Comment structurer une base de données interne sur les formations suivies ?
Réponse courte
Pour structurer une base de données interne sur les formations, il faut recenser pour chaque salarié : l'identité, le matricule, les détails de chaque formation (intitulé, type, date, durée, modalités), l'organisme dispensateur, la certification obtenue, le coût pris en charge et les informations relatives à l'exercice des droits. Ces données doivent être centralisées et mises à jour régulièrement, accessibles uniquement aux personnes habilitées.
La base doit respecter strictement le RGPD et la loi luxembourgeoise du 1er août 2018 : registre des traitements, politique écrite de conservation, information individuelle obligatoire des salariés, documentation des habilitations et traçabilité des accès. La politique de conservation et la procédure d'information doivent être formalisées par écrit et tenues à disposition en cas de contrôle.
Définition
Une base de données interne sur les formations recense, au sein de l'entreprise, l'ensemble des actions de formation professionnelle réalisées par les salariés. Elle centralise les informations relatives aux formations internes et externes, permettant un suivi individuel et collectif des parcours de développement des compétences. Cette base constitue un outil de gestion RH, de pilotage des obligations légales en matière de formation continue et de préparation des contrôles éventuels par l'Inspection du travail et des mines (ITM).
Conditions d’exercice
La constitution et la gestion d'une telle base relèvent de la responsabilité de l'employeur, qui doit respecter les principes issus du RGPD (Règlement général sur la protection des données – UE 2016/679) et de la loi modifiée du 1er août 2018 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.
L'entreprise doit obligatoirement respecter les obligations suivantes.
| Obligation | Référence |
|---|---|
| Tenir un registre des activités de traitement incluant la base formation | Art. 30 RGPD, art. 26 de la loi du 1er août 2018 |
| Respecter les principes de licéité, loyauté, transparence, finalité, minimisation, exactitude, limitation de conservation, intégrité et confidentialité | Art. 5 RGPD |
| Mettre en œuvre une politique écrite de conservation des données | Art. 5 RGPD |
| Informer individuellement chaque salarié par une procédure écrite obligatoire (finalité, base légale, droits d'accès, rectification, etc.) | Art. 13 RGPD |
| Documenter les habilitations des personnes autorisées à accéder à la base | Art. 32 RGPD |
| Garantir la traçabilité des accès et des modifications | Art. 32 RGPD |
| Réaliser une analyse d'impact (AIPD) si le traitement présente un risque élevé | Art. 35 RGPD |
Modalités pratiques
La base de données doit comporter les champs obligatoires et être gérée selon les règles de conservation et de sécurité suivantes.
| Champ / Mesure | Exigence |
|---|---|
| Identité et matricule | Identité complète du salarié et matricule interne |
| Détails de la formation | Intitulé, type, date, durée, modalités (présentiel/distanciel), organisme dispensateur |
| Résultats | Validation, certification obtenue, coût pris en charge par l'employeur |
| Droits des salariés | Informations relatives à l'exercice des droits (accès, rectification, opposition) |
| Conservation des données | Jusqu'à la fin de la relation de travail, sauf obligation légale plus longue — politique écrite obligatoire |
| Sécurité des accès | Authentification, chiffrement, sauvegarde, charte d'accès, revue annuelle des habilitations |
| Traçabilité | Journal des connexions et des modifications, accessible à la CNPD en cas de contrôle |
Pratiques et recommandations
Il est recommandé d'utiliser un logiciel RH conforme CNPD intégrant un registre des traitements, une traçabilité des accès et un filtrage par profil. Une clause RGPD doit être intégrée dans les contrats de travail ou le règlement intérieur, complétée par une note d'information individuelle signée par chaque salarié.
Toute analyse d'impact (AIPD) doit être archivée dans le dossier RGPD de l'entreprise, et une revue annuelle des accès doit être réalisée pour garantir le respect du principe du besoin d'en connaître. La base doit pouvoir être transmise à l'ITM sur demande, notamment pour vérifier la conformité aux obligations de formation continue.
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD (UE 2016/679) | Art. 5 (principes), 6 (licéité), 13 (information), 30 (registre), 32 (sécurité), 35 (AIPD) |
| Loi du 1er août 2018 | Art. 6, 26, 32, 39 — mesures nationales de mise en œuvre du RGPD |
| Art. L.542-1 et suivants | Formation professionnelle continue — obligations de l'employeur |
| Art. L.414-3 (11°) | Consultation de la délégation du personnel sur les plans de formation |
Note
Une simple mention dans le contrat ou le règlement intérieur ne suffit pas : une procédure d'information écrite, une politique de conservation formalisée, une traçabilité documentée des accès, ainsi qu'un registre de traitement mis à jour sont des obligations légales, et non des recommandations.