Suivre qui a terminé la formation ressemble à une question Excel, mais sous Cbw, DORA et RGPD c'est devenu en 2026 une vraie exigence de conformité. Les autorités ne demandent plus seulement « avez-vous une formation ? » mais « montrez qui a terminé quoi et quand ». Comment l'organiser de façon démontrable sans bâtir un marécage administratif ?
Pourquoi la traçabilité compte plus
Un PowerPoint et une signature papier suffisaient. Plus en 2026 sous Cbw, DORA et RGPD. À l'incident, à l'audit ou au contrôle, il faut produire en quelques jours : qui, quel module, quelle date, quel résultat.
La responsabilité personnelle (Cbw art. 24) ajoute du poids à la documentation.
La traçabilité n'est pas une fin. Tout enregistrer sans rien former donne du bon papier et du mauvais comportement. L'art : enregistrement léger et automatique, prêt pour l'audit sans panique.
Le minimum à enregistrer
Minimum praticable :
- Qui : collaborateur, service, rôle.
- Quoi : nom du module, sujet, version du contenu.
- Quand : dates de début et de fin, éventuellement durée.
- Résultat : terminé oui/non, score, acceptation de la politique.
- Mesures comportementales : pour la sécurité, résultats des simulations.
À ne pas faire
Pièges fréquents :
Partager les résultats de clic individuels avec les managers : juridiquement gris (RGPD), fonctionnellement fatal.
Acceptation de politique par boîte mail : pas de preuve à l'audit.
Preuves sur un disque partagé : sans historique de versions.
Oublier les durées de conservation : RGPD impose la limitation.
Automatiser sans travail en plus
L'idéal : la traçabilité naît du programme lui-même.
Connexion RH ou Entra ID : nouveaux arrivants formés automatiquement, sortants marqués inactifs.
Une plateforme pour formation, simulations, acceptation et reporting.
Tableau de bord automatique pour le management.
Ce que peut demander une autorité concrètement
Exemples :
- Qui a terminé la formation de base sur le phishing l'an dernier, quelle version ?
- Quels membres du conseil ont terminé la formation Cbw, à quelle date ?
- Quels services ont eu un approfondissement par rôle au dernier trimestre ?
- Taux de signalement en simulations sur douze mois ?
- Qui a accepté l'AUP mise à jour ?
- Mesures prises pour un service à scores particulièrement bas ?
Comment ancrer cela dans un programme de sensibilisation
Administration intégrée au programme, pas reporting final.
Une plateforme reliée à RH/identité.
Rapport trimestriel au conseil.
Auto-vérification annuelle de la préparation à l'audit.
Documenter aussi les exceptions.
Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.
Voir la page NIS2Articles connexes
- Preuves d'audit pour la sensibilisation
- Reporting au conseil pour la sensibilisation
- Exigences de conformité
- Comment choisir une plateforme de sensibilisation
Sources
FAQ
Que doit-on enregistrer au minimum ?
Qui, quoi (avec version), quand, résultat, et pour la sécurité, métriques comportementales. Version et date sont décisives.
Peut-on partager les clics individuels avec les managers ?
Non. Juridiquement gris, fonctionnellement nuisible.
Combien de temps conserver ?
Dans les durées RGPD des dossiers personnels (souvent 5–7 ans après départ). Plateforme avec nettoyage auto.
Et les sortants ?
Marquer inactifs ; données dans la rétention reste disponibles pour audit.
Comment automatiser ?
Liaison RH/Entra ID ; une seule plateforme.
Excel suffit-il encore ?
Pour les organisations moyennes et grandes, non. Une plateforme se rentabilise sur un cycle d'audit.
Que demande spécifiquement un audit Cbw ?
Complétion par personne et module, formation du conseil Cbw art. 24, métriques comportementales, acceptations de politique, historique de versions.
Source externe : European Commission - NIS2 Directive