L'entrée en vigueur du Réglement Général européen pour la Protection des Données (RGPD) est l'occasion de faire un point sur les obligations des bibliothèques en matière de conservation et de traitement des données personnelles.
Lors de l'inscription d'un usager à vos services, vous collectez des données : nom, prénom, âge, genre, adresse postale et email, numéro de téléphone... Dès lors que ces données permettent d'identifier une personne physique, directement ou indirectement (c'est à dire en croisant plusieurs de ces données), on parle de données personnelles.
Le traitement de ces données est soumis à des législations françaises et européennes. Toute entité manipulant des données personnelles doit se conformer à la réglementation, qu’il s’agisse d’une entreprise, d’une association ou d'une collectivité. On entend par traitement toute opération sur ces données : collecte, collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation... Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions. Les bibliothèques, quel que soit leur statut et leurs modes d'organisation, sont donc toutes concernées .
Comment se mettre en conformité ?
Quatre grandes actions sont à mettre en oeuvre afin de vous assurer d'être en conformité avec les réglementations françaises et européennes :
- Recensez vos fichiers : tout traitement doit être consigné dans un registre (voir le modèle proposé par la CNIL), tenu par votre collectivité. Il peut s'agir de l'inscription à la bibliothèque, à une newsletter, la collecte de données lors d'une connexion Internet depuis un poste public ou le wi-fi...
- Faites le tri : pour chaque traitement, vérifiez que les informations que vous récoltez sont nécessaire à vos activités, que seules les personnes habilitées ont accès aux données dont elles ont besoin et que vous ne conservez pas vos données au-delà de ce qui est nécessaire.
- Respectez les droits des personnes : droit à l'information (tout formulaire de collecte doit porter des mentions d'information) et possibilité d'exercer facilement leurs droits d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
- Sécurisez les données : vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.
Dans tous les cas, le principe de proportionnalité s'applique. Les mesures à mettre en place sont à mesurer à l'aune de la quantité de données manipulée et de leur sensibilité. Ainsi, un hôpital gérant les données médicales de milliers de patients et une bibliothèque gérant les données de prêt d'une centaine d'usagers ne prendront pas les mêmes mesures pour sécuriser leur données.
Mentions d'information obligatoire
Le RGPD impose une information concise, transparente, compréhensible et aisément accessible des personnes dont on collecte les données, obligation qui existait déjà dans la loi Informatique et Libertés. Lors de tout traitement, il faut obligatoirement informer l'usager sur :
- la finalité du traitement : pourquoi les données sont collectées ;
- ce qui vous autorise à exercer ce traitement : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime » ;
- qui a accès aux données ;
- la durée de conservation des données ;
- les modalités selon lesquelles l'usager peut exercer ses droits ;
- si ces données seront transférées hors de l'UE.
Pour éviter des mentions trop longues, sur le formulaire d'inscription par exemple, vous pouvez ne donner qu'un premier niveau d'information et renvoyer vers une politique de confidentialité disponible à l'accueil de la médiathèque et/ou en ligne.
En tant que responsable du traitement, vous êtes également responsable des traitements effectués par vos sous-traitants. Il est donc de votre responsabilité de vérifier que votre fournisseur de SIGB et tous les autres prestataires amenés à manipuler les données que vous collectez sont bien en conformité avec les dernières réglementations.
- Téléchargez la fiche RGPD - Les outils de la conformité (2018)
- Téléchargez un modèle de contrat de sous-traitance (2018)
- ce qu'il faut savoir du RGPD et de la protection des données sur le site de la CNIL
- le "Guide de sensibilisation au RGPD pour les collectivités territoriales" publié par la CNIL (septembre 2019)