RGPD et bibliothèques : cartographie des traitements de données personnelles

Vie privée by G4ll4is Flickr CC-BY-SA

Le Règlement général de protection des données entre bientôt en vigueur. Il impose un certain nombre de changements sur la façon dont les données personnelles des internautes sont traitées. L’ambition de ce règlement est de redonner aux individus une maîtrise sur l’utilisation de leurs données personnelles collectées par les services en ligne qu’ils utilisent. Le RGPD s’applique aux entreprises mais aussi aux administrations. Ce sont d’ailleurs elles, je pense, qui auront le plus de mal de se conformer aux nouvelles exigences du règlement. L’étape de transition est courte, le RGPD sera appliqué à partir du 25 mai. Les bibliothèques, en tant qu’institutions publiques qui collectent des données personnelles, sont évidemment concernées par ce nouveau règlement. Un certain nombre d’obstacles existent pour être dans les clous notamment la compréhension des conséquences et des obligations du RGPD. Afin d’être prêt, la CNIL a produit un document pour s’y préparer en 6 étapes. J’ai repris l’étape 2 de ce document qui consiste à cartographier le traitement des données personnelles «pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez », et j’ai essayé de l’adapter au contexte des bibliothèques.

Quelles catégories de données personnelles :

Une donnée personnelle est entendue comme toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement grâce à un identifiant (ex : numéro de carte d’adhérent à la bibliothèque)

La CNIL conseille de recenser précisément les différents traitements de données personnelles. Par traitement, l’article 4 du RGPD entend « un traitement comme étant « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction; »

  • Inscription via un formulaire papier : (nom, prénom, adresse, numéro de téléphone, sexe, âge, mail
  • Notice adhérent SIGB : nom, prénom, adresse, numéro de téléphone, sexe, âge, mail, documents empruntés, réservations,
  • Connexion wifi : expéditeur, destinataire, heure, durée, lieu d’origine des communications (sauf le contenu), données techniques de connexion (adresse MAC, IP, numéro constructeurs)
  • Utilisation des tablettes : nom, prénom, numéro de carte dans un registre
  • Utilisation des ordinateurs : numéro de carte adhérent
  • Connexion au site : compte lecteur, adresse ip, mail

Données personnelles concernées  définie par la norme simplifiée NS-009 :

  • Nom, prénoms, adresse, année de naissance, catégorie professionnelle, numéro de téléphone
  • Caractéristiques du prêt ou de la communication : désignation de l’oeuvre (titre, nom de l’auteur, de l’éditeur, etc.) ou du document d’archive, cotes de catalogage ou de classement, date, date(s) de relance.

Quels sont les objectifs poursuivis par les opérations de traitement des données ?

  • Prêter des documents
  • Gestion financière des prêts
  • Editer des statistiques dépersonnalisées

Quels sont les acteurs qui traitent ces données ?

  • La collectivité (DSI)
  • Le fournisseur d’accès internet de la collectivité
  • Le prestataire du portail qui héberge le site
  • Le fournisseur du SIGB s’il détient les serveurs
  • Les fournisseurs de ressources numériques (ToutApprendre, Dilicom, 1Dtouch, LeKiosk, MusicMe…) accessibles depuis le portail. La liste des sous-traitants doit être réalisée car le RGPD impose aux sous-traitants de se conformer aux nouvelles dispositions et dont la responsabilité pourra être engagée en cas de manquement.

Où les données sont-elles hébergées ?

  • L’infrastructure informatique de la ville
  • Les serveurs du prestataire qui hébergent le site de la bibliothèque
  • Les serveurs des fournisseurs de ressources numériques.
  • Dans quels pays les données sont-elles stockées ? En France. Pour ce qui est des bibliothèques, il y a peu de risque que ce soit en dehors de l’Union européenne.

Combien de temps les données sont-elles stockées ?

  • Les données techniques de connexion sont conservées pendant 12 mois maximum selon la législation nationale. En revanche, le droit de l’union européenne prévoit une durée de conservation de connexion qui ne peut excéder 14 jours
  • Les données d’emprunt sont conservées pendant la durée du service (le temps du prêt) et sont supprimées un an à compter de la date de fin du prêt précédent.
  • Les infos relatives à chaque prêt sont supprimées à la fin du 4ème mois suivant le retour du document

Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

  • Le RGPD précise que la protection des données personnelles nécessite de prendre des mesures et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques. (article 32)
  • Pour assurer la sécurité des données :
    • Il faut prévoir un chiffrement des réseaux wi-fi ;
    • Sécuriser l’accès au BIOS des ordinateurs mis à disposition ;
    • Empêcher le démarrage d’un système d’exploitation tiers à partir d’une clé USB ;
    • Sécuriser l’accès aux journaux de connexions ;
    • Prévoir un mot de passe suffisamment robuste pour le BIOS pour empêcher la modification de la configuration du système ;
    • Limiter à quelques minutes la durée de stockage des documents en attente d’impressions afin d’éviter la divulgation de données sensibles à des tiers
    • Implémenter le protocole TLS ² sur le site afin de chiffrer les données et les requêtes.

Source : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

4 commentaires à propos de “RGPD et bibliothèques : cartographie des traitements de données personnelles”

    • Je pense que cela est compliqué à organiser. La norme simplifiée 009 de la CNIl précise clairement les durées de conservation des emprunts pour les adhérents : 4 mois après le dernier prêt. Quelque part, ce serait contrevenir à ce fondement juridique. Surtout que cela nécessite d’adapter votre SIGB uniquement pour cette personne, je ne sais pas dans quelle mesure cela est techniquement faisable. Enfin, et c’est peut-être la solution la plus adaptée si votre portail le permet, c’est de fournir aux abonnés la possibilité d’accéder à leur historique de prêt. Ce serait dans ce cas une démarche volontaire et individuelle faite par le lecteur qui serait seul à avoir accès à ces infos. Elles seraient anonymisées du côté de la bibliothèque qui ne pourraient pas y avoir accès.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*