En 2025, la CNIL a prononcé 83 sanctions pour 486 millions d’euros, dont 14 décisions visant la sécurité insuffisante des données (mots de passe faibles, comptes partagés, absence de chiffrement). Les organismes de formation ne sont pas en tête du palmarès mais figurent au périmètre prioritaire des contrôles thématiques 2024-2026 sur les données RH et de profilage. Et la circulaire DGEFP/MOC/2026/30 du 17 février 2026 transforme chaque audit Qualiopi en occasion de croiser les preuves de conformité — sécurité des données comprise.
Pour un centre de bilans, le RGPD n’est plus une page « mentions légales » : c’est une condition de marché. Achats grands comptes, DRH, OPCO et acheteurs publics France Travail exigent désormais un DPA article 28, un registre à jour et une preuve de gouvernance. Notre guide du document de synthèse couvre la pièce maîtresse côté pédagogique ; cet article élargit aux sept obligations opérationnelles qui font, en coulisses, la différence entre un dossier RGPD défendable et un risque qui dort.
Le centre est responsable de traitement — pas sous-traitant
C’est le premier malentendu. Quand un employeur, un OPCO ou France Travail finance un bilan, le centre reste responsable de traitement (article 4 du RGPD) : c’est lui qui détermine finalités, moyens et durées. Le financeur est un tiers destinataire d’un livrable agrégé — pas un co-responsable du traitement pédagogique.
Conséquence : toutes les obligations du responsable de traitement s’appliquent intégralement au centre — registre, sécurité, information, droits, notification de violation. Aucune ne peut être déléguée à l’éditeur de logiciel ou à l’hébergeur, qui sont vos sous-traitants au sens de l’article 28.
Le bilan traite par ailleurs des données particulièrement sensibles : la CNIL assimile les résultats de tests psychométriques à des données de santé dès qu’ils révèlent des dimensions cognitives ou émotionnelles, et les données de carrière détaillées (parcours, rémunérations, motifs de rupture) sont « à risque » dans leur usage potentiel par un employeur. D’où un niveau d’exigence supérieur sur la sécurité et la transparence.
Le registre des traitements : trois fiches indispensables
L’article 30 du RGPD impose à tout organisme de formation — quel que soit son effectif — la tenue d’un registre des activités de traitement. La CNIL le contrôle systématiquement quand elle ouvre une procédure : un registre vide ou incomplet vaut présomption de manquement.
Trois fiches minimum doivent exister, distinctes :
- Réalisation et suivi des bilans — finalité, base légale (exécution d’un contrat / consentement pour les tests), catégories de données (identité, parcours, données psychométriques, projets), destinataires (bénéficiaire seul ; financeur sur livrable agrégé ; sous-traitants nommés), durée (3 ans pour la synthèse, destruction immédiate des autres pièces pédagogiques), mesures de sécurité.
- Gestion administrative et facturation — base légale (obligation légale comptable), conservation 10 ans (art. L. 123-22 Code de commerce).
- Prospection et relation commerciale — base légale (intérêt légitime ou consentement selon le canal), conservation 3 ans sans contact actif.
Pour les marchés France Travail, ajouter une fiche dédiée aux prescriptions Prest@ppli (voir notre guide opérationnel Prest@ppli) ; pour la VAE, une fiche recevabilité et jurys ; pour l’outplacement, une fiche cohortes PSE / CSP. L’enjeu n’est pas la longueur du registre mais sa capacité à refléter, dispositif par dispositif, ce que vous faites réellement.
L’article 28 : encadrer ses sous-traitants par DPA
L’article 28 du RGPD impose qu’un contrat écrit — couramment appelé DPA — encadre toute relation avec un prestataire qui traite des données pour le compte du centre. Sans DPA conforme, le centre et le sous-traitant s’exposent à une sanction pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Les CGV seules ne suffisent jamais, sauf si elles intègrent toutes les clauses obligatoires de l’article 28 §3 (objet, durée, nature, finalité, type de données, instruction documentée, confidentialité, sécurité, sous-traitance ultérieure, assistance droits et violation, sort des données en fin de contrat, éléments d’audit).
Cinq familles de sous-traitants doivent avoir un DPA signé :
| Sous-traitant | Données traitées | Point de vigilance |
|---|---|---|
| Logiciel de gestion métier (SaaS) | Dossiers bénéficiaires complets | Hébergement, sous-traitance ultérieure, réversibilité |
| Plateforme de tests psychométriques | Données assimilables à de la santé | Profilage automatisé, consentement séparé |
| Émargement et signature électronique | Identité, traces de présence | Niveau eIDAS, durées de conservation |
| Hébergeur cloud / data center | L’ensemble de la base | Localisation (UE), chiffrement, certifications |
| Email / CRM | Coordonnées prospects et bénéficiaires | Bases légales distinctes, opt-out, transferts hors UE |
Pour chaque ligne, exigez le DPA, lisez-le, tracez la décision dans le registre. Un éditeur qui refuse ou qui ne produit pas la liste de ses propres sous-traitants ultérieurs doit être écarté. Un fournisseur d’IA générative intégré à la chaîne (rédaction assistée, transcription) est lui aussi un sous-traitant article 28 : son DPA doit garantir que vos données ne sont pas réutilisées pour l’entraînement de modèles généraux sans accord explicite — c’est devenu le standard de la jurisprudence CNIL en 2026.
L’AIPD : quand est-elle obligatoire pour un bilan ?
L’analyse d’impact relative à la protection des données (AIPD, parfois PIA) est imposée par l’article 35 du RGPD pour tout traitement « susceptible d’engendrer un risque élevé ». La CNIL considère qu’il faut au moins deux des neuf critères du G29 pour la rendre obligatoire : scoring, décision automatisée avec effet juridique, surveillance systématique, données sensibles, traitement à grande échelle, croisement de jeux de données, personnes vulnérables (dont salariés en subordination), usage innovant (IA, biométrie), exclusion d’un droit.
Un centre qui utilise des tests psychométriques (données sensibles) sur des bénéficiaires salariés financés par leur employeur (relation de subordination) coche déjà deux critères : l’AIPD est obligatoire. Idem en cas de scoring automatisé pour orienter vers un projet professionnel, ou d’IA générative pour rédiger ou transcrire des éléments du dossier.
L’AIPD doit être réalisée avant la mise en œuvre du traitement, puis révisée à chaque évolution majeure. La CNIL met à disposition le logiciel libre PIA, qui structure l’exercice en quatre étapes : description, nécessité et proportionnalité, étude des risques, plan d’action. Une AIPD « famille » couvrant l’ensemble des bilans suffit pour la plupart des centres, à condition d’être actualisée.
HDS : mythe persistant, obligation rare
L’hébergement HDS revient régulièrement dans les appels d’offres. La règle juridique est pourtant claire : la certification HDS, encadrée par les articles L.1111-8 et R.1111-8 du Code de la santé publique, est obligatoire pour héberger des données recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. Un bilan de compétences n’entre dans aucune de ces catégories — le critère opérationnel (finalité de soin) n’est pas rempli.
En pratique, un centre de bilans n’a pas l’obligation légale d’utiliser un hébergeur HDS, même quand il manipule des résultats de tests assimilés par la CNIL à des données de santé. Ce qui est attendu : hébergement UE (idéalement France), certifications crédibles (ISO 27001, SecNumCloud, HDS le cas échéant), chiffrement au repos (AES-256) et en transit (TLS 1.3), politique de sauvegarde documentée.
Quand un acheteur impose HDS, c’est souvent une exigence sur-spécifiée par mimétisme avec les marchés de santé. Le bon réflexe est de proposer une équivalence ISO 27001 + SecNumCloud + chiffrement de bout en bout en argumentant sur la nature de la donnée. Pour les critères techniques à exiger d’un éditeur, voir notre guide pour choisir son logiciel de gestion.
Tests psychométriques : encadrer le profilage
L’article 22 du RGPD interdit les décisions « fondées exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques » — sauf consentement explicite ou exécution d’un contrat. La CNIL a appliqué cette règle dès 2017 dans la décision Admission Post-Bac : un score d’orientation sans intervention humaine n’est jamais opposable.
Pour un centre de bilans, la conséquence est limpide :
- Consentement séparé et explicite pour chaque test psychométrique. Une case pré-cochée dans la convention ne suffit pas.
- Information préalable sur la nature du test, le fournisseur, les dimensions évaluées, la durée de conservation.
- Interprétation humaine systématique : aucun résultat n’est restitué sans intervention d’un conseiller, aucun projet n’est déterminé par algorithme.
- Pas de transmission des résultats bruts au financeur ni à l’employeur. La synthèse retient l’interprétation, jamais le score.
- DPA signé avec l’éditeur du test (TalentLens, Central Test, Performanse, AssessFirst…) — c’est lui qui héberge la base.
Cette discipline neutralise la quasi-totalité du risque CNIL sur la partie psychométrique, et reste cohérente avec les indicateurs Qualiopi 17 et 22 — voir nos non-conformités Qualiopi en bilan de compétences.
Notification de violation : la règle des 72 heures
L’article 33 du RGPD impose de notifier à la CNIL toute violation de données dans les 72 heures qui suivent sa découverte, sauf si l’incident n’est pas susceptible d’engendrer un risque pour les personnes. Quand le risque est élevé, l’article 34 ajoute une notification directe aux personnes concernées.
Pour un centre de bilans, les violations typiques sont : ordinateur portable perdu ou volé contenant des synthèses non chiffrées, envoi par email d’un dossier au mauvais destinataire, intrusion sur un compte conseiller mal protégé, fuite de base par un sous-traitant. La procédure interne tient sur une page :
- Détection — qui alerte, par quel canal (email dédié, hotline, formulaire interne).
- Évaluation — qualification, périmètre des données touchées, personnes concernées, niveau de risque.
- Notification CNIL sous 72 h via le formulaire en ligne — notification par étapes si toutes les informations ne sont pas disponibles.
- Notification des personnes quand le risque est élevé.
- Registre des violations tenu (obligatoire qu’il y ait notification ou non).
- Plan d’actions correctives — accès, chiffrement, formation, sanction interne le cas échéant.
Tester cette procédure une fois par an via une violation fictive est la meilleure assurance qu’elle fonctionnera le jour réel.
Le DPO : interne, externe ou mutualisé
La désignation d’un délégué à la protection des données (DPO) n’est obligatoire qu’en trois cas (article 37) : autorité publique ; surveillance régulière et systématique à grande échelle ; traitement à grande échelle de données sensibles. Un centre de bilans n’est pas strictement obligé d’en désigner un — sauf interprétation stricte du critère « grande échelle » sur les tests psychométriques, jamais tranchée par la CNIL.
En pratique, désigner un DPO est devenu un standard sectoriel dès qu’un centre dépasse une vingtaine de bilans par mois ou opère sur des marchés publics. Trois modèles cohabitent :
- DPO interne — collaborateur dédié (souvent direction qualité), pertinent au-delà de 30 ETP. Risque : conflit d’intérêts s’il occupe une fonction décisionnaire sur les traitements.
- DPO externe — cabinet ou avocat spécialisé, forfait annuel de 3 000 à 15 000 € selon volume. Le plus fréquent dans les centres de 5 à 30 personnes.
- DPO mutualisé — partagé entre plusieurs structures d’un même groupe ou réseau (CIBC régionaux). Économique mais expose au risque de superficialité.
Le DPO doit être déclaré à la CNIL via le formulaire dédié et ses coordonnées rendues publiques (mention légale du site, convention de bilan).
Tableau étendu des durées de conservation
La règle des 3 ans issue du décret n° 2023-1350 ne couvre que le document de synthèse. Toutes les autres pièces ont leur propre cycle de vie, et la confusion conduit soit à des suppressions trop hâtives (perte de preuve), soit à des conservations excessives (manquement RGPD).
| Donnée / pièce | Durée | Base légale |
|---|---|---|
| Documents de travail (tests, notes, brouillons) | Destruction immédiate (sauf accord écrit) | Art. R. 6313-7 |
| Document de synthèse | 3 ans après la fin du bilan | Art. R. 6313-7 (décret n° 2023-1350) |
| Convention de bilan signée | 5 ans | Art. L. 110-4 Code de commerce |
| Pièces comptables et factures | 10 ans | Art. L. 123-22 Code de commerce |
| Données EDOF / déclaratives CDC | 10 ans | Convention CDC |
| Émargements électroniques | 3 ans (CPF) ; durée marché + 1 an (France Travail / OPCO) | Cahiers des charges financeurs |
| Données prospects sans contact actif | 3 ans | Doctrine CNIL prospection B2B |
| Logs d’accès et journaux d’audit | 6 mois à 1 an | Doctrine CNIL sécurité |
| Données psychométriques brutes | Destruction à la fin du bilan (sauf accord écrit) | Art. R. 6313-7 + CNIL |
La conséquence opérationnelle : un logiciel de gestion qui ne sait pas piloter plusieurs régimes de purge en parallèle n’est pas RGPD-compatible. Conserver tout 10 ans « par sécurité » est en soi un manquement.
Checklist de mise en conformité
Sept points à vérifier au moins une fois par an, idéalement dans la revue de direction Qualiopi :
- Registre des traitements à jour et signé par le responsable.
- DPA signés avec les cinq familles de sous-traitants, archivés et révisés à chaque renouvellement.
- AIPD réalisée et révisée pour les traitements à risque élevé (tests, profilage, IA générative).
- Procédure de notification de violation documentée, testée une fois par an, registre des violations tenu.
- DPO désigné et déclaré à la CNIL si le volume ou les marchés le justifient.
- Information des personnes conforme à l’article 13 (convention, site, portail bénéficiaire).
- Politique de purge automatique activée dans le logiciel pour chaque type de donnée.
Cette discipline est aussi un argument commercial. Dans un appel d’offres France Travail, face à une DRH qui audite ses prestataires ou en réponse à un grand compte, produire un DPA prêt à signer, un registre clair et une attestation DPO transforme la question RGPD d’objection en différenciateur. Pour les questions courantes sur le cadre réglementaire (CPF, EDOF, OPCO, Qualiopi, France Travail), notre FAQ centrale 2026 consolide les chiffres à jour, et notre guide expert du document de synthèse complète le présent panorama sur la pièce maîtresse du dossier.
Le RGPD, traité comme un projet en soi, devient un actif ; traité comme une obligation marginale, il devient une bombe à retardement — exactement comme la traçabilité Qualiopi il y a cinq ans.
Découvrir téo, le logiciel des métiers de l’accompagnement | Demander une démo personnalisée
