La mise en conformité de votre bibliothèque avec le RGPD Guide pratique Mai 2019
Les conséquences du RGPD pour votre bibliothèque Il n’y a plus de déclaration de fichiers à faire à la CNIL. Votre collectivité doit pouvoir prouver à tout moment la conformité du traitement des données avec le RGPD sous peine de sanction. Vous devez informer l'usager du traitement de ces données personnelles. Vous devez vous assurer de son consentement explicite au traitement de ses données.
Que sont les données personnelles en bibliothèque ? Il s’agit de toutes les données nominatives, les coordonnées des lecteurs, les prêts, les codes d’identification en ligne… collectées lors des modalités d’inscription aux différents services proposés par la bibliothèque. Des exemples : Inscription via un formulaire papier Notice adhérent SIGB Connexion wifi Utilisation des tablettes ou des postes publics pour accéder à internet Connexion au site Prêts de documents
Combien de temps les bibliothèques peuvent-elles conserver ces données ? Les données collectées lors de l’inscription : 1 an à compter de la date du dernier prêt. Les données relatives à l'identité des emprunteurs ne doivent concerner que les usagers actifs (au moins 1 emprunt dans l'année écoulée). Les fiches des adhérents inactifs depuis 1 an doivent être supprimées. Les données collectées lors du prêt : 4 mois à compter de la restitution du document. L'historique des prêts doit donc être inférieur à 4 mois. Les données collectées lors de la connexion via un poste public, une tablette ou un réseau Wi-Fi : 1 an. Les données collectées pour l’organisation d’un événement : dès la fin de l’événement.
Quelles informations devez-vous communiquer à vos usagers ? Vos mentions légales, ou votre politique de confidentialité doivent préciser : la finalité du traitement : pourquoi les données sont collectées ce qui vous autorise à exercer ce traitement : il peut s’agir du consentement de la personne concernée à recevoir votre lettre d’information par exemple, ou encore de votre « intérêt légitime » à garder une trace des transactions de prêts. qui a accès aux données. la durée de conservation des données. les modalités selon lesquelles l'usager peut exercer ses droits. si ces données seront transférées hors de l'UE. Ces mentions légales peuvent donc être assez longues. Vous pouvez en donner une « version courte », par exemple dans le formulaire d’inscription (voir modèle), et renvoyer vers une politique de confidentialité plus détaillée disponible à l'accueil de la bibliothèque et/ou en ligne sur votre site.
Que faire pour vous mettre en conformité ? Collectes et traitements des données personnelles Identifiez tous les documents et fichiers qui contiennent des données personnelles. Identifiez le Délégué à la Protection des Données (DPO) dans votre collectivité. Transmettez à votre DPO l’ensemble des traitements qui doivent figurer au registre des activités de traitement de votre collectivité avec les éventuels sous-traitants concernés.
Que faire pour vous mettre en conformité ? Formulaire d’inscription avec recueil du consentement de l’abonné Modifiez ou créez le formulaire d’inscription qui intègre les mentions obligatoires (voir modèle). Pour les mineurs, obtenir un consentement parental pour l’adhésion. Choisissez dans votre formulaire les données réellement nécessaires à l’inscription de l’abonné et supprimez les données qui ne donnent lieu à aucun traitement.
Que faire pour vous mettre en conformité ? Lettre d’information Demandez le consentement explicite pour l’inscription à la lettre d’information avant l’envoi de celle-ci. Par exemple, en indiquant la formule « J’accepte d’être destinataire de la lettre d’information de la bibliothèque » dans le formulaire d’inscription (voir modèle). Prévoyez la possibilité de se désinscrire simplement à la lettre d’information, notamment en informant l’abonné de cette possibilité. Chaque lettre d’information doit contenir un lien de désabonnement ou un message indiquant comment se désabonner auprès de la bibliothèque. Envoyez la lettre d’information en masquant tous les destinataires (en copie cachée). Nettoyez régulièrement votre base d’abonnés à la lettre d’information pour ne conserver que les abonnés inscrits.
Que faire pour vous mettre en conformité ? Gestion des postes publics et du réseau Wi-Fi Préambule : si les bibliothèques sont bien obligées de conserver pendant un an les données de connexion (loi anti-terroriste de 2006), il n’est nullement exigé, ni de recueillir l’identité des personnes qui accèdent à Internet, ni de mettre en place a priori des moyens de sécurisation des connexions tels que des systèmes de filtrage. Il n’y a pas non plus d’obligation de collecter l’identité des personnes qui utilisent les postes publics ou le réseau Wi-Fi. Pour en savoir plus
Que faire pour vous mettre en conformité ? Gestion des postes publics et du réseau Wi-Fi Conservez les données de trafic : adresse IP, date, heure et durée de connexion. Ne collectez pas les données portant sur le contenu des correspondances échangées ou des informations consultées et supprimez celles qui auraient été conservées. Vérifiez que les données collectées ne sont accessibles qu’aux administrateurs techniques et transmises aux autorités uniquement dans le cadre de la réquisition d’un juge.
Que faire pour vous mettre en conformité ? Gestion des postes publics et du réseau Wi-Fi Assurez-vous que l’usager a pris connaissance et accepte les conditions générales d’utilisation ou la charte du service. Les conditions doivent y être acceptées explicitement (case à cocher, clic par exemple) à chaque connexion. Si vous sous-traitez ce service, vérifiez la conformité des outils et inscrivez au registre des traitements les sous-traitants impliqués dans cette gestion.
Que faire pour vous mettre en conformité ? Sécurité des données Vous êtes garants de la sécurité d’accès aux équipements informatiques contenant des données personnelles : vérifiez la protection des sauvegardes, la sécurisation des PC, le renouvellement et la complexité des mots de passe, la sécurisation du Wi-Fi.
Que faire pour vous mettre en conformité ? Sous-traitance En tant que responsable du traitement, vous êtes également responsable des traitements effectués par vos sous-traitants. Il est donc de votre responsabilité de vérifier que votre fournisseur de logiciel documentaire (SIGB) et tous les autres prestataires amenés à manipuler les données que vous collectez soient bien en conformité avec le RGPD. Veillez à ce que l’ensemble des sous-traitants impliqués dans chaque traitement de données soit signalé au registre.
En résumé, les 4 grandes étapes à suivre Recensez vos fichiers qui contiennent des données personnelles Faites le tri dans ces fichiers, éliminez les données inutiles, supprimez les données périmées Garantissez le droit de vos usagers à l'accès, à la modification ou à la suppression de leurs données personnelles Vérifiez la sécurité de vos fichiers avec les services informatiques