Contribution #9 — La CNIL casse le marché de la formation en ligne au RGPD

L’« Atelier RGPD » , le MOOC de la CNIL au banc d’essai

La CNIL a mis en ligne lundi 11 mars, son MOOC (Massive Open Online Course). Si les professionnels en charge de la donnée, en particulier les Délégués à la Protection des Données peuvent s’en réjouir pour accompagner la mise en conformité de leurs organisations, les sociétés de prestations de services qui proposaient aux organisations des solutions comparables peuvent s’inquiéter de leur capacité à poursuivre la commercialisation desdites solutions.

Car, il faut reconnaitre que l’outil proposé par la CNIL cumule les points forts, nous en avons identifié dix :

1. Gratuit

Dans une période où chaque organisation s’efforce d’optimiser ses coûts, un outil gratuit de formation en ligne de qualité, comme l’ “Atelier RGPD”, est toujours apprécié, surtout si chacun peut l’utiliser sans modération, s’y former et former toute personne de son organisation, sa famille et/ou ses proches en contact avec de la donnée personnelle, c’est-à-dire tout le monde …

2. Accessible à tous

Le principal avantage de la mise en ligne d’un outil plus de neuf mois après l’entrée en application du RGPD est que la CNIL a pu observé les solutions déjà en ligne et bâtir un outil reprenant le meilleur de l’existant.

Ce qui donne au final un outil de formation et de vulgarisation réellement accessible à tous.

Une bonne illustration, la présentation des 8 règles d’or du RGPD.

Un outil qui ne devrait pas être réservé aux seuls professionnels de la donnée, et qui mériterait notamment d’être repris par l’éducation nationale dans les « sessions d’éducation au numérique ».

3. Bien fait

Le MOOC propose de nombreux exemples, animations et vidéos dans lesquels les différents responsables de services de la CNIL décrivent leur activité et les services proposés.

Nous y retrouvons quelques personnalités de la CNIL : Thomas Dautieu (Directeur de la Conformité), Matthias Moulin (Directeur Protection des Droits et Sanctions), Albine Vincent (Head of DPOs Department) et Sophie Vulliet-Tavernier (Directrice des Relations avec les publics et la recherche).

Nous avons particulièrement apprécié l’intervention de Sophie Vulliet-Tavernier, qui répond à deux questions essentielles : « où se renseigner pour en savoir plus sur ces droits ? » et « que propose la CNIL pour aider les associations et les petites entreprises ? ».

Appréciée également la présentation illustrée de la « protection des données par défaut », rarement aussi bien décrite.

Un regret la vidéo de démonstration du PIA aurait gagné à être accompagnée d’un commentaire en voix off.

4. Très complet

Des points de passages obligatoires et un accès direct aux outils et ressources complémentaires de la CNIL

Comme dans un magasin IKEA, vous avez des points de passages obligatoires, vous devez visualiser l’ensemble des vidéos, exemples, animations, tests, …, vous ne pourrez aller à la page suivante sans avoir visualiser tout ce que la CNIL voulait vous montrer.

Non seulement l’outil sensibilise, mais il donne aussi accès aux outils et ressources de la CNIL dans leur version la plus actualisée, à savoir de manière notamment : 12 modèles de courriers d’exercice des droits, guide du sous-traitant, guide sécurité, le lien pour télécharger l’outil AIPD (ou PIA) et la notice pour bien l’utiliser.

5. Emis par le régulateur

Un avantage unique par rapport aux autres solutions de formation en ligne proposées par les sociétés de prestations de services.

L’outil est émis par la CNIL qui est l’autorité nationale en charge et donc son régulateur, ce qui en fait un outil de référence pour les organisations en matière de conformité, de compréhension et d’interprétation de la réglementation sur certains points techniques.

6. Délivrance d’une « attestation de suivi » par le régulateur,

Elle est délivré à tout participant ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module.

Cette « attestation de suivi », même si elle n’est pas une certification, elle sera utile aux organisations pour démontrer, notamment en cas de contrôle, l’initiation concrète de la démarche de conformité.

7. La CNIL, Directeur de la Publication de l’outil, assure également la Responsabilité du Traitement.

Un avantage non négligeable pour les organisations, qui les décharge des obligations liés à la collecte des données des “apprenants” , en confiant la gestion de celles-ci au régulateur. D’ailleurs, nous vous recommandons la lecture de la notice d’information, qui sera pour les DPO une source d’inspiration.

Extrait du MOOC CNIL “Atelier RGPD”

Les Délégués à la Protection des Données n’ont plus ensuite qu’à demander aux “apprenants” (RSSI, Référents, …) de leur transmettre une copie de leur attestation de suivi.

8. Une « Hot line » complète et multi-support assurée par le régulateur

Des FAQ en quantité, un forum, la possibilité d’appeler, des services appréciables pour les associations et les petites entreprises.

9. Mise à jour de l’outil

L’outil étant émis par le régulateur, à n’en pas douter, nous pouvons imaginer que l’outil sera mis à jour aussi souvent que nécessaire.

10.Atelier RGPD” de la CNIL vs “CIPP/E” de l’IAPP

Même si comparaison n’est pas raison, nous avons souhaité comparer l’ “Atelier RGPD” avec le “Certified Information Privacy Professional” (CIPP) Europe délivré par l’International Association of Privacy Professionals (IAPP),

Certains d’entre vous nous dirons que les deux formations ne sont pas comparables, néanmoins elles méritent d’être mises en perspective. Ayant effectué les deux formations, nous souhaitons partager quelques commentaires.

En terme de difficulté, le “CIPP/E” de l’IAPP est plus complexe et est, sauf erreur de notre part, considéré comme une certification.

En terme d’ergonomie, l’« Atelier RGPD » est beaucoup plus convivial, les exemples et l’approche pédagogique est le résultat d’un impressionnant travail de vulgarisation. Notre sentiment est que la CNIL s’est peut être inspiré de l’IAPP, mais au final le résultat est de qualité supérieur, avec au fil de la formation des liens aux outils et ressources disponibles sur le site de la CNIL.

Peut-être trop simple et pas assez de cas pratiques pour les Délégués à la Protection des Données (DPO) en fonction. Néanmoins, avec un angle d’approche complémentaire, deux ou trois découvertes et des précisions sur quelques points techniques, l’ “Atelier RGPD” est très utile. Il convient de prévoir quelques heures (un minimum de cinq heures) pour effectuer sérieusement la formation.


En tout état de cause, notre sentiment est qu’il y aura un avant et un après.

Notre recommandation est d’utiliser et de partager cet outil sans modération.

Philippe Gabillault — Président Fondateur de Toltec