[{"@context":"https:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/mdp-data.com\/obligations-rgpd\/#BlogPosting","mainEntityOfPage":"https:\/\/mdp-data.com\/obligations-rgpd\/","headline":"Obligations RGPD : guide op\u00e9rationnel pour CFA et \u00e9coles sup\u00e9rieures","name":"Obligations RGPD : guide op\u00e9rationnel pour CFA et \u00e9coles sup\u00e9rieures","description":"Votre CFA ou votre \u00e9cole sup\u00e9rieure peut-il absorber une fuite de donn\u00e9es sans perdre la confiance des apprentis, des familles et des entreprises partenaires ? En France, la pression est d\u00e9j\u00e0 l\u00e0 : la CNIL indique avoir re\u00e7u 5.629 notifications de violations de donn\u00e9es en 2024, signe d\u2019un risque devenu quotidien. Ce guide vous aide [&hellip;]","datePublished":"2026-04-28","dateModified":"2026-04-28","author":{"@type":"Person","@id":"https:\/\/mdp-data.com\/author\/mdpdata\/#Person","name":"Christophe SAINT-PIERRE","url":"https:\/\/mdp-data.com\/author\/mdpdata\/","identifier":5,"image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"MDP DATA PROTECTION","logo":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/04\/reforme-apprentissage-bpXi.webp","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/04\/reforme-apprentissage-bpXi.webp","height":800,"width":1200},"url":"https:\/\/mdp-data.com\/obligations-rgpd\/","about":["CFA et \u00c9coles sup\u00e9rieures"],"wordCount":4119,"articleBody":"Votre CFA ou votre \u00e9cole sup\u00e9rieure peut-il absorber une fuite de donn\u00e9es sans perdre la confiance des apprentis, des familles et des entreprises partenaires ? En France, la pression est d\u00e9j\u00e0 l\u00e0 : la CNIL indique avoir re\u00e7u 5.629 notifications de violations de donn\u00e9es en 2024, signe d\u2019un risque devenu quotidien. Ce guide vous aide \u00e0 traduire les obligations RGPD en d\u00e9cisions simples, preuves solides et gestes terrain. Pour une approche cibl\u00e9e secteur \u00e9ducation, consultez aussi notre page d\u00e9di\u00e9e CFA.L&rsquo;essentiel en 30 secondesVous devez cartographier vos donn\u00e9es et vos traitements critiques (admissions, alternance, scolarit\u00e9, plateformes).Vous devez choisir une base l\u00e9gale par finalit\u00e9, minimiser les pi\u00e8ces et informer clairement, y compris les mineurs.Vous devez prouver : registre, proc\u00e9dures droits, conservation, s\u00e9curit\u00e9, clauses sous-traitants, gestion d\u2019incident.Vous devez encadrer l\u2019IA : transparence, intervention humaine, analyse d\u2019impact et journalisation.Une fois le cadre pos\u00e9, commen\u00e7ons par ce qui fait vraiment mal quand \u00e7a d\u00e9rape : le risque, la r\u00e9putation et les flux m\u00e9tiers.SommaireToggleEnjeux RGPD : r\u00e9duire le risque juridique sans freiner l\u2019activit\u00e9P\u00e9rim\u00e8tre des donn\u00e9es et r\u00f4les : clarifier qui est responsable, qui ex\u00e9cuteBases l\u00e9gales et r\u00e8gles de traitement : s\u00e9curiser chaque finalit\u00e9 m\u00e9tierObligations prioritaires : ce qu\u2019un CFA doit savoir prouverConservation et archivage : \u00e9viter l\u2019empilement, s\u00e9curiser l\u2019historiqueS\u00e9curit\u00e9 et violations : passer de l\u2019intention \u00e0 l\u2019ex\u00e9cutionSous-traitants et \u00e9changes : s\u00e9curiser l\u2019alternance, les outils, les r\u00e9seauxIA et automatisation : encadrer le scoring, l\u2019analytics et les d\u00e9cisionsFAQ : exigences RGPD pour CFA et \u00e9coles sup\u00e9rieuresSynth\u00e8se : plan d\u2019actions, preuves et pilotage de la conformit\u00e9Enjeux RGPD : r\u00e9duire le risque juridique sans freiner l\u2019activit\u00e9Risques juridiques et sanctions : ce qui d\u00e9clenche un contr\u00f4leDans un \u00e9tablissement, les alertes reviennent souvent sur les m\u00eames points : information incompl\u00e8te, acc\u00e8s trop larges, conservation trop longue, sous-traitants mal cadr\u00e9s. Le RGPD pr\u00e9voit des plafonds de sanctions administratives pouvant aller jusqu\u2019\u00e0 vingt millions d\u2019euros ou quatre pour cent du chiffre d\u2019affaires annuel mondial, selon les cas. Pour un CFA, l\u2019enjeu n\u2019est pas \u201cle montant maximum\u201d, mais la capacit\u00e9 \u00e0 d\u00e9montrer votre conformit\u00e9 RGPD avec des preuves simples et dat\u00e9es. Ce th\u00e8me est d\u00e9taill\u00e9 dans les bonnes pratiques pour Qualiopi et RGPD. Pour aller plus loin, consultez RGPD pour CFA.Illustration \u2014 Enjeux RGPD : r\u00e9duire le risque juridique sans freiner l\u2019activit\u00e9Impact r\u00e9putationnel : apprentis, familles, entreprisesUne erreur RGPD n\u2019est pas seulement \u201cjuridique\u201d. Elle se transforme vite en crise de communication, surtout quand elle touche des mineurs, des situations de handicap, des sanctions disciplinaires ou des difficult\u00e9s sociales. La relation avec les entreprises (contrats, \u00e9valuations, suivi en alternance) amplifie l\u2019impact : une perte de confiance peut casser le recrutement et le placement. Sur le terrain, beaucoup d\u2019\u00e9tablissements sous-estiment aussi l\u2019effet \u201cr\u00e9seau\u201d : un incident sur un campus peut rejaillir sur tout un groupe. Voir aussi : gestion des donn\u00e9es personnelles des apprentis. D\u00e9couvrez \u00e9galement notre article sur de donn\u00e9es personnelles.Traitements critiques : admissions, alternance, scolarit\u00e9Vos traitements les plus expos\u00e9s sont souvent : formulaires de candidature, entretiens, tests, gestion des pi\u00e8ces, suivi d\u2019assiduit\u00e9, extranet alternance, bulletins, conventionnement, facturation et aides. Ajoutez les outils de marketing et de campagnes (portes ouvertes, salons, formulaires en ligne), et vous obtenez un m\u00e9lange \u00e0 haut risque : volume \u00e9lev\u00e9, donn\u00e9es h\u00e9t\u00e9rog\u00e8nes, intervenants multiples, et pression op\u00e9rationnelle. Retrouvez \u00e9galement notre analyse compl\u00e8te : adaptation des logiciels aux \u00e9volutions RGPD.Transparence envers les mineurs : un point de vigilance constantLa transparence doit \u00eatre compr\u00e9hensible, y compris quand vos publics sont mineurs. Cela implique des mentions plus p\u00e9dagogiques, des supports adapt\u00e9s (papier et num\u00e9rique), et une s\u00e9paration claire entre scolarit\u00e9 et prospection. Concr\u00e8tement : ce que vous demandez, pourquoi, combien de temps, \u00e0 qui vous transmettez, et comment exercer ses droits.\u00c0 retenirR\u00e9duisez le risque en priorisant admissions, alternance, scolarit\u00e9 et plateformes.La r\u00e9putation se joue sur la clart\u00e9 des messages et la ma\u00eetrise des acc\u00e8s.Votre meilleure d\u00e9fense est la preuve : registre, proc\u00e9dures, d\u00e9cisions document\u00e9es.Pour agir, vous devez d\u2019abord savoir pr\u00e9cis\u00e9ment quelles donn\u00e9es vous traitez et qui d\u00e9cide quoi. Retrouvez \u00e9galement notre analyse compl\u00e8te : adapter sa politique de conservation des donn\u00e9es.\u201c[\u2026] le consentement et la transparence doivent \u00eatre impeccables. Un cadrage utile est propos\u00e9 par des bonnes pratiques marketing et RGPD en 2026\u201d\u2014 Callbot et RGPD 2026 : S\u00e9curit\u00e9 et conformit\u00e9 assur\u00e9esP\u00e9rim\u00e8tre des donn\u00e9es et r\u00f4les : clarifier qui est responsable, qui ex\u00e9cuteQuelles cat\u00e9gories de donn\u00e9es : candidats, apprentis, alumni, partenairesUn CFA et une \u00e9cole sup\u00e9rieure traitent des donn\u00e9es sur plusieurs \u201cpopulations\u201d : candidats, apprentis, \u00e9tudiants, alumni, contacts entreprises, prescripteurs, intervenants, tuteurs, ma\u00eetres d\u2019apprentissage. Les syst\u00e8mes impliqu\u00e9s se multiplient : dossier de candidature, LMS, extranet alternance, outils RH, messagerie, stockage, et souvent un logiciel de type CRM.Donn\u00e9es sensibles : sant\u00e9, handicap, disciplineLes donn\u00e9es li\u00e9es \u00e0 la sant\u00e9, au handicap, \u00e0 l\u2019accompagnement social, aux am\u00e9nagements d\u2019examen, ou aux sanctions disciplinaires imposent un niveau d\u2019exigence sup\u00e9rieur : acc\u00e8s restreints, tra\u00e7abilit\u00e9, conservation ma\u00eetris\u00e9e, et justification claire. La r\u00e8gle pratique : si une information peut nuire \u00e0 la personne en cas de fuite, vous la traitez comme critique.Responsable de traitement, co-responsabilit\u00e9, sous-traitantsLa difficult\u00e9 en alternance est la \u201ccoproduction\u201d du parcours : \u00e9tablissement, entreprises, OPCO, parfois un r\u00e9seau de campus. Vous devez formaliser les r\u00f4les : qui d\u00e9termine la finalit\u00e9, qui fixe les moyens, qui ex\u00e9cute. Sinon, vous ne saurez pas r\u00e9pondre \u00e0 une demande d\u2019acc\u00e8s, ni g\u00e9rer une violation sans perdre du temps.Voir aussi : impacts du Data Act sur la gestion des donn\u00e9es.DPO : missions, d\u00e9clencheurs, rattachementLe DPO organise la conformit\u00e9 RGPD, conseille, contr\u00f4le, sensibilise et sert de point de contact. Le bon rattachement est direct \u00e0 la direction, avec une capacit\u00e9 d\u2019alerte. En pratique, d\u00e8s que vous avez plusieurs outils, plusieurs sites, des donn\u00e9es sensibles, ou des \u00e9changes fr\u00e9quents avec des partenaires, vous avez int\u00e9r\u00eat \u00e0 structurer la fonction, m\u00eame si elle est mutualis\u00e9e. Retrouvez \u00e9galement notre analyse compl\u00e8te : nouveaux enjeux de la r\u00e9gulation num\u00e9rique.Flux : Candidat \u2192 Admissions (outil candidatures \/ CRM) \u2192 Scolarit\u00e9 (inscription, assiduit\u00e9, \u00e9valuations) \u2192 Alternance (entreprises, tuteurs, OPCO) \u2192 Plateforme p\u00e9dagogique \u2192 Alumni (r\u00e9seau, \u00e9v\u00e9nements) \u2192 Archivage probatoire\u00c0 retenirCartographiez les populations, les outils et les acc\u00e8s, pas seulement \u201cles donn\u00e9es\u201d.Formalisez les r\u00f4les avec vos partenaires, sinon vos demandes deviennent ing\u00e9rables.Le DPO doit pouvoir arbitrer et exiger des preuves.Vous voulez appliquer cette m\u00e9thode ? Demandez un cadrage court : registre, r\u00f4les, priorit\u00e9s, puis plan de preuves. Ce th\u00e8me est d\u00e9taill\u00e9 dans mise en conformit\u00e9 avec l&rsquo;AI Act.Une fois les r\u00f4les pos\u00e9s, la conformit\u00e9 se gagne sur un point : choisir la bonne base l\u00e9gale pour chaque finalit\u00e9 m\u00e9tier.Bases l\u00e9gales et r\u00e8gles de traitement : s\u00e9curiser chaque finalit\u00e9 m\u00e9tierChoisir la base l\u00e9gale par finalit\u00e9 : la m\u00e9thode qui \u00e9vite les erreursNe partez pas de l\u2019outil, partez du besoin. Exemple : g\u00e9rer une candidature, organiser la scolarit\u00e9, suivre l\u2019alternance, facturer, g\u00e9rer une bourse, pr\u00e9venir un incident, publier une photo, faire du marketing. Chaque finalit\u00e9 doit avoir sa base l\u00e9gale, et le consentement ne doit pas servir de \u201cr\u00e9flexe\u201d pour tout.Finalit\u00e9Base la plus fr\u00e9quentePoint de vigilanceG\u00e9rer admissions et inscriptionsEx\u00e9cution de mesures pr\u00e9contractuelles ou contratLimiter les pi\u00e8ces au strict n\u00e9cessaireSuivi scolarit\u00e9 (assiduit\u00e9, notes, \u00e9valuations)Obligation l\u00e9gale \/ mission d\u2019int\u00e9r\u00eat public selon statutAcc\u00e8s internes : habilitations et tra\u00e7abilit\u00e9Alternance avec entreprises et OPCOContrat + obligation l\u00e9gale\u00c9changes : minimisation et canal s\u00e9curis\u00e9Communication, photos, vid\u00e9os, t\u00e9moignagesInt\u00e9r\u00eat l\u00e9gitime ou consentement selon contexteDroit \u00e0 l\u2019image, retrait simple, communication t\u00e9moignagesMinimisation : formulaires, pi\u00e8ces, champs \u201cau cas o\u00f9\u201dLa minimisation se joue dans les d\u00e9tails : champs facultatifs, justificatifs demand\u00e9s trop t\u00f4t, zones de texte libre, pi\u00e8ces d\u2019identit\u00e9 collect\u00e9es sans n\u00e9cessit\u00e9 imm\u00e9diate. Dans un CRM, la minimisation \u00e9vite aussi l\u2019accumulation : notes d\u2019entretien trop d\u00e9taill\u00e9es, commentaires subjectifs, champs \u201cdiscipline\u201d utilis\u00e9s comme fourre-tout. Un exemple fr\u00e9quent : \u201cflorence\u201d (responsable admissions) note des impressions d\u2019entretien dans un champ partag\u00e9. R\u00e9sultat : diffusion interne non ma\u00eetris\u00e9e.Information claire, consentement uniquement quand il est pertinentVotre information doit \u00eatre lisible sur papier et sur \u00e9cran : finalit\u00e9s, bases, destinataires, dur\u00e9es, droits, contact DPO. Le consentement est utile surtout pour certains usages de communication et de prospection, pas pour \u201cfaire tourner\u201d la scolarit\u00e9. Dans le recrutement, expliquez ce que vous faites vraiment : tri, prise de rendez-vous, convocations, relances, statistiques, et suppression \u00e0 \u00e9ch\u00e9ance.\u00c0 retenirUne finalit\u00e9 = une base l\u00e9gale = une information correspondante.La minimisation se d\u00e9cide dans les champs et les pi\u00e8ces demand\u00e9es, pas dans une charte.Le consentement doit rester l\u2019exception utile, pas une rustine.Une fois vos bases pos\u00e9es, vous devez ex\u00e9cuter les obligations qui font foi lors d\u2019un contr\u00f4le : documentation, information, droits, image et preuves.Obligations prioritaires : ce qu\u2019un CFA doit savoir prouverRegistre des activit\u00e9s : votre \u201cplan de preuve\u201d centralLe registre n\u2019est pas un tableau administratif. C\u2019est votre inventaire de traitements, associ\u00e9 \u00e0 des preuves : mentions d\u2019information, dur\u00e9es, destinataires, mesures de s\u00e9curit\u00e9, sous-traitants, transferts \u00e9ventuels. Pour qu\u2019il serve, reliez-le \u00e0 vos processus : admissions, alternance, scolarit\u00e9, communication, s\u00e9curit\u00e9.Mentions d\u2019information : admissions et alternanceVotre principal risque est l\u2019information dispers\u00e9e : un paragraphe sur un formulaire, un autre dans un mail, rien sur une version papier. Standardisez. Faites court, puis renvoyez vers une notice compl\u00e8te. Et gardez une trace de la version affich\u00e9e \u00e0 une date donn\u00e9e.Exemple de mentions essentielles sur un formulaire de candidatureFinalit\u00e9s : g\u00e9rer votre candidature, organiser les entretiens, pr\u00e9parer l\u2019inscription.Donn\u00e9es collect\u00e9es : identit\u00e9, coordonn\u00e9es, parcours, pi\u00e8ces justificatives strictement n\u00e9cessaires.Destinataires : \u00e9quipe admissions et scolarit\u00e9, prestataires habilit\u00e9s.Dur\u00e9es : conservation limit\u00e9e, suppression ou anonymisation \u00e0 \u00e9ch\u00e9ance.Droits : acc\u00e8s, rectification, opposition selon cas, contact DPO.Gestion des droits : demandes, d\u00e9lais, tra\u00e7abilit\u00e9Les demandes arrivent par mail, t\u00e9l\u00e9phone, accueil, parfois via une entreprise partenaire. Votre r\u00e9ponse doit \u00eatre tra\u00e7able : date de r\u00e9ception, identit\u00e9 v\u00e9rifi\u00e9e, p\u00e9rim\u00e8tre, r\u00e9ponse envoy\u00e9e, pi\u00e8ces produites, refus motiv\u00e9 si n\u00e9cessaire. Sans proc\u00e9dure, vous perdez du temps, et vous augmentez le risque d\u2019erreur.Photos, vid\u00e9os, communication et t\u00e9moignagesLa communication est un terrain \u00e0 incidents : photos d\u2019\u00e9v\u00e9nements, vid\u00e9os de cours, \u201ct\u00e9moignages logiciel\u201d publi\u00e9s via un outil tiers, ou \u201centreprises communication\u201d sur des r\u00e9ussites d\u2019alternance. D\u00e9finissez un circuit : autorisation, retrait, dur\u00e9e d\u2019usage, et liste des canaux. S\u00e9parez ce qui rel\u00e8ve de l\u2019information institutionnelle de ce qui rel\u00e8ve du marketing.\u00c0 retenirLe registre doit relier traitements, preuves et processus terrain.Une mention claire vaut mieux que trois textes incoh\u00e9rents.Les droits se g\u00e8rent comme un ticket : r\u00e9ception, v\u00e9rification, action, preuve.Apr\u00e8s la preuve, la deuxi\u00e8me source d\u2019\u00e9chec est invisible : conserver trop longtemps, partout, sans purge ni tra\u00e7abilit\u00e9.Conservation et archivage : \u00e9viter l\u2019empilement, s\u00e9curiser l\u2019historiqueDur\u00e9es par finalit\u00e9 : scolarit\u00e9, alternance, prospectionFixez des dur\u00e9es distinctes : candidats non retenus, \u00e9tudiants en cours de scolarit\u00e9, alternants, alumni, contacts entreprises, contacts inactifs. Le point cl\u00e9 : la dur\u00e9e doit \u00eatre justifi\u00e9e, comprise par l\u2019\u00e9quipe, et techniquement appliqu\u00e9e. Sans cela, vous conservez \u201cpar d\u00e9faut\u201d, donc vous augmentez votre surface de risque.Illustration \u2014 Conservation et archivage : \u00e9viter l\u2019empilement, s\u00e9curiser l\u2019historiqueDonn\u00e9esButApplication pratiqueDossier candidatG\u00e9rer le recrutementPurge planifi\u00e9e, anonymisation pour statistiquesDossier scolarit\u00e9Ex\u00e9cuter la scolarit\u00e9 et d\u00e9livrer des justificatifsArchivage organis\u00e9, acc\u00e8s restreintsPi\u00e8ces alternanceContrat, suivi, obligationsStockage d\u00e9di\u00e9, \u00e9changes minimis\u00e9s avec entreprisesProspection et \u00e9v\u00e9nementsCampagnes et relationD\u00e9sinscription simple, nettoyage des contacts inactifsPurge, journalisation, sauvegardes : l\u2019effacement \u201cr\u00e9el\u201dUne purge sans preuve ne sert pas. Mettez un calendrier, un responsable, un compte-rendu, et un contr\u00f4le d\u2019\u00e9chantillon. V\u00e9rifiez aussi les sauvegardes : si vous restaurez, vous r\u00e9injectez potentiellement des donn\u00e9es cens\u00e9es \u00eatre supprim\u00e9es. C\u2019est un point classique en audit interne.Archivage probatoire : dipl\u00f4mes, contrats, contentieuxL\u2019archivage probatoire doit \u00eatre s\u00e9par\u00e9 de l\u2019op\u00e9rationnel, avec des habilitations, une tra\u00e7abilit\u00e9 des acc\u00e8s, et une justification. L\u2019objectif : conserver ce qui doit l\u2019\u00eatre, sans exposer tout le reste.\u00c0 retenirSans dur\u00e9es appliqu\u00e9es techniquement, la conservation devient \u201cillimit\u00e9e\u201d de fait.La purge doit \u00eatre planifi\u00e9e, trac\u00e9e et test\u00e9e, y compris en cas de restauration.L\u2019archivage probatoire se s\u00e9pare de la production quotidienne.La conservation ma\u00eetris\u00e9e r\u00e9duit l\u2019impact d\u2019un incident, mais ne l\u2019emp\u00eache pas. La s\u00e9curit\u00e9 et la gestion de crise restent incontournables.S\u00e9curit\u00e9 et violations : passer de l\u2019intention \u00e0 l\u2019ex\u00e9cutionContr\u00f4les d\u2019acc\u00e8s : comptes partag\u00e9s, habilitations, revuesCommencez par les basiques : comptes nominatifs, suppression des acc\u00e8s au d\u00e9part, revue p\u00e9riodique des habilitations, limitation des exports. Dans un CFA, les pics d\u2019activit\u00e9 (rentr\u00e9e, alternance, examens) cr\u00e9ent des contournements. C\u2019est pr\u00e9cis\u00e9ment l\u00e0 que la discipline compte.Chiffrement et mobilit\u00e9 : postes, messagerie, exportsLes risques r\u00e9els viennent des ordinateurs portables, des cl\u00e9s, des fichiers envoy\u00e9s par mail, et des exports depuis un CRM. Appliquez le chiffrement des postes mobiles, la gestion des pi\u00e8ces jointes, et des r\u00e8gles de partage. Un export \u201ctemporaire\u201d devient souvent un fichier durable.Plateformes p\u00e9dagogiques et extranet alternance : s\u00e9curiser l\u2019\u00e9cosyst\u00e8meLes plateformes p\u00e9dagogiques concentrent identit\u00e9, progression, parfois \u00e9changes et documents. Votre strat\u00e9gie doit couvrir : configuration, comptes, authentification forte quand possible, journaux, et alertes. Sinon, vous avez un acc\u00e8s \u201c\u00e9tudiant\u201d qui devient une porte d\u2019entr\u00e9e.Apr\u00e8s une fuite : notifier vite, agir viteLes violations de donn\u00e9es se multiplient et leurs cons\u00e9quences se diffusent chez les particuliers : Cybermalveillance.gouv.fr indique une hausse de quatre-vingt-deux pour cent des demandes d\u2019assistance li\u00e9es aux violations de donn\u00e9es personnelles. Vous devez donc pr\u00e9parer un plan : qualification, mesures de r\u00e9duction, communication interne, notification \u00e0 l\u2019autorit\u00e9 quand requis, et information des personnes si le risque est \u00e9lev\u00e9.Menace fr\u00e9quenteSympt\u00f4meMesure prioritairePhishing sur bo\u00eete p\u00e9dagogiqueConnexion anormale, mail de relance frauduleuxSensibilisation cibl\u00e9e + authentification renforc\u00e9eExport CRM non ma\u00eetris\u00e9Fichier partag\u00e9 hors circuitLimiter exports + tra\u00e7abilit\u00e9 + coffre d\u2019\u00e9changeCompte partag\u00e9 \u201cscolarit\u00e9\u201dImpossible d\u2019attribuer une actionComptes nominatifs + revues d\u2019habilitationsPrestataire mal s\u00e9curis\u00e9Incident chez un sous-traitantClauses + audits + exigences de s\u00e9curit\u00e9\u00c0 retenirLa s\u00e9curit\u00e9 commence par les acc\u00e8s et les exports, pas par un document.Pr\u00e9parez un plan d\u2019incident : qui fait quoi, en combien de temps, avec quelles preuves.R\u00e9duisez l\u2019impact par la minimisation et la conservation ma\u00eetris\u00e9e.La s\u00e9curit\u00e9 ne s\u2019arr\u00eate pas \u00e0 vos murs : la conformit\u00e9 se joue aussi dans vos contrats et vos \u00e9changes avec l\u2019\u00e9cosyst\u00e8me.Sous-traitants et \u00e9changes : s\u00e9curiser l\u2019alternance, les outils, les r\u00e9seauxContrats de sous-traitance : clauses minimales et contr\u00f4leUn contrat doit couvrir : objet, dur\u00e9e, nature des donn\u00e9es, cat\u00e9gories de personnes, obligations du sous-traitant, confidentialit\u00e9, s\u00e9curit\u00e9, assistance (droits, incidents), sort des donn\u00e9es en fin de contrat, et audits. Sans cela, vous d\u00e9l\u00e9guez l\u2019ex\u00e9cution sans contr\u00f4ler le risque. C\u2019est fr\u00e9quent sur les logiciels de candidature, d\u2019\u00e9margement, de LMS, et sur les outils \u201cetudiants crm etudiants crm\u201d d\u00e9ploy\u00e9s vite pour le recrutement strat\u00e9gie.Clauses minimales \u00e0 exiger d\u2019un prestataireMesures de s\u00e9curit\u00e9 d\u00e9taill\u00e9es et mises \u00e0 jour.Notification d\u2019incident avec d\u00e9lais op\u00e9rationnels.Assistance pour les droits et les demandes.Encadrement des sous-traitants ult\u00e9rieurs.R\u00e9versibilit\u00e9 et suppression en fin de contrat.\u00c9changes avec OPCO, entreprises, autorit\u00e9s : minimiser et tracerEn alternance, les \u00e9changes sont nombreux. Appliquez une r\u00e8gle simple : ne transmettre que ce qui est n\u00e9cessaire, via un canal pr\u00e9vu, et garder une trace. Les entreprises n\u2019ont pas besoin de tout le dossier \u00e9tudiant, mais d\u2019\u00e9l\u00e9ments pr\u00e9cis pour le suivi. C\u00f4t\u00e9 \u00e9tablissement, \u00e9vitez les bo\u00eetes mails partag\u00e9es qui stockent des pi\u00e8ces sans contr\u00f4le.Tiers et cha\u00eene de partenaires : un risque qui augmenteLes attaques via des partenaires progressent, et les cha\u00eenes de sous-traitance deviennent un point de rupture. Le rapport DBIR de Verizon souligne que la part des violations impliquant des tiers a fortement augment\u00e9, ce qui doit pousser les \u00e9tablissements \u00e0 exiger des preuves de s\u00e9curit\u00e9 et \u00e0 revoir leur strat\u00e9gie fournisseurs.\u00c0 retenirUn prestataire non cadr\u00e9 vous expose, m\u00eame si votre \u00e9quipe est rigoureuse.Les \u00e9changes alternance doivent \u00eatre minimis\u00e9s, canalis\u00e9s et trac\u00e9s.La strat\u00e9gie fournisseurs doit inclure des exigences de s\u00e9curit\u00e9 v\u00e9rifiables.Une fois l\u2019\u00e9cosyst\u00e8me s\u00e9curis\u00e9, un nouveau sujet s\u2019impose dans l\u2019enseignement sup\u00e9rieur : l\u2019IA et l\u2019automatisation des parcours.IA et automatisation : encadrer le scoring, l\u2019analytics et les d\u00e9cisionsProfilage et scoring admissions : transparence et limitesLe scoring peut acc\u00e9l\u00e9rer le recrutement, mais il transforme la relation si vous ne l\u2019expliquez pas. Dites clairement si vous utilisez des crit\u00e8res automatiques, quels types de donn\u00e9es alimentent le mod\u00e8le, et ce que vous n\u2019utilisez pas. Sinon, vous cr\u00e9ez une opacit\u00e9 qui devient une crise d\u00e8s le premier refus contest\u00e9.Intervention humaine : garder une d\u00e9cision explicableLa r\u00e8gle op\u00e9rationnelle : aucune d\u00e9cision \u201csensible\u201d ne doit \u00eatre une bo\u00eete noire. Pr\u00e9servez une relecture humaine et une capacit\u00e9 \u00e0 expliquer les facteurs principaux. Sans cela, vous ne pourrez pas traiter des demandes, ni contester une contestation.Analyse d\u2019impact et gouvernance des donn\u00e9es : l\u2019IA exige des preuvesQuand le traitement est \u00e0 risque, r\u00e9alisez une analyse d\u2019impact (DPIA) et documentez vos choix. Dans l\u2019enseignement sup\u00e9rieur, l\u2019analytics et l\u2019optimisation du parcours peuvent \u00eatre une r\u00e9volution r\u00e9elle, mais seulement si vous verrouillez : jeux de donn\u00e9es, acc\u00e8s, conservation, finalit\u00e9s, et s\u00e9paration entre scolarit\u00e9 et marketing.Journalisation : mod\u00e8les, jeux d\u2019entra\u00eenement, acc\u00e8sDocumentez ce qui entre dans le mod\u00e8le, qui peut l\u2019exporter, et comment vous d\u00e9tectez une d\u00e9rive. C\u2019est aussi une question de s\u00e9curit\u00e9 : un mod\u00e8le entra\u00een\u00e9 sur des donn\u00e9es trop riches cr\u00e9e un risque de r\u00e9identification et une exposition inutile.\u00c0 retenirExpliquez vos automatisations, surtout en admissions, sinon vous perdez la confiance.Gardez une intervention humaine sur les d\u00e9cisions \u00e0 impact fort.La gouvernance IA commence par la minimisation, la s\u00e9paration des usages et la tra\u00e7abilit\u00e9.Vous avez maintenant les briques. Voici les r\u00e9ponses courtes aux questions qui reviennent le plus, avec un focus terrain CFA.FAQ : exigences RGPD pour CFA et \u00e9coles sup\u00e9rieuresFaut-il un DPO pour un CFA ?Oui si vos traitements sont structur\u00e9s, multi-outils, multi-sites, ou si vous traitez des donn\u00e9es sensibles \u00e0 grande \u00e9chelle. M\u00eame quand la d\u00e9signation formelle n\u2019est pas obligatoire, une fonction DPO (interne ou mutualis\u00e9e) reste la meilleure fa\u00e7on de piloter la conformit\u00e9 RGPD : registre, proc\u00e9dures, sensibilisation, et gestion d\u2019incidents.Quelles sont les donn\u00e9es sensibles fr\u00e9quentes en apprentissage ?Ce sont surtout les informations de sant\u00e9 et de handicap (am\u00e9nagements), les \u00e9l\u00e9ments disciplinaires, et parfois des donn\u00e9es sociales li\u00e9es \u00e0 l\u2019accompagnement. La bonne pratique : acc\u00e8s restreint, partage minimal avec les entreprises, conservation encadr\u00e9e, et interdiction des champs \u201ccommentaires libres\u201d qui d\u00e9rivent vers du jugement.Quand le consentement est-il vraiment obligatoire ?Il est pertinent surtout pour certains usages de communication et de prospection, ou quand vous n\u2019avez pas d\u2019autre base l\u00e9gale solide. Pour la scolarit\u00e9, l\u2019alternance et l\u2019ex\u00e9cution des obligations, le consentement est souvent un mauvais choix, car il peut \u00eatre retir\u00e9 et cr\u00e9er une instabilit\u00e9. Votre strat\u00e9gie doit \u00e9viter le \u201ctout consentement\u201d.Quel d\u00e9lai pour r\u00e9pondre \u00e0 une demande d\u2019acc\u00e8s ?Vous devez r\u00e9pondre sans tarder, avec une organisation qui \u00e9vite les allers-retours : v\u00e9rification d\u2019identit\u00e9, p\u00e9rim\u00e8tre, recherche multi-outils, r\u00e9ponse structur\u00e9e. Le plus risqu\u00e9 n\u2019est pas la demande elle-m\u00eame, mais l\u2019absence de tra\u00e7abilit\u00e9. Une proc\u00e9dure simple et un registre des demandes suffisent \u00e0 industrialiser la r\u00e9ponse.Que faire juste apr\u00e8s une fuite de donn\u00e9es ?Commencez par contenir : couper l\u2019acc\u00e8s compromis, pr\u00e9server les preuves, identifier la cause, et mesurer l\u2019impact. Ensuite, qualifiez le risque pour les personnes, documentez les mesures prises, et pr\u00e9parez vos communications. Sans plan pr\u00e9-\u00e9crit, vous perdez du temps et vous augmentez l\u2019exposition, surtout si des mineurs sont concern\u00e9s.Reste une \u00e9tape : transformer ces exigences en plan d\u2019action, preuves et indicateurs que la direction peut piloter.Synth\u00e8se : plan d\u2019actions, preuves et pilotage de la conformit\u00e9Prioriser par risques : vos \u201cquatre chantiers\u201d rapidesPriorisez selon volume et sensibilit\u00e9 : admissions, alternance, scolarit\u00e9, plateformes et messagerie. Ensuite, attaquez ce qui produit le plus d\u2019\u00e9carts : exports, comptes partag\u00e9s, conservation illimit\u00e9e, mentions incoh\u00e9rentes, sous-traitants sans clauses. Cette approche \u00e9vite de \u201ctout faire\u201d et de ne rien prouver.Pack de preuves : ce qui doit exister, dat\u00e9 et versionn\u00e9Registre \u00e0 jour, reli\u00e9 aux processus.Mentions d\u2019information standardis\u00e9es (papier et num\u00e9rique).Proc\u00e9dure droits : demandes, v\u00e9rification, r\u00e9ponse, journal.Politique de conservation + plan de purge + preuve d\u2019ex\u00e9cution.Proc\u00e9dure incident : r\u00f4les, sc\u00e9narios, mod\u00e8les de message.Clauses sous-traitants + inventaire fournisseurs critiques.Contr\u00f4les r\u00e9currents et indicateurs : sortir du \u201cone shot\u201dPilotez avec des indicateurs simples : nombre de demandes trait\u00e9es, d\u00e9lais r\u00e9els, incidents, habilitations revues, purges effectu\u00e9es, prestataires \u00e9valu\u00e9s. Ajoutez des statistiques de qualit\u00e9 : pourcentage de fiches incompl\u00e8tes, taux de champs libres, part de doublons, et volume de contacts inactifs. C\u2019est l\u00e0 que la conformit\u00e9 rgpd devient une strat\u00e9gie, pas un dossier.Non-conformit\u00e9 couranteImpactCorrectif rapideMentions dispers\u00e9es et incoh\u00e9rentesR\u00e9clamations, d\u00e9faut d\u2019informationUne notice courte + une notice compl\u00e8te versionn\u00e9eConservation \u201cpar d\u00e9faut\u201dSurface de risque inutileDur\u00e9es par finalit\u00e9 + purge planifi\u00e9e + journalExports CRM incontr\u00f4l\u00e9sFuite, perte de ma\u00eetriseLimiter exports + coffre d\u2019\u00e9change + sensibilisationPrestataires sans clausesRisque cha\u00eene de sous-traitanceAnnexes RGPD + exigences s\u00e9curit\u00e9 + revues annuelles\u00c0 retenirPriorisez les traitements qui combinent volume, sensibilit\u00e9 et multiplicit\u00e9 d\u2019acteurs.Produisez un pack de preuves versionn\u00e9, utilisable en audit interne et en contr\u00f4le.Pilotez avec des indicateurs simples : droits, incidents, purges, habilitations, prestataires.Votre conformit\u00e9 RGPD ne se gagne pas avec un document parfait, mais avec des d\u00e9cisions coh\u00e9rentes, appliqu\u00e9es dans les outils et r\u00e9p\u00e9t\u00e9es dans les \u00e9quipes. En clarifiant vos r\u00f4les, en fixant des bases l\u00e9gales par finalit\u00e9, en ma\u00eetrisant la conservation et les acc\u00e8s, vous r\u00e9duisez les risques sans ralentir le recrutement et la scolarit\u00e9. La prochaine \u00e9tape est simple : s\u00e9lectionner vos traitements critiques, b\u00e2tir le pack de preuves, puis instaurer des revues courtes et r\u00e9guli\u00e8res.Christophe SAINT-PIERREFort de plus de 20 ans d\u2019exp\u00e9rience, Christophe accompagne les organisations dans leur mise en conformit\u00e9 r\u00e9glementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision strat\u00e9gique et approche op\u00e9rationnelle. Au sein de MDP Data Protection, il pilote une d\u00e9marche ax\u00e9e sur l\u2019excellence, l\u2019innovation et la valorisation r\u00e9glementaire. Son objectif : transformer les contraintes l\u00e9gales en opportunit\u00e9s business pour ses clients."},{"@context":"https:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Obligations RGPD : guide op\u00e9rationnel pour CFA et \u00e9coles sup\u00e9rieures","item":"https:\/\/mdp-data.com\/obligations-rgpd\/#breadcrumbitem"}]}]