RGPD et formation en ligne : les erreurs fréquentes

87 sanctions CNIL en 2024. Et 8 sur 10 visaient des TPE et PME, pas des géants du numérique. 😅

La réalité, c'est que beaucoup de formateurs en ligne pensent que le RGPD ne les concerne pas vraiment. Ils collectent des emails via un lead magnet, envoient des séquences d'automatisation, stockent les données de leurs apprenants… et ne se posent jamais la question de la conformité.

Résultat : des pratiques qui exposent à des plaintes, des mises en demeure, voire des amendes pouvant atteindre 20 000€ pour un indépendant.

Cet article recense les erreurs les plus fréquentes commises par les formateurs en ligne — et vous donne des actions concrètes pour les corriger, sans avoir besoin d'un juriste à plein temps. 💡

RGPD et formation en ligne : tout le monde est concerné

Micro-entrepreneur, SASU, auto-entrepreneur à temps partiel : peu importe votre statut. Dès que vous collectez une seule donnée personnelle — un email, un prénom, une adresse IP — le RGPD s'applique à vous. 🌍

Et les données personnelles dans votre activité de formateur, vous en manipulez beaucoup plus que vous ne le pensez.

Quelles données collectez-vous sans vous en rendre compte ?

Un visiteur qui s'inscrit à votre liste email, c'est une donnée. Un apprenant qui crée son compte sur votre plateforme de formation, c'est plusieurs données. Un acheteur qui paie via Stripe, c'est des données bancaires indirectes. 📊

Sans oublier les cookies de tracking de votre site, Google Analytics, les pixels Meta si vous faites de la pub…

Qui est responsable de tout ça ?

Vous. En tant que responsable de traitement, c'est vous qui décidez pourquoi et comment les données sont utilisées. Même si vous utilisez un outil tiers (Mailchimp, Systeme.io, LearnyBox…), la responsabilité finale reste la vôtre. 😎

L'outil tiers est votre "sous-traitant". Il doit traiter les données selon vos instructions. Si cet outil est hébergé hors de l'UE, ça ajoute une couche de complexité. On y revient plus loin.

L'erreur numéro 1 : collecter des emails sans consentement valide

C'est l'erreur la plus répandue. Et la plus sanctionnée par la CNIL en 2024. 👀

Un formateur crée un lead magnet, ajoute un champ email sur sa page de capture, et commence à envoyer des newsletters. Problème : la case "J'accepte de recevoir vos emails" était pré-cochée. Ou absente. Ou formulée de façon trop vague.

Un formateur que je connais a reçu une mise en demeure après qu'un seul apprenant mécontent ait déposé une plainte à la CNIL. Un seul. 🥲

Ce qu'un consentement valide doit contenir

Le RGPD est précis là-dessus. Pour être valable, le consentement doit être :

• Libre : pas de contrainte, pas de case pré-cochée, pas de bénéfice conditionnel ("téléchargez ce guide SEULEMENT si vous acceptez la newsletter")
• Spécifique : la personne doit savoir exactement pour quoi elle donne son accord — newsletter ? Séquence de vente ? Les deux séparément ?
• Éclairé : expliquer clairement qui traite les données et dans quel but
• Univoque : un acte positif et délibéré. L'absence de refus ne vaut pas consentement

Le double opt-in (confirmation par email) est la meilleure pratique. Il prouve que l'adresse est valide ET que la personne a bien confirmé son accord. Bonus : ça améliore votre délivrabilité. 📈

Et la preuve du consentement ?

Vous devez être capable de prouver que chaque contact de votre liste a consenti. Date, heure, contenu du formulaire au moment de l'inscription : tout doit être tracé. Un bon outil d'emailing stocke ça automatiquement.

C'est aussi pour ça que les bases de contacts achetées sont une catastrophe RGPD. Ces personnes n'ont jamais consenti à recevoir VOS emails. Peu importe que le vendeur de liste vous assure qu'elles "ont consenti à des partenaires".

La règle de l'opt-in B2C vs B2B

Une nuance souvent ignorée : les règles ne sont pas identiques selon votre cible. 

En B2B (vous contactez des professionnels sur leur email professionnel), vous pouvez vous appuyer sur l'intérêt légitime — à condition que le sujet soit directement lié à leur activité professionnelle et qu'un lien de désinscription soit présent. 

En B2C, l'opt-in explicite est obligatoire, sans exception.

La plupart des formateurs en ligne ciblent des particuliers. Donc : opt-in obligatoire, sans discussion. 😇

Combien de temps garder les données de vos apprenants ?

Autre erreur classique : garder indéfiniment tous vos contacts dans votre liste email. 💸

Le RGPD impose un principe de limitation de la conservation : vous ne pouvez pas garder des données personnelles plus longtemps que nécessaire à la finalité pour laquelle elles ont été collectées. Traduit en pratique pour un formateur :

Nettoyez votre liste email régulièrement

Une liste de 10 000 contacts dont 6 000 n'ont pas ouvert un seul email depuis 18 mois, c'est :

• Une liste potentiellement non conforme (des prospects "périmés" que vous n'avez pas le droit de relancer sans renouveler leur consentement)
• Une liste qui détériore votre délivrabilité et fait monter votre taux de spam
• Des contacts pour lesquels vous payez votre outil email inutilement

La bonne pratique : campagne de réactivation tous les 18-24 mois pour les inactifs. Un email court du type "Toujours intéressé(e) par [sujet] ?" avec un lien de confirmation. Ceux qui ne cliquent pas → suppression automatique. 🫠

Mentions légales et politique de confidentialité : ce que beaucoup oublient

Vous avez probablement des mentions légales sur votre site. Mais sont-elles complètes ? Et avez-vous une politique de confidentialité distincte, accessible depuis toutes vos pages ? 😅

Les deux documents sont obligatoires. Ils ne servent pas la même chose.

Mentions légales vs politique de confidentialité

Les mentions légales identifient qui vous êtes : raison sociale, adresse, SIRET, hébergeur du site. Obligatoires selon la loi pour la confiance dans l'économie numérique. Leur absence expose à 1 an d'emprisonnement et 75 000€ d'amende. Pas rien.

La politique de confidentialité, elle, explique comment vous traitez les données personnelles : quelles données, pourquoi, combien de temps, qui y accède, comment exercer ses droits. C'est l'article 13 du RGPD qui la rend obligatoire.

Ce que votre politique de confidentialité doit mentionner

• L'identité du responsable de traitement (vous)
• Les finalités de chaque traitement (newsletter, accès formation, facturation…)
• La base légale pour chaque finalité (consentement, contrat, intérêt légitime…)
• La durée de conservation des données
• Les droits des personnes (accès, rectification, effacement, portabilité, opposition)
• Comment exercer ces droits (email de contact dédié)
• Les transferts éventuels hors UE (si votre outil email est américain, c'est ici que ça se joue)
• La possibilité de déposer une plainte auprès de la CNIL

Un piège classique : copier-coller une politique trouvée en ligne

Mauvaise approche. Une politique générique qui ne correspond pas à vos outils réels, vos finalités réelles, vos durées réelles… c'est pire qu'aucune politique. En cas de contrôle, la CNIL peut sanctionner une politique trompeuse. Personnalisez votre document selon votre situation réelle.

Vos outils email sont-ils vraiment conformes ?

Mailchimp, ActiveCampaign, Kit… Ces outils sont "conformes au RGPD" dans leur fonctionnement. Mais leurs serveurs sont souvent aux États-Unis. 📊

C'est là que beaucoup de formateurs ont un angle mort.

Le problème des transferts de données hors UE

Dès que vos données partent vers un serveur américain, vous effectuez un transfert hors Union Européenne. Ce transfert n'est légalement possible que sous certaines conditions :

• Le pays destinataire bénéficie d'une décision d'adéquation de la Commission européenne (les États-Unis ont un accord — le "Data Privacy Framework" — depuis 2023, mais il reste contesté)
• Des clauses contractuelles types (CCT) sont signées avec le sous-traitant
• Des garanties supplémentaires sont mises en place si nécessaire

La plupart des grands outils américains proposent ces clauses dans leurs CGU. Mais vous devez les avoir acceptées consciemment, et pas juste cliqué "J'accepte" sans lire. 😎

La solution simple : des outils hébergés en France

Des plateformes tout-en-un comme Peachie stockent les données de vos contacts et apprenants directement en France. Zéro transfert hors UE, zéro questionnement sur les clauses contractuelles. 

C'est un argument fort pour les formateurs qui veulent une conformité RGPD sans prise de tête. 💡

Ça ne veut pas dire que les outils américains sont à proscrire. Mais il faut en être conscient et avoir fait la démarche de vérifier les garanties proposées.

Vérifiez aussi les cookies tiers sur votre site

Google Analytics, Facebook Pixel, YouTube embed dans vos vidéos de formation… Chaque outil tiers sur votre site qui dépose des cookies doit être soumis au consentement de vos visiteurs. Un bandeau cookie conforme est obligatoire — et doit proposer un refus aussi simple que l'acceptation. 

La CNIL a sanctionné 21 entreprises sur ce seul point en 2024. 👀

Checklist pratique pour se mettre en conformité rapidement

Voilà ce que concrètement vous devez avoir mis en place. Pas la théorie, les actions réelles. 🕺🏻

Les 8 points à vérifier dès cette semaine

• ✅ Formulaires d'inscription : case à cocher non pré-cochée, texte clair sur l'usage des données, lien vers la politique de confidentialité
• ✅ Double opt-in activé sur votre outil d'emailing pour tous les nouveaux inscrits
• ✅ Lien de désinscription présent dans chaque email envoyé (obligatoire — son absence peut valoir une sanction CNIL)
• ✅ Politique de confidentialité complète, à jour, accessible depuis toutes vos pages
• ✅ Mentions légales complètes incluant l'identité de l'hébergeur
• ✅ Bandeau cookies conforme avec option de refus simple
• ✅ Registre des activités de traitement (même un simple tableau listant vos outils, les données collectées, les durées)
• ✅ Procédure de réponse aux demandes : comment un apprenant peut-il exercer son droit d'accès ou d'effacement ? Qui répond ? Dans quel délai ?

Ce que vous pouvez faire en 30 minutes

Commencez par l'audit de vos formulaires. Ouvrez chacun de vos formulaires — page de capture, inscription formation, contact — et vérifiez les 4 points du consentement valide : libre, spécifique, éclairé, univoque. 📈

Si une seule case manque, corrigez maintenant. C'est 5 minutes par formulaire. C'est le quick-win RGPD le plus impactant pour un formateur en ligne.

Et si vous avez des doutes ?

La CNIL propose une formation en ligne gratuite (le "MOOC Atelier RGPD") pour comprendre les bases sans jargon juridique. Accessible à tous, environ 4 heures au total. Aucune excuse de ne pas l'avoir fait. 😉

Pour les questions spécifiques à votre activité de formateur (gestion des données apprenants, hébergement, sous-traitance), un avocat spécialisé RGPD facture entre 800€ et 2 500€ pour une mise en conformité complète. C'est moins que la première amende. Beaucoup moins.

On se fait un récap sur le RGPD et la formation en ligne ?

Le RGPD n'est pas un monstre juridique réservé aux grandes entreprises. C'est un ensemble de règles de bon sens que tout formateur en ligne peut respecter sans devenir juriste.

Les erreurs les plus fréquentes se résument à quelques oublis : un consentement mal recueilli, des données gardées trop longtemps, une politique de confidentialité copiée-collée, et des outils dont personne n'a vérifié où étaient stockées les données.

Les formulaires RGPD-friendly

Ce que vous devez retenir : la conformité RGPD commence par vos formulaires. C'est là que tout commence. Un opt-in clair, une case non pré-cochée, un texte explicite sur l'usage des données. C'est la base. Et c'est aussi l'endroit que la CNIL vérifie en premier.

La durée de conservation

Ensuite, la durée de conservation. Des contacts que vous gardez 5 ans sans qu'ils aient acheté ou interagi, c'est non conforme. Un nettoyage régulier de votre liste vous protège légalement ET améliore vos performances emailing. Double bénéfice. 📈

Documents légaux RGPD

La politique de confidentialité et les mentions légales, ensuite. Pas copiées, pas génériques : adaptées à vos outils réels, vos données réelles, vos pratiques réelles. Un document qui ne correspond pas à ce que vous faites vraiment, c'est contre-productif.

Les outils conformes RGPD

Sur les outils enfin : savoir où vont vos données, c'est votre responsabilité. 

Des plateformes comme Peachie centralisent la création de formations, la gestion des contacts et l'envoi d'emails avec des données hébergées en France — ce qui simplifie considérablement la question du transfert hors UE pour les formateurs qui veulent rester sereins côté conformité.

La CNIL a doublé son nombre de sanctions entre 2023 et 2024. Et les petites structures sont désormais clairement dans le viseur. Pas d'excuses, pas de "je ne savais pas" : la conformité est à portée de main, et les ressources sont gratuites. 😇

FAQ — Vos questions sur le RGPD en formation en ligne

Le RGPD s'applique-t-il aux formateurs indépendants ?

Oui, sans exception. Dès que vous collectez une adresse email, un nom, ou des données de paiement, vous êtes responsable de traitement au sens du RGPD. Cela concerne aussi bien le micro-entrepreneur qui démarres sa première formation que la structure qui génère 500 000€ par an. La taille de votre structure ne change rien à l'obligation — même si les sanctions sont proportionnées à vos moyens et à la gravité du manquement.

Puis-je envoyer ma newsletter à des personnes qui m'ont acheté une formation ?

Oui, sous conditions. Si la personne est cliente récente (moins de 3 ans) et que vous envoyez des offres similaires à ce qu'elle a acheté, vous pouvez vous appuyer sur l'intérêt légitime sans redemander un consentement explicite. Mais si vous changez de sujet, ciblez des personnes qui n'ont jamais acheté chez vous, ou que vous avez collectées via un lead magnet sans opt-in email commercial : un consentement valide est obligatoire. Et dans tous les cas, le lien de désinscription est non négociable.

Combien de temps puis-je conserver les données de mes apprenants ?

La règle générale est de garder les données le temps strictement nécessaire à la finalité initiale. Pour un apprenant actif : durée de la formation et de l'accès. Pour la relation commerciale : 3 ans après le dernier contact ou achat. Pour les données comptables (factures) : 10 ans selon l'obligation légale, mais dans un espace archivé à accès restreint — séparé de votre liste email active. Au-delà de ces durées, suppression ou anonymisation obligatoire.

Est-ce que Mailchimp ou ActiveCampaign sont conformes au RGPD ?

Ces outils fonctionnent de manière conforme et proposent les clauses contractuelles nécessaires pour les transferts hors UE. Mais leurs serveurs sont aux États-Unis. Vous devez avoir accepté leurs clauses contractuelles types et mentionner ce transfert dans votre politique de confidentialité. Si vous préférez une approche sans question de transfert hors UE, des outils hébergés en France comme Peachie simplifient ce point sensible.

Que risque-t-on concrètement en tant que formateur non conforme ?

La CNIL a prononcé 87 sanctions en 2024, dont 8 sur 10 visaient des TPE et PME. Pour un indépendant, les amendes dans le cadre de la procédure simplifiée peuvent atteindre 20 000€. Mais le vrai risque à court terme, c'est la plainte d'un apprenant mécontent : un seul contact insatisfait peut déclencher une instruction CNIL. Même sans amende immédiate, une mise en demeure est publiquement enregistrée et peut affecter votre réputation — et votre accès à des financements si vous êtes certifié Qualiopi.