS-DP-06 deviennent partiellement ininterprétables en l’absence d’un cadre de conformité RGPD qui couvre les traitements réels, les sous-traitants et la gestion des droits.

Ce critère ne peut pas être compensé par la performance d’un autre pilier.

Lecture du critère :

la lisibilité de l’ensemble des traitements, des bases légales et des durées de conservation ;
la distinction entre conformité affichée et conformité réellement défendable ;
la couverture de l’ensemble de la chaîne de traitement, y compris les sous-traitants et l’exercice des droits.

Ce que cette lecture incomplète produit dans la réalité

Une structure peut afficher une politique de confidentialité propre, ajouter des cases à cocher sur ses formulaires et penser que le sujet est traité. Puis découvrir, à l’occasion d’une plainte, d’une demande d’effacement, d’un contrôle ou d’un incident, qu’aucun registre des traitements n’est réellement maintenu, que les sous-traitants ne sont pas cadrés correctement, que les durées de conservation ne sont pas définies et qu’aucune procédure ne permet de répondre proprement aux droits des personnes.

La conformité de surface protège contre une lecture rapide. Elle ne protège pas contre une vérification réelle.

Sans cette lecture, la conformité RGPD reste une formalité d’affichage. Elle ne devient pas un cadre structuré qui garantit que les données personnelles sont traitées conformément aux obligations qui s’imposent déjà à la structure.