RGPD pour les écoles et organismes de formation en 2026

Écoles, centres de formation, organismes e-learning : vous traitez des données d'apprenants, souvent en grand volume et parfois de mineurs. Inscriptions, notes, suivis pédagogiques, plateformes LMS : le RGPD encadre tout cela. Voici les obligations concrètes.

Les données traitées par un organisme de formation

• Identité et coordonnées des apprenants (et des parents pour les mineurs).
• Données pédagogiques : notes, présences, évaluations, progression.
• Données administratives : financement (CPF, OPCO), facturation.
• Données de connexion au LMS (plateforme d'apprentissage).

Chaque finalité doit reposer sur une base légale : exécution du contrat de formation, obligation légale (financement), ou consentement (newsletter, photos).

Le cas particulier des mineurs

Le RGPD protège spécifiquement les mineurs :

• En France, un mineur peut consentir seul à un service en ligne à partir de 15 ans. En dessous, le consentement d'un parent (titulaire de l'autorité parentale) est requis.
• Cela concerne l'inscription à une newsletter, l'usage de photos de l'enfant, ou toute fonctionnalité reposant sur le consentement.
• L'information doit être rédigée dans des termes clairs et adaptés.

Pour les photos de classe ou la publication d'images d'élèves sur le site ou les réseaux : consentement (parental si mineur de moins de 15 ans), avec possibilité de retrait à tout moment.

Plateformes LMS et sous-traitants

Moodle, Google Classroom, Microsoft 365 Education, ou un LMS SaaS : ce sont des sous-traitants. Il vous faut un DPA (cf. sous-traitant et DPA). Attention aux outils américains (Google, Microsoft) : transfert hors UE encadré par le Data Privacy Framework, à mentionner (cf. transferts hors UE). Pour des données d'élèves, les solutions hébergées en UE (Moodle auto-hébergé, par exemple) limitent le risque.

Conservation des données

• Données liées à une formation financée (CPF, OPCO) : conservation alignée sur les obligations légales de justification (souvent plusieurs années).
• Données de prospects non convertis : durée limitée (cf. durée de conservation).
• Comptes LMS d'anciens apprenants : prévoir une suppression ou anonymisation après la fin de la relation.

Site web et inscription en ligne

Le formulaire d'inscription est un point de collecte sensible :

• Ne demandez que le strict nécessaire (minimisation).
• Cases de consentement séparées pour la formation (nécessaire) et la prospection (optionnelle, jamais pré-cochée) — voir formulaire de contact conforme.
• Bannière cookies conforme si vous utilisez de l'analytics ou des pixels (cf. bannière cookies conforme).

Documentation obligatoire

• Registre des traitements (cf. registre des traitements) : inscriptions, suivi pédagogique, financement, prospection.
• Politique de confidentialité adaptée (cf. modèle de politique de confidentialité), mentionnant le consentement parental.
• Mentions légales (cf. mentions légales obligatoires).

Checklist conformité école / formation

• [ ] Base légale identifiée pour chaque finalité (contrat, obligation légale, consentement)
• [ ] Consentement parental pour les mineurs de moins de 15 ans
• [ ] Consentement spécifique pour la publication de photos d'élèves
• [ ] DPA signé avec la plateforme LMS et les autres sous-traitants
• [ ] Transferts hors UE (Google, Microsoft) mentionnés
• [ ] Durées de conservation définies (formation, prospects, comptes LMS)
• [ ] Formulaire d'inscription minimisé, consentements séparés
• [ ] Registre des traitements et politique de confidentialité à jour

Votre site de formation est-il conforme côté cookies et mentions légales ? Scannez-le gratuitement en 30 secondes.