Organismes certificateurs : êtes-vous en règle avec vos obligations de transmission CPF ?

La Caisse des Dépôts a récemment engagé les premières sanctions à l’encontre d’organismes certificateurs n’ayant pas respecté leur obligation de transmission des passages de certifications.
Mais avant d’en arriver à ces mesures, il est essentiel de comprendre le cadre légal de cette obligation, le rôle du Passeport de compétences, la fréquence imposée, et les enjeux de conformité RGPD que cela implique.

Le rôle du Passeport de compétences

Depuis 2021, le Passeport de compétences est devenu un outil central du système CPF.
Il permet à chaque actif de visualiser l’ensemble de ses certifications, diplômes et formations obtenus tout au long de sa vie professionnelle.

Alimenté automatiquement par les données transmises par les organismes certificateurs, il renforce :

• la traçabilité des parcours de formation,
• la reconnaissance officielle des compétences,
• et la transparence du marché de la formation professionnelle.

Le succès de ce passeport repose donc directement sur la qualité et la régularité de la transmission des données par les certificateurs.

Le cadre réglementaire : une obligation légale claire

L’article L.6113-8 du Code du travail, complété par le décret n°2019-1490 du 27 décembre 2019 et l’arrêté du 21 mai 2021 (modifié par l’arrêté du 10 janvier 2025), impose aux organismes certificateurs de transmettre à la Caisse des Dépôts les informations relatives aux titulaires de certifications enregistrées au RNCP ou au Répertoire Spécifique.

Ces textes encadrent la fréquence, la nature et la finalité des données à transmettre. L’objectif : garantir la fiabilité du système d’information du CPF et alimenter le Passeport de compétences.

Délai et fréquence de transmission

Selon l’article R.6113-17-2 du Code du travail, les données doivent être transmises dans un délai maximum de trois mois après la date de délivrance de la certification. Chaque organisme est libre de choisir sa fréquence (mensuelle, bimensuelle ou trimestrielle), à condition de respecter ce délai légal.

Les éléments à transmettre : quelles données et pour qui ?

Les organismes certificateurs doivent transmettre à la Caisse des Dépôts un ensemble de données nominatives et techniques concernant chaque titulaire. Ces informations alimentent directement le Passeport de compétences, via le système d’information CPF.

Données à fournir :

1. Identification du titulaire :
• Nom, prénoms, sexe, date et lieu de naissance, nationalité,
• (Depuis janvier 2025) le cas échéant, le NIR (numéro de sécurité sociale) pour fiabiliser l’identification.
2. Données relatives à la certification :
• Intitulé exact et numéro de fiche (RNCP ou Répertoire Spécifique),
• Date de passage de la certification,
• Modalité d’évaluation (présentiel, à distance, mixte),
• Résultat obtenu (certifié / non certifié),
• Date de délivrance et organisme ayant organisé la session.
3. Métadonnées de transmission :
• Identifiant du certificateur, format XML conforme, date de dépôt, accusé de traitement.

Ces informations sont déposées via la plateforme certificateurs.moncompteformation.gouv.fr, soit en saisie manuelle, soit via import automatisé selon le volume de données.

Focus sur la conformité RGPD

Le NIR étant une donnée à caractère personnel sensible, son traitement doit respecter le Règlement Général sur la Protection des Données (RGPD) et les recommandations de la CNIL.

Obligations principales :

• Base légale du traitement : la transmission du NIR et des données nominatives repose sur une obligation légale (articles précités du Code du travail et arrêtés associés).
• Information des personnes concernées : les candidats ou titulaires doivent être informés de la finalité de la collecte et de la transmission de leurs données.
• Mesures de sécurité : les fichiers transmis doivent être chiffrés, conservés de manière sécurisée et accessibles uniquement aux personnes habilitées.
• Registre RGPD : l’organisme certificateur doit documenter cette activité dans son registre de traitement.
• Délégué à la protection des données (DPO) : il doit être associé pour valider la conformité des procédures et des mentions d’information.

Bon à savoir : L’arrêté du 10 janvier 2025 permet désormais de transmettre le NIR le cas échéant, afin d’éviter les erreurs d’identité et d’assurer la fiabilité du Passeport de compétences. Toutefois, cette donnée ne doit être collectée que si elle est strictement nécessaire et sécurisée.

Les premières sanctions : la tolérance est terminée

Après plusieurs campagnes d’accompagnement, la Caisse des Dépôts a engagé au printemps 2025 une série de mises en demeure.

Sur 132 certificateurs concernés (soit 230 couples certificateur/certification) :

• 23 % ont régularisé leur situation,
• 26 % sont encore en accompagnement,
• 51 % n’ont pas répondu et ont vu leurs certifications rendues inactives sur Mon Compte Formation.

Ces sanctions sont appliquées en coordination avec France Compétences et le ministère du Travail, et devraient se poursuivre en 2026 tant que tous les certificateurs ne seront pas en conformité.

Bonnes pratiques pour rester conforme

1. Lister vos certifications actives (RNCP et Répertoire Spécifique).
2. Identifier les sessions concernées et les titulaires certifiés depuis juillet 2021.
3. Mettre en place une procédure interne de collecte et de transmission systématique dans les trois mois suivant la délivrance.
4. Sécuriser le traitement des données : chiffrement, contrôles d’accès, conformité RGPD.
5. Vérifier les accusés de traitement et corriger rapidement les anomalies signalées par la plateforme.

Formités à vos côtés

La conformité réglementaire en matière de certification impose une gestion structurée et des processus sécurisés.

Formités met son expertise au service des organismes de formation et des certificateurs pour garantir la conformité et la qualité de leurs démarches.

Nos experts vous accompagnent dans la mise en conformité de votre organisme et la valorisation de vos certifications.