Décryptage 13 juin 2026 ⏱️ 11 min de lecture

Enregistrer une classe virtuelle : RGPD, droit à l'image et angle mort assurantiel

L'enregistrement d'une session à distance combine deux régimes juridiques distincts : protection des données personnelles (RGPD) et droit à l'image. Un mauvais montage juridique peut coûter 4 % du CA et la perte de Qualiopi.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Un enregistrement de classe virtuelle est une donnée personnelle au sens du RGPD : image, voix, propos tenus.
Le consentement RGPD et l'autorisation droit à l'image relèvent de deux fondements juridiques distincts qu'il faut recueillir séparément.
La CNIL a sanctionné en 2024 plusieurs acteurs de la formation pour conservation excessive et défaut d'information des stagiaires.
L'assurance cyber Insurio couvre la gestion d'une violation de données, la notification CNIL, et les frais de communication de crise.

Pourquoi le sujet explose en 2026

La généralisation de la classe virtuelle, accélérée depuis 2020, a profondément transformé l'économie de la formation professionnelle. Selon le bilan pédagogique et financier consolidé par la DGEFP, près de 38 % des heures stagiaires déclarées en 2024 ont été réalisées en distanciel synchrone ou asynchrone. La plupart de ces sessions sont enregistrées — pour le replay, pour le contrôle qualité, pour la preuve de réalisation, ou tout simplement parce que la fonctionnalité est activée par défaut sur les plateformes Zoom, Teams, Google Meet ou Livestorm.

Or, l'enregistrement systématique d'une classe virtuelle se trouve à l'intersection de quatre corpus juridiques :

Le RGPD (règlement UE 2016/679) et la loi Informatique et Libertés modifiée.
Le droit à l'image, fondé sur l'article 9 du Code civil.
Le Code de la propriété intellectuelle pour les contenus créés par le formateur ou intervenant.
Le Code du travail, qui impose la traçabilité de la réalisation de l'action (feuille de connexion équivalente à l'émargement, article D.6313-3-1).

Chacun obéit à ses propres règles. Confondre les régimes, c'est se mettre en risque sur plusieurs fronts simultanés.

Donnée personnelle : ce que la CNIL attend précisément

Un enregistrement audio-vidéo d'une session est une donnée à caractère personnel au sens de l'article 4.1 du RGPD : il capture l'image, la voix, les propos tenus et parfois des éléments de vie professionnelle (employeur, fonction, opinions). L'organisme de formation est responsable de traitement.

Cela implique :

Une base légale identifiée. Le consentement explicite (article 6.1.a du RGPD) est généralement la base la plus adaptée. L'intérêt légitime est plus fragile, car le stagiaire est dans une situation de déséquilibre.
Une information préalable conforme aux articles 13 et 14 du RGPD : finalités, durée de conservation, destinataires, droits du stagiaire (accès, rectification, effacement, opposition), coordonnées du DPO le cas échéant.
Une durée de conservation justifiée. La CNIL a rappelé en 2023 que la « conservation pour archive pédagogique » sans terme défini est non conforme. Une durée raisonnable est de l'ordre de 12 à 24 mois selon la finalité.
Une inscription au registre des activités de traitement, obligatoire au-delà de 250 salariés mais fortement recommandée en deçà.

En 2024, la CNIL a publié plusieurs décisions de mise en demeure visant des organismes de formation pour : conservation indéfinie d'enregistrements sur Google Drive non chiffré, absence d'information dans la convention de formation, partage des replays sur un espace accessible à des tiers sans contrôle.

Droit à l'image : un second consentement, distinct du RGPD

Le droit à l'image est fondé sur l'article 9 du Code civil : « Chacun a droit au respect de sa vie privée. » Il s'agit d'un droit extrapatrimonial autonome, qui ne se confond pas avec le RGPD. Un stagiaire peut très bien donner son consentement RGPD pour l'enregistrement (finalité de preuve, conservation 12 mois en interne) et refuser que son image soit diffusée dans un replay accessible à d'autres apprenants.

La jurisprudence est constante (notamment Cass. 1re civ., 7 mars 2006, n°05-16.059) : l'autorisation doit être écrite, spéciale et précise. Une mention noyée dans le règlement intérieur ne suffit pas. Les éléments à préciser :

L'identité de la personne autorisée à exploiter l'image.
Les supports de diffusion (replay interne, plateforme LMS, réseaux sociaux, site web).
La durée de l'autorisation.
Le territoire (France, Union européenne, monde).
Les finalités commerciales ou pédagogiques.

En cas de litige, l'absence d'autorisation écrite expose à des dommages-intérêts allant typiquement de 1 500 à 8 000 € par personne identifiable, sans préjudice du retrait forcé des contenus.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Le scénario de violation de données à 86 000 €

Cas reconstitué d'un organisme breton de formation aux métiers du commerce, 14 collaborateurs : un compte administrateur Zoom est compromis par phishing. L'attaquant exfiltre les enregistrements de 142 sessions sur 18 mois, comprenant les coordonnées, fonctions et images de 1 280 stagiaires uniques, dont une partie sur des thématiques sensibles (négociation salariale, gestion du conflit, posture managériale).

Coûts engagés en 90 jours :

Poste	Coût
Expertise forensic (origine et périmètre)	11 400 €
Notification CNIL et communication aux personnes (articles 33 et 34 RGPD)	9 800 €
Cellule de crise avocat + DPO externe	14 600 €
Reconstruction et durcissement SI	22 300 €
Indemnisation transactionnelle 18 stagiaires plaignants	27 900 €
Total	86 000 €

L'assurance cyber Insurio a pris en charge l'expertise, la notification, la cellule de crise et les indemnisations, déduction faite de la franchise. La reconstruction du SI est partiellement couverte si elle relève strictement de la remise en état, et non d'une amélioration.

La check-list pour sécuriser vos enregistrements dès demain

Voici la séquence minimale à mettre en place, applicable en une à deux semaines pour la majorité des structures.

Avant la session

Mention RGPD dans la convocation, renvoyant à une politique de confidentialité accessible.
Formulaire d'autorisation à l'image distinct, à signer électroniquement (case précochée interdite).
Paramétrage par défaut de la plateforme : enregistrement local chiffré, pas de cloud public non maîtrisé.

Pendant la session

Annonce orale en début de session : « Cette session est enregistrée à des fins de [finalité]. Vous pouvez désactiver votre caméra à tout moment. »
Possibilité technique pour le stagiaire de masquer son image sans dégrader l'expérience pédagogique.

Après la session

Stockage chiffré (AES-256 a minima), accès restreint aux personnes habilitées.
Échéancier de suppression automatique à 12 ou 24 mois selon la finalité.
Registre des accès et procédure de gestion des demandes d'exercice des droits (réponse sous 1 mois).

Consultez nos ressources pour les organismes de formation et envisagez de coupler RC Pro et cyber pour couvrir l'ensemble du spectre.

Questions fréquentes

Peut-on rendre l'enregistrement obligatoire pour suivre la formation ?

Non, sauf finalité légalement justifiée comme la preuve de réalisation pour un financement public. Dans la plupart des cas, le consentement libre du stagiaire est requis, ce qui implique la possibilité réelle de refuser sans perdre le bénéfice de la formation.

Le replay diffusé sur la plateforme LMS est-il considéré comme une publication ?

Oui, dès lors qu'il est accessible à des personnes autres que le stagiaire enregistré. Cette diffusion nécessite une autorisation écrite distincte au titre du droit à l'image, en plus du consentement RGPD pour le traitement de la donnée.

Quelle durée de conservation retenir pour les enregistrements ?

12 mois si la finalité est le replay pédagogique pour les stagiaires ; 24 mois si la finalité couvre également la preuve de réalisation pour un financeur. Au-delà, la conservation devient difficilement justifiable et expose à un risque de mise en demeure CNIL.

Une violation de données doit-elle systématiquement être notifiée à la CNIL ?

Notification obligatoire dans les 72 heures dès lors que la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes, conformément à l'article 33 du RGPD. Pour les enregistrements de formation, l'image et la voix justifient quasi systématiquement la notification.

L'assurance cyber prend-elle en charge l'amende CNIL ?

Non, les sanctions administratives prononcées par la CNIL sont considérées comme des pénalités personnelles non assurables en droit français. En revanche, les frais d'expertise, d'avocat, de notification et de communication de crise sont couverts par l'assurance cyber Insurio.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Organisme de formation — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Organisme de formation →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.