Questionnaire rgpd : comment créer des enquêtes conformes ?

Vous envoyez régulièrement des enquêtes de satisfaction à vos apprenants ? Avez-vous pensé à leur conformité avec le RGPD ?

Le RGPD affecte évidemment la création et l’envoi des enquêtes formation. En effet, à partir du moment où vous collectez, organisez, consultez, conservez ou encore, supprimez les données personnelles de vos apprenants, vous avez l’obligation de respecter le règlement européen sur la protection des données personnelles.

Pour toutes les personnes concernées par l’envoi de questionnaires, cet article est super important. En effet, des sanctions existent et au risque de vous faire épingler par la CNIL, on vous recommande fortement de vous conformer à ce dit RGPD. Les enjeux qualité ne doivent pas se faire au péril de la réglementation en vigueur sur la protection des données personnelles.

Responsables qualité et directeurs d’école ou d’un organisme de formation, cet article est fait pour vous ! On vous explique tout au RGPD dans le cadre de l’envoi d’un questionnaire qualité !

D’abord, c’est quoi le RGPD ?

Le règlement général sur la protection des donnes personnelles (RGPD) est une règlementation européenne qui est entrée en vigueur le 25 mai 2018 et a vocation à mieux encadrer le traitement des données personnelles des citoyens européens et donc des citoyens français.

Quels sont les 3 objectifs principaux du RGPD ?

Les trois objectifs principaux du RGPD sont de :

• Renforcer le droit des personnes et citoyens européens.
• Responsabiliser les acteurs qui traitent des données personnelles, en l’occurrence dans cet article les centres de formation / écoles et académies de formation.
• Crédibiliser la régulation via une coopération renforcée entre les autorités de protection des données personnelles sur le territoire européen.

Quelles sont les parties-prenantes intervenantes dans la protection des données personnelles  ?

Le traitement des données personnelles et l’application du RGPD font intervenir plusieurs parties prenantes, qu’il est important de définir.

Selon le Guide “Le RGPD appliqué aux enquêtes” mis en ligne par le Ministère de la transformation et de la fonction publiques, voici les différentes parties prenantes intervenantes dans le processus de traitement des données personnelles :

• Le responsable de traitement est “la personne physique ou morale, l'autorité publique, le service ou un autre organisme, dont le rôle est de déterminer, seul ou conjointement avec d'autres, les finalités et moyens du traitement des données personnelles.”
• Le sous-traitant est “la personne physique ou morale, l'autorité publique, le service ou un autre organisme dont le rôle est de traiter des données personnelles pour le compte du responsable du traitement.” PS : dans le cadre du RGPD, le sous-traitant n’est pas nécessairement un prestataire externe.
• Le Délégué à la Protection des Données (DPD) est présent dans chaque administration. Son rôle est de conseiller et accompagner les organisations qui relèvent de sa compétence sur l’application du RGPD. C’est le point de contact entre la CNIL et les questions relatives au traitement. N’hésitez pas à vous renseigner sur le DPD responsable de votre administration.
• La CNIL est l’organe de référence concernant le contrôle du RGPD. Elle a également un rôle d’accompagnement des acteurs concernés.

Quels sont les questionnaires qui doivent respecter le RGPD ?

Le RGPD ne s’applique pas à toutes les enquêtes ! En effet, si vous ne traitez d’aucune donnée personnelle, le RGPD n’est pas applicable.

Pour savoir si vous êtes concernés, il faut donc que vous sachiez si vous traitez ou non de données personnelles 👇

Qu’appelle-t-on une donnée à caractère personnel ou donnée personnelle ?

Une donnée personnelle est définie comme “toute information se rapportant à une personne physique identifiée ou identifiable”. Toujours selon le Guide “Le RGPD appliqué aux enquêtes” publié par le Ministère de la transformation et de la Fonction publiques, cette définition englobe deux types d’identification :

• L’identification directe comme le nom ou le prénom
• L’identification indirecte comme un identifiant, un mail ou encore un numéro de téléphone ou une adresse postale

Lorsqu’une opération porte sur ces données personnelles, on parle alors de traitement des données personnelles. Il peut s’agir notamment de la collecte de coordonnées via un questionnaire ou encore de la tenue d’un fichier client.

Selon l’article 4.2 du RGPD, la notion d’opération est entendue de manière large : “collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction” .

Voici quelques exemples fournis par Le Ministère de la transformation et de la fonction publiques  :

• Si une enquête est proposée à l’entrée d’un magasin de manière anonyme et collecte uniquement le numéro de téléphone des répondants ⇒ application du RGPD, car il y a identification indirecte de la personne via un numéro de téléphone.
• Si cette même enquête est envoyée à un panel de 1000 personnes via une liste d’adresse mail, mais qu’elle ne collecte aucune information à caractère personnel ⇒ application du RGPD parce qu'il y a identification indirecte de la personne grâce à la liste de mail
• Si une enquête est proposée à l’entrée d’un magasin de manière anonyme et collecte uniquement l’âge des répondants sans pouvoir les identifier autrement ⇒ non-application du RGPD, car il n’y a aucune identification indirecte ou directe de la personne
• Si une enquête est proposée à l’entrée d’un magasin de manière anonyme et collecte l’âge, mais aussi la profession, le lieu de travail ou encore la ville de résidence ⇒ application du RGPD, parce que l’association des réponses peut permettre d’identifier de manière indirecte la personne.

Dans le cadre de l’envoi d’un questionnaire à une base de contact d’apprenants, vous êtes concernés par le RGPD. En effet, le simple fait de constituer une liste de diffusion d’adresses mail est considéré comme un traitement de données à caractère personnel.

De ce fait, les enquêtes envoyées aux bénéficiaires, à l’équipe pédagogique, financeurs et aux entreprises mentionnées au critère 7 Qualiopi sont, de fait, toutes concernées par le RGPD.

Comment réaliser une enquête / sondage conforme au RGPD ?

Pour mettre en conformité vos enquêtes, vous devez respecter plusieurs obligations.

1. Obtenir l’accord préalable des répondants : la base légale privilégiée pour traiter des données dans un questionnaire formation

Le RGPD encadre le traitement des données personnelles. Le consentement est l’une des 6 bases légales requises par le RGPD permettant le traitement des données personnelles (à côté d’un contrat, d’une obligation légale, d’un intérêt public, d’un intérêt légitime, de la sauvegarde des intérêts vitaux). Sans base légale, vous n’avez pas le droit de collecter ni de traiter de données personnelles.

Dans la majorité des cas d’envoi d’une enquête formation, la base légale privilégiée est celle du consentement. De ce fait, le traitement des données personnelles n’est légalement possible que si la personne visée par l’enquête a consenti au traitement de ses données.

Toujours selon le Guide “Le RGPD appliqué aux enquêtes”, voici ce que l’obligation de consentement entraîne concernant les questionnaires :

➡️ L’obligation de consentement est exigée pour les enquêtes en ligne, en format papier ou téléphonique.

➡️ La preuve du consentement doit être conservée pendant toute la durée du traitement des données et mentionne : la personne qui a consenti, ce à quoi elle a consenti, le moment où elle a consenti.

➡️ Le consentement du répondant doit être donné avant la collecte des données à caractère personnel. Dans le cas où la personne refuse de donner son consentement, l’enquête ne devra ni collecter ni traiter des données à caractère personnel comme un mail, une liste de diffusion d’e-mail ou un numéro de téléphone.

Les questionnaires en ligne Edko intègrent systématiquement une question préalable en début de questionnaire permettant de récolter le consentement des répondants :

Envie de tester notre outil d’automatisation des feedbaks 100% RGPD spécialisé dans l’éducation ?

2. Informer vos répondants :

Dans le cas où vous collectez ou traitez des données personnelles, vous avez l’obligation de fournir des informations aux répondants sur le responsable de traitement.

Voici les principales infos à fournir (selon l’article 13 du RGPD) :

• L’identité et les coordonnées du responsable de traitement ou du Délégué à la Protection des Données (DPD).
• Les finalités du traitement (à quoi sert le traitement ?).
• Les destinataires ou les catégories de destinataires à qui seront transmises les données personnelles, s’ils elles sont transmises. En fonction de la situation, c’est à vous d’établir la précision d’information donnée au répondant.
• La durée de conservation des données personnelles
• L’existence du droit de retirer son consentement à tout moment si le traitement est basée sur le consentement
• Le droit d’introduire une réclamation auprès d’une autorité de contrôle

Pour ce faire, le responsable de traitement, par exemple un directeur d’organisme de formation, doit informer explicitement les répondants :

• qu’ils peuvent prendre connaissance des données recueillies pendant toute la durée du traitement
• Qu’ils peuvent les rectifier pendant toute la durée du traitement
• Qu’ils peuvent les supprimer pendant toute la durée du traitement

Pour aller plus loin : une recommandation de la CNIL (un peu datée mais qui a le mérite de donner quelques bonnes pratiques quotidiennes) concernant les modalités de collecte d’information nominative en milieu scolaire et dans l’ensemble du système de formation indique que les répondants doivent être informés plus particulièrement :

• Du caractère obligatoire ou facultatif des réponses pour chaque question
• Des éventuelles conséquences d’un défaut de réponse
• Des destinataires des informations collectées
• De l’existence d’un droit d’accès et de rectification des informations les concernant. Sur ce dernier point, le guide “Le RGPD appliqué aux enquêtes” recommande de créer une boîte mail spécifique pour réceptionner les demandes des répondants et de mettre en place un dispositif interne permettant de répondre aux demandes des répondants.

Lorsque ces informations sont recueillies via un questionnaire écrit, ces dits questionnaires doivent comporter la mention des indications ci-dessus, souvent en préambule de l’enquête. Cette mention peut aussi être inscrite dans le mail d’invitation à remplir l’enquête.

Retrouvez ici des exemples de mention d’information des personnes de la CNIL.

3. Conserver les données personnelles pendant le temps nécessaire à la finalité du traitement

Le RGPD interdit de conserver des données personnelles sans limitation de durée. Dans certains cas, la durée de conservation est fixée par la loi. Dans la majorité des autres cas, c’est au responsable de traitement de fixer les limites de conservation dans le temps, qu’il devra inscrire dans son registre des activités de traitement et dans le DC-POD avant l’envoi de l’enquête (on vous explique de quoi il s’agit plus bas dans l’article). Après la date mentionnée, il devra impérativement supprimer toutes les données personnelles collectées. Pour définir ces dites durées, on vous conseille de vous référer à la doctrine de la CNIL.

4. Sécuriser les données personnelles

Pendant toute la durée du traitement, vous êtes le garant de la protection de ces données (mot de passe, hébergement sécurisé…).Sur ce point, la CNIL a notamment publié une recommandation aidant les organismes à garantir un niveau de sécurité minimal via une méthode d’identification. Pour chaque traitement de données personnelles, la CNIL impose la mise en place d’une politique de mots de passe qui mentionne les critères de robustesse qu’ils doivent respecter pour être “acceptable”. Voici quelques exemples pour bien comprendre quels sont les mots de passe répondant aux préconisations de la CNIL :

• Composition minimale de 12 caractères avec majuscules, minuscules, chiffres et caractères spéciaux obligatoires
• Composition minimale de 14 caractères avec majuscules, minuscules et chiffres obligatoires
• une phrase composée d’au moins 7 mots.

La CNIL précise les contours de vos obligations en matière de sécurisation.

Comment prouver que mon organisme est conforme au RGPD ?

La preuve de votre conformité RGPD peut être demandée par la CNIL ou votre Délégué à la Protection des données lors d’un contrôle. Pour la prouver et éviter des sanctions, vous devez regrouper des documents et les mettre à jour à chaque envoi d’une nouvelle enquête : il s’agit de construire un dossier de conformité. Selon le site de la CNIL, voici les documents que vous devez regrouper et actualiser en cas de contrôle :

• Le registre des activités de traitement (article 30) pour les responsable de traitement et des catégories d’activités de traitements pour les sous-traitants
• Les analyses d’impact relatives à la protection des données (AIPD) seulement pour les traitements “susceptibles d’engendrer des risques élevées pour les droits et libertés des personnes”
• L'encadrement des transferts de données hors de l'Union européenne, si c’est le cas.
• Les mentions d’information
• Les modèles de recueil du consentement des personnes concernées
• Les preuves que les personnes concernées ont bien exprimé leur consentement lorsque le traitement de leurs données repose sur cette base légale.
• Les procédures mises en place pour l'exercice des droits par exemple une boîte mail spécifique et les moyens de réponses.
• Les contrats avec les sous-traitants
• Les procédures internes en cas de violations de données

💡 Focus sur le registre des activités de traitement :

Le registre des activités de traitement permet de recenser vos traitements de données, de disposer d’une vue d’ensemble et est surtout un outil de démonstration de votre conformité au RGPD.

Selon la CNIL, il doit permettre d’identifier :

• “Les parties prenantes dans le traitement des données : représentant de traitement, sous-traitants, co-responsables…
• Les catégories de données traités : personnelles, sensibles
• à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
• combien de temps vous les conservez,
• comment elles sont sécurisées.”

Cependant et toujours selon le site de la CNIL, une dérogation existe pour les organismes publics ou privés de moins de 250 salariés. Ils sont exonérés de certaines obligations. Le dit registre ne doit comporter que :

• les traitements non occasionnels
• les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (systèmes de géolocalisation, de vidéosurveillance…)
• les traitements qui portent sur des données sensibles (voir plus bas)

N’hésitez pas à demander des précisions à votre DPO. Pour plus d’information sur le registre, rdv ici.

Quelles sont les sanctions encourues en cas de méconnaissance du RGPD ?

A la suite d’un contrôle de la CNIL ou d’une plainte/signalement auprès de la CNIL, plusieurs types de sanctions peuvent être prononcées en cas de méconnaissance du RGPD :

• Dans le cadre de la procédure ordinaire, la CNIL peut prononcer une amende allant jusqu’à 2 millions d’euros ou équivalant à 4% du chiffre d’affaire d’une entreprise, un rappel à l’ordre, un injonction de mettre le traitement en conformité, la suspension des flux de données, la limitation temporaire ou définitive d’un traitement, l’ordre de satisfaire aux demandes d’exercice des droits des personnes, la prononciation d’une amende administrative. Ces sanctions sont rendues publiques.
• Dans le cadre de la procédure simplifiée, mise en place par la loi Informatique et Liberté, la CNIL peut prononcer des sanctions moins sévères, qui ne seront pas rendues publiques comme un rappel à l’ordre, un injonction de mettre le traitement en conformité (y compris sous astreinte d’un montant max de 100 euros par jour de retard) ou encore prononcer une amende administrative d’un montant max de 20 000 euros.

PS : Des sanctions pénales peuvent également être prononcées.

Mise en situation dans l’enseignement supérieur : exemple d'une mise en demeure

Dans une décision publiée le 13 février 2023 sur son site, la CNIL a mis en demeure 2 établissements d’enseignement supérieur de respecter le RGPD fin 2022.

Lors d’un contrôle des pièces, ces deux établissements ont fait l’objet de manquements :

• Ils n’avaient pas prévu de durée de conservation des données à caractère personnel pour l’ensemble des traitements ⇒ or, selon le RGPD, les données personnelles des stagiaires ne peuvent pas être conservées sans limite de temps.
• Ils n’informaient pas convenablement les étudiants sur la collecte de leurs données personnelles via les différents questionnaires remplis au cours de leur scolarité ⇒ en effet, le RGPD impose une mention d’information concise, transparente, compréhensible et accessibles pour les personnes concernées (article 12, 13, 14 RGPD) dont notamment la raison de la collecte des données, la compréhension du traitement des données, la facilitation de l’exercice des droits des personnes (rectification, suppression…)
• En faisant appel à des sous-traitants dans le cadre du traitement des données personnelles, ils n’avaient pas fourni pu fournir les contrats de sous-traitance signés faisant mentions des obligations RGPD.
• Enfin, ils n’avaient pas de politique contraignante de mots de passe pour sécuriser de manière minimale les données personnelles.

La mise en demeure n’est pas une sanction. Il s’agit d’une étape préliminaire permettant aux établissements de se conformer au RGPD. Si ce n’est pas le cas, la présidence de la formation restreinte de la CNIL pourra ensuite prononcer une sanction.

Les questionnaires Edko conformes au RGPD

Nous le savons, les organismes de formation et écoles sont déjà confrontés à énormément de normes réglementaires et légales, notamment Qualiopi. En concevant un outil d’automatisation des feedbacks dans le secteur de la formation, nous avions à coeur de simplifier réellement la vie de nos partenaires.

C’est pourquoi tous les questionnaires Edko sont 100% conformes au RGPD sur toute la partie les concernant. De cette manière, aucun risque de vous faire épingler sur la conformité RGPD de vos questionnaires formation !

Envie de tester notre outil d’automatisation des feedbaks 100% RGPD spécialisé dans l’éducation ?

Sources et documents utiles

Le RGPD et les données sensibles

Le RGPD impose une protection spécifique aux données dites sensibles. Il s’agit des données “particulièrement à risque” dans lesquelles on retrouve “l’origine raciale ou ethnique, les opinions politiques, les appartenances religieuses, l’appartenance syndicale, les données biométriques et génétiques, les données concernant la santé et l’orientation sexuelle”. Le RGPD interdit de recueillir ces dites données et de les utiliser, sauf certaines exceptions. Pour plus d’information, consultez le site de la CNIL sur les données sensibles.

Autres ressources utiles pour aller plus loin :

• Tout savoir sur l’application du RGPD pour les sous-traitants
• Outils utiles concernant l’application du RGPD
• La charte d’accompagnement de la CNIL

Edko est un logiciel de feedback spécialisé dans le secteur de la formation. Nos experts vous accompagnent sur la création, la diffusion, la récolte et l’analyse de vos questionnaires formation et sur tout votre processus de gestion qualité.

‍