RGPD et bibliothèques : cartographie des traitements de données personnelles

Vie privée by G4ll4is Flickr CC-BY-SA

Le Règlement général de protection des données entre bientôt en vigueur. Il impose un certain nombre de changements sur la façon dont les données personnelles des internautes sont traitées. L’ambition de ce règlement est de redonner aux individus une maîtrise sur l’utilisation de leurs données personnelles collectées par les services en ligne qu’ils utilisent. Le RGPD s’applique aux entreprises mais aussi aux administrations. Ce sont d’ailleurs elles, je pense, qui auront le plus de mal de se conformer aux nouvelles exigences du règlement. L’étape de transition est courte, le RGPD sera appliqué à partir du 25 mai. Les bibliothèques, en tant qu’institutions publiques qui collectent des données personnelles, sont évidemment concernées par ce nouveau règlement. Un certain nombre d’obstacles existent pour être dans les clous notamment la compréhension des conséquences et des obligations du RGPD. Afin d’être prêt, la CNIL a produit un document pour s’y préparer en 6 étapes. J’ai repris l’étape 2 de ce document qui consiste à cartographier le traitement des données personnelles «pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez », et j’ai essayé de l’adapter au contexte des bibliothèques.

Quelles catégories de données personnelles :

Une donnée personnelle est entendue comme toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement grâce à un identifiant (ex : numéro de carte d’adhérent à la bibliothèque)

La CNIL conseille de recenser précisément les différents traitements de données personnelles. Par traitement, l’article 4 du RGPD entend « un traitement comme étant « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction; »

  • Inscription via un formulaire papier : (nom, prénom, adresse, numéro de téléphone, sexe, âge, mail
  • Notice adhérent SIGB : nom, prénom, adresse, numéro de téléphone, sexe, âge, mail, documents empruntés, réservations,
  • Connexion wifi : expéditeur, destinataire, heure, durée, lieu d’origine des communications (sauf le contenu), données techniques de connexion (adresse MAC, IP, numéro constructeurs)
  • Utilisation des tablettes : nom, prénom, numéro de carte dans un registre
  • Utilisation des ordinateurs : numéro de carte adhérent
  • Connexion au site : compte lecteur, adresse ip, mail

Données personnelles concernées  définie par la norme simplifiée NS-009 :

  • Nom, prénoms, adresse, année de naissance, catégorie professionnelle, numéro de téléphone
  • Caractéristiques du prêt ou de la communication : désignation de l’oeuvre (titre, nom de l’auteur, de l’éditeur, etc.) ou du document d’archive, cotes de catalogage ou de classement, date, date(s) de relance.

Quels sont les objectifs poursuivis par les opérations de traitement des données ?

  • Prêter des documents
  • Gestion financière des prêts
  • Editer des statistiques dépersonnalisées

Quels sont les acteurs qui traitent ces données ?

  • La collectivité (DSI)
  • Le fournisseur d’accès internet de la collectivité
  • Le prestataire du portail qui héberge le site
  • Le fournisseur du SIGB s’il détient les serveurs
  • Les fournisseurs de ressources numériques (ToutApprendre, Dilicom, 1Dtouch, LeKiosk, MusicMe…) accessibles depuis le portail. La liste des sous-traitants doit être réalisée car le RGPD impose aux sous-traitants de se conformer aux nouvelles dispositions et dont la responsabilité pourra être engagée en cas de manquement.

Où les données sont-elles hébergées ?

  • L’infrastructure informatique de la ville
  • Les serveurs du prestataire qui hébergent le site de la bibliothèque
  • Les serveurs des fournisseurs de ressources numériques.
  • Dans quels pays les données sont-elles stockées ? En France. Pour ce qui est des bibliothèques, il y a peu de risque que ce soit en dehors de l’Union européenne.

Combien de temps les données sont-elles stockées ?

  • Les données techniques de connexion sont conservées pendant 12 mois maximum selon la législation nationale. En revanche, le droit de l’union européenne prévoit une durée de conservation de connexion qui ne peut excéder 14 jours
  • Les données de l’emprunteur sont conservées pendant la durée du service (le temps du prêt) et sont supprimées un an à compter de la date de fin du prêt précédent.
  • Les infos relatives à chaque prêt sont supprimées à la fin du 4ème mois suivant le retour du document

Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

  • Le RGPD précise que la protection des données personnelles nécessite de prendre des mesures et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques. (article 32)
  • Pour assurer la sécurité des données :
    • Il faut prévoir un chiffrement des réseaux wi-fi ;
    • Sécuriser l’accès au BIOS des ordinateurs mis à disposition ;
    • Empêcher le démarrage d’un système d’exploitation tiers à partir d’une clé USB ;
    • Sécuriser l’accès aux journaux de connexions ;
    • Prévoir un mot de passe suffisamment robuste pour le BIOS pour empêcher la modification de la configuration du système ;
    • Limiter à quelques minutes la durée de stockage des documents en attente d’impressions afin d’éviter la divulgation de données sensibles à des tiers
    • Implémenter le protocole TLS ² sur le site afin de chiffrer les données et les requêtes.

Source : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

8 commentaires à propos de “RGPD et bibliothèques : cartographie des traitements de données personnelles”

    • Je pense que cela est compliqué à organiser. La norme simplifiée 009 de la CNIl précise clairement les durées de conservation des emprunts pour les adhérents : 4 mois après le dernier prêt. Quelque part, ce serait contrevenir à ce fondement juridique. Surtout que cela nécessite d’adapter votre SIGB uniquement pour cette personne, je ne sais pas dans quelle mesure cela est techniquement faisable. Enfin, et c’est peut-être la solution la plus adaptée si votre portail le permet, c’est de fournir aux abonnés la possibilité d’accéder à leur historique de prêt. Ce serait dans ce cas une démarche volontaire et individuelle faite par le lecteur qui serait seul à avoir accès à ces infos. Elles seraient anonymisées du côté de la bibliothèque qui ne pourraient pas y avoir accès.

  1. Bonjour,

    Quelle différence entre les « données d’emprunt » et les « infos relatives à chaque prêt » ?

    Je ne vois pas la distinction ?

  2. Bonjour,
    Je voulais savoir si les urls consultées dans les espaces publics numériques des médiathèques peuvent être enregistrées. Est-ce qu’elles rentrent dans les données de connexion à conserver 365 jours ou non ?

    Je ne trouve pas de réponse claire puisque si j’ai bien compris « facebook.com » ne pose pas de soucis mais « facebook.com/nom_maladie » peut poser problème.
    Les urls peuvent être très explicites quant à la nature des sites visités et permettent dans certains cas de collecter une donnée sensible sur l’utilisateur. Mais je vois mal comment il serait possible d’en enregistrer certaines, d’autres en partie ou pas du tout…

    Bref, nous souhaitons installer Cyberlux 10 comme logiciel de gestion des postes publics et je me demande s’il répond à toutes les exigences réglementaires (RGPD, anti terroriste…) ? L’usager est identifié et les urls collectées durant la durée de notre choix.

    Merci d’avance.

    • Bonjour Caroline,

      Le législateur a introduit par défaut le principe d’effacement et d’anonymisation des données… avec quelques exceptions à ce principe qui semblent contradictoires et confuses. Les textes qui font référence sont la LCEN de 2004 et l’art 34-1 du Codes des Postes et Communications Électroniques.

      Les opérateurs de télécommunications qui fournissent un accès à internet ont des obligations de conservation des données de connexion pour une durée d’un an à compter de leur enregistrement. Ces données peuvent être transmises sur réquisition judiciaire ou administrative (depuis la loi relative à la lutte contre le terrorisme de 2006). Ces données sont conservées afin de pouvoir identifier l’auteur d’une infraction. Il s’agit de l’adresse IP, l’heure, la date, des identifiants, la durée d’une communication, le destinataire.

      Cependant, l’exception de conservation ne peut porter sur le contenu des correspondances ou des informations que ce soit. Votre remarque est tout à fait partinente. Le contenu d’une URL peut révéler énormément d’informations sur un individu. C’est d’ailleurs le raisonnement du Conseil Constitutionnel qui a censuré le délit de consultation de sites terroristes parce que cela limitait la liberté d’expression de manière disproportionnée. En résumé, votre logiciel ne doit pas conserver les urls visitées par les usagers.

      Enfin, concernant l’identification de l’usager. La loi l’autorise mais cela implique de s’assurer de la sécurité des données nominatives concernées et que la finalité de la collecte est clairement expliquée à l’usager.

      En espérant que cette réponse vous éclaire un peu plus.

      Thomas

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.