Questionnaire rgpd : comment créer des enquêtes conformes ?

Questionnaire rgpd : comment créer des enquêtes conformes ?

8/5/2024
8min

Vous envoyez régulièrement des enquêtes de satisfaction à vos apprenants ? Avez-vous pensé à leur conformité avec le RGPD ?

Le RGPD affecte évidemment la création et l’envoi des enquêtes formation. En effet, à partir du moment où vous collectez, organisez, consultez, conservez ou encore, supprimez les données personnelles de vos apprenants, vous avez l’obligation de respecter le règlement européen sur la protection des données personnelles.

Pour toutes les personnes concernées par l’envoi de questionnaires, cet article est super important. En effet, des sanctions existent et au risque de vous faire épingler par la CNIL, on vous recommande fortement de vous conformer à ce dit RGPD. Les enjeux qualité ne doivent pas se faire au péril de la réglementation en vigueur sur la protection des données personnelles.

Responsables qualité et directeurs d’école ou d’un organisme de formation, cet article est fait pour vous ! On vous explique tout au RGPD dans le cadre de l’envoi d’un questionnaire qualité !

D’abord, c’est quoi le RGPD ?

Le règlement général sur la protection des donnes personnelles (RGPD) est une règlementation européenne qui est entrée en vigueur le 25 mai 2018 et a vocation à mieux encadrer le traitement des données personnelles des citoyens européens et donc des citoyens français.

Quels sont les 3 objectifs principaux du RGPD ?

Les trois objectifs principaux du RGPD sont de :

Quelles sont les parties-prenantes intervenantes dans la protection des données personnelles  ?

Le traitement des données personnelles et l’application du RGPD font intervenir plusieurs parties prenantes, qu’il est important de définir.

Selon le Guide “Le RGPD appliqué aux enquêtes” mis en ligne par le Ministère de la transformation et de la fonction publiques, voici les différentes parties prenantes intervenantes dans le processus de traitement des données personnelles :

Quels sont les questionnaires qui doivent respecter le RGPD ?

Le RGPD ne s’applique pas à toutes les enquêtes ! En effet, si vous ne traitez d’aucune donnée personnelle, le RGPD n’est pas applicable.

Pour savoir si vous êtes concernés, il faut donc que vous sachiez si vous traitez ou non de données personnelles 👇

Qu’appelle-t-on une donnée à caractère personnel ou donnée personnelle ?

Une donnée personnelle est définie comme “toute information se rapportant à une personne physique identifiée ou identifiable”. Toujours selon le Guide “Le RGPD appliqué aux enquêtes” publié par le Ministère de la transformation et de la Fonction publiques, cette définition englobe deux types d’identification :

Lorsqu’une opération porte sur ces données personnelles, on parle alors de traitement des données personnelles. Il peut s’agir notamment de la collecte de coordonnées via un questionnaire ou encore de la tenue d’un fichier client.

Selon l’article 4.2 du RGPD, la notion d’opération est entendue de manière large : “collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction” .

Voici quelques exemples fournis par Le Ministère de la transformation et de la fonction publiques  :

Dans le cadre de l’envoi d’un questionnaire à une base de contact d’apprenants, vous êtes concernés par le RGPD. En effet, le simple fait de constituer une liste de diffusion d’adresses mail est considéré comme un traitement de données à caractère personnel.

De ce fait, les enquêtes envoyées aux bénéficiaires, à l’équipe pédagogique, financeurs et aux entreprises mentionnées au critère 7 Qualiopi sont, de fait, toutes concernées par le RGPD.

Comment réaliser une enquête / sondage conforme au RGPD ?

Pour mettre en conformité vos enquêtes, vous devez respecter plusieurs obligations.

1. Obtenir l’accord préalable des répondants : la base légale privilégiée pour traiter des données dans un questionnaire formation

Le RGPD encadre le traitement des données personnelles. Le consentement est l’une des 6 bases légales requises par le RGPD permettant le traitement des données personnelles (à côté d’un contrat, d’une obligation légale, d’un intérêt public, d’un intérêt légitime, de la sauvegarde des intérêts vitaux). Sans base légale, vous n’avez pas le droit de collecter ni de traiter de données personnelles.

Dans la majorité des cas d’envoi d’une enquête formation, la base légale privilégiée est celle du consentement. De ce fait, le traitement des données personnelles n’est légalement possible que si la personne visée par l’enquête a consenti au traitement de ses données.

Toujours selon le Guide “Le RGPD appliqué aux enquêtes”, voici ce que l’obligation de consentement entraîne concernant les questionnaires :

➡️ L’obligation de consentement est exigée pour les enquêtes en ligne, en format papier ou téléphonique.

➡️ La preuve du consentement doit être conservée pendant toute la durée du traitement des données et mentionne : la personne qui a consenti, ce à quoi elle a consenti, le moment où elle a consenti.

➡️ Le consentement du répondant doit être donné avant la collecte des données à caractère personnel. Dans le cas où la personne refuse de donner son consentement, l’enquête ne devra ni collecter ni traiter des données à caractère personnel comme un mail, une liste de diffusion d’e-mail ou un numéro de téléphone.

Les questionnaires en ligne Edko intègrent systématiquement une question préalable en début de questionnaire permettant de récolter le consentement des répondants :

Exemple de message à intégrer au début de vos questionnaires en ligne ou papier

Envie de tester notre outil d’automatisation des feedbaks 100% RGPD spécialisé dans l’éducation ?

2. Informer vos répondants :

Dans le cas où vous collectez ou traitez des données personnelles, vous avez l’obligation de fournir des informations aux répondants sur le responsable de traitement.

Voici les principales infos à fournir (selon l’article 13 du RGPD) :

Pour ce faire, le responsable de traitement, par exemple un directeur d’organisme de formation, doit informer explicitement les répondants :

Pour aller plus loin : une recommandation de la CNIL (un peu datée mais qui a le mérite de donner quelques bonnes pratiques quotidiennes) concernant les modalités de collecte d’information nominative en milieu scolaire et dans l’ensemble du système de formation indique que les répondants doivent être informés plus particulièrement :

Lorsque ces informations sont recueillies via un questionnaire écrit, ces dits questionnaires doivent comporter la mention des indications ci-dessus, souvent en préambule de l’enquête. Cette mention peut aussi être inscrite dans le mail d’invitation à remplir l’enquête.

Retrouvez ici des exemples de mention d’information des personnes de la CNIL.

3. Conserver les données personnelles pendant le temps nécessaire à la finalité du traitement

Le RGPD interdit de conserver des données personnelles sans limitation de durée. Dans certains cas, la durée de conservation est fixée par la loi. Dans la majorité des autres cas, c’est au responsable de traitement de fixer les limites de conservation dans le temps, qu’il devra inscrire dans son registre des activités de traitement et dans le DC-POD avant l’envoi de l’enquête (on vous explique de quoi il s’agit plus bas dans l’article). Après la date mentionnée, il devra impérativement supprimer toutes les données personnelles collectées. Pour définir ces dites durées, on vous conseille de vous référer à la doctrine de la CNIL.

4. Sécuriser les données personnelles

Pendant toute la durée du traitement, vous êtes le garant de la protection de ces données (mot de passe, hébergement sécurisé…).Sur ce point, la CNIL a notamment publié une recommandation aidant les organismes à garantir un niveau de sécurité minimal via une méthode d’identification. Pour chaque traitement de données personnelles, la CNIL impose la mise en place d’une politique de mots de passe qui mentionne les critères de robustesse qu’ils doivent respecter pour être “acceptable”. Voici quelques exemples pour bien comprendre quels sont les mots de passe répondant aux préconisations de la CNIL :

La CNIL précise les contours de vos obligations en matière de sécurisation.

Comment prouver que mon organisme est conforme au RGPD ?

La preuve de votre conformité RGPD peut être demandée par la CNIL ou votre Délégué à la Protection des données lors d’un contrôle. Pour la prouver et éviter des sanctions, vous devez regrouper des documents et les mettre à jour à chaque envoi d’une nouvelle enquête : il s’agit de construire un dossier de conformité. Selon le site de la CNIL, voici les documents que vous devez regrouper et actualiser en cas de contrôle :

💡 Focus sur le registre des activités de traitement :

Le registre des activités de traitement permet de recenser vos traitements de données, de disposer d’une vue d’ensemble et est surtout un outil de démonstration de votre conformité au RGPD.

Selon la CNIL, il doit permettre d’identifier :

Cependant et toujours selon le site de la CNIL, une dérogation existe pour les organismes publics ou privés de moins de 250 salariés. Ils sont exonérés de certaines obligations. Le dit registre ne doit comporter que :

N’hésitez pas à demander des précisions à votre DPO. Pour plus d’information sur le registre, rdv ici.

Quelles sont les sanctions encourues en cas de méconnaissance du RGPD ?

A la suite d’un contrôle de la CNIL ou d’une plainte/signalement auprès de la CNIL, plusieurs types de sanctions peuvent être prononcées en cas de méconnaissance du RGPD :

PS : Des sanctions pénales peuvent également être prononcées.

Mise en situation dans l’enseignement supérieur : exemple d'une mise en demeure

Dans une décision publiée le 13 février 2023 sur son site, la CNIL a mis en demeure 2 établissements d’enseignement supérieur de respecter le RGPD fin 2022.

Lors d’un contrôle des pièces, ces deux établissements ont fait l’objet de manquements :

La mise en demeure n’est pas une sanction. Il s’agit d’une étape préliminaire permettant aux établissements de se conformer au RGPD. Si ce n’est pas le cas, la présidence de la formation restreinte de la CNIL pourra ensuite prononcer une sanction.

Les questionnaires Edko conformes au RGPD

Nous le savons, les organismes de formation et écoles sont déjà confrontés à énormément de normes réglementaires et légales, notamment Qualiopi. En concevant un outil d’automatisation des feedbacks dans le secteur de la formation, nous avions à coeur de simplifier réellement la vie de nos partenaires.

C’est pourquoi tous les questionnaires Edko sont 100% conformes au RGPD sur toute la partie les concernant. De cette manière, aucun risque de vous faire épingler sur la conformité RGPD de vos questionnaires formation !

Envie de tester notre outil d’automatisation des feedbaks 100% RGPD spécialisé dans l’éducation ?

Sources et documents utiles

Le RGPD et les données sensibles

Le RGPD impose une protection spécifique aux données dites sensibles. Il s’agit des données “particulièrement à risque” dans lesquelles on retrouve “l’origine raciale ou ethnique, les opinions politiques, les appartenances religieuses, l’appartenance syndicale, les données biométriques et génétiques, les données concernant la santé et l’orientation sexuelle”. Le RGPD interdit de recueillir ces dites données et de les utiliser, sauf certaines exceptions. Pour plus d’information, consultez le site de la CNIL sur les données sensibles.

Autres ressources utiles pour aller plus loin :

Edko est un logiciel de feedback spécialisé dans le secteur de la formation. Nos experts vous accompagnent sur la création, la diffusion, la récolte et l’analyse de vos questionnaires formation et sur tout votre processus de gestion qualité.

Demander une démo