J-2 avant la fin du monde ! Le RGPD entre enfin en application dans 2 jours. C’est la panique personne n’est prêt et tout le monde a peur de l’amende de 20 millions d’euros pour non conformité. Il y a des dizaines d’articles par jour qui sont publiés sur ce nouveau règlement plus anxiogènes les uns que les autres. Bon rassurez-vous, il ne va pas se passer grand chose et la mise en conformité va prendre du temps. A l’occasion de l’entrée en vigueur, j’ai essayé de rassembler quelques éléments pour que les bibliothèques puissent être opérationnelles et rapidement conformes avec les exigences du RGPD. Ce n’est pas quelque chose de complet et il y a probablement quelques imprécisions mais je pense que cela peut servir pour comprendre ce que cela implique plus concrètement en termes de changements. Cela vous servira aussi peut-être à vous adresser à votre collectivité qui doit probablement être en ordre de marche pour se soumettre aux nouvelles obligations. Au moins, ce sera l’occasion de vous plier au principe de l’accountability introduit par le RGPD :
« L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données »
Consentement libre et éclairé
Chaque individu doit désormais donner son consentement de façon libre et éclairée. Fini les cases cochées par défaut. Le formulaire d’inscription doit être élaboré de telle sorte que l’usager choisit volontairement et librement. Cela s’applique pour le mail, le SMS ou même le fax (si vous en utilisez pour communiquer auprès de vos usagers ;-))
Certificat SSL/TLS :
Le RGPD impose de sécuriser les données qui sont échangées entre l’internaute et le site web qu’il visite. Autrement dit, c’est la fin du http et la standardisation du HTTPS. Si cela ne rend pas un site infaillible, cela permet d’assurer un certain niveau de confidentialité. Le nom de domaine du site de la médiathèque est géré par votre collectivité, votre prestataire de bibliothèque ne peut pas faire la démarche parce qu’il n’est pas propriétaire du nom de domaine. Il faut lui fournir un certificat SSL/TLS selon le format pris en charge par l’infrastructure de votre prestataire. Très probablement, il vous demandera de lui fournir le certificat au format .PFX qui permet d’exporter/importer le certificat afin de le déployer sur le serveur. (Pour faire simple, le .PFX est une espèce d’archive qui contient la clé privée et la certificat obtenu par une autorité de certification). Théoriquement, vous n’aurez pas à vous en charger, vous serez l’intermédiaire entre votre DSI et votre prestataire. Par ailleurs, grâce à l’Electronic Frontier Foundation, il est possible de générer des certificats gratuitement avec l’outil Certbot. (Argument non négligeable en ces temps de disettes). Enfin, pensez également à demander une redirection forcée de HTTP vers HTTPS pour s’assurer que les internautes tombent bien sur la version sécurisée de votre site.
L’accès au SIGB doit être également protégé et les données échangées lors d’une requête doivent être sécurisées. Ainsi, les données sont « encapsulées » et inaccessible à toute personne qui souhaiterait s’immiscer entre le site et l’internaute. Il est probable que cette partie soit réservée à votre prestataire qui administre cette partie en hébergeant le SIGB sur son serveur.
Bandeau cookies et paramétrer son contenu
Le RGPD renforce le principe du consentement de l’internaute. Par conséquent, fini le bandeau qui avertit de la présence de cookies qui ne laisse pas d’autres alternatives que d’accepter le dépôt du cookie. Désormais, le bandeau doit permettre à l’internaute de pouvoir personnaliser ce à quoi il consent. Concrètement cela se traduit par des options librement paramétrables formulées dans des termes clairs et compréhensibles. En outre, le bandeau ne doit pas disparaître quand l’internaute a cliqué sur une autre page du site. Cela ne peut pas être considéré comme un consentement. Enfin, la durée de conservation est limitée à 13 mois. Il faut attendre la fin des 13 mois pour déposer un nouveau cookie et non la future visite.
Minimiser la collecte des données et sécurisation
Le Règlement impose le principe de la minimisation des données collectées. Elles doivent être nécessaires à la stricte exécution du service. Elles doivent être pertinentes au regard de la finalité. Cette dernière doit être définie et exposée clairement aux usagers. Il est interdit de collecter des données à d’autres fins que la finalité d’origine. Autrement dit, une inscription à la bibliothèque ne se traduit pas par un consentement pour recevoir la newsletter de l’établissement. La communication sur l’actualité de l’établissement ne relève pas de la même finalité que l’emprunt de documents.
En outre le principe de la minimisation est un moyen de sécuriser les données en cas de fuite ou d’intrusion. En effet, une personne non autorisée qui accède à un tableau dans lequel sont stockés les noms, prénoms, âge, date et heure.. peut déduire un certain nombre d’informations sur les personnes et les utiliser à des fins de prospection notamment. Prenons un exemple simple mais parlant, combien de bibliothèques collectent les noms et prénoms des personnes qui souhaitent utiliser des ordinateurs pour accéder à internet. Ce fichier devient de fait un fichier clients pour des entreprises qui vendent des offres commerciales d’accès à Internet. Elles pourront démarcher les personnes présentes dans ce fichier et leur proposer des offres à caractère commercial. N’oubliez pas qu’une donnée seule n’est pas intéressante mais c’est son croisement avec d’autres jeux de données qui permet d’identifier une personne (l’inférence est redoutable pour l’anonymat). La CNIL rappelle qu’il faut « pseudonymiser les données toutes les fois où leur exploitation sous une forme identifiante n’apparaît pas nécessaire à la satisfaction du besoin ». Ainsi, si on reprend l’exemple du tableau avec les noms et prénom, il est préférable d’indiquer le numéro de carte plutôt que le nom de la personne dans le tableur. En effet, pour une personne qui souhaite utiliser un ordinateur de la bibliothèque, il n’est pas indispensable d’avoir son nom pour satisfaire son besoin.
Moteurs de recherche
Ce point n’est pas spécifié directement par le RGPD mais mérite de s’y arrêter quelques instants. Si le règlement renforce le consentement des citoyens européens, est-ce qu’une bibliothèque qui propose Google ou Yahoo par défaut sur ces ordinateurs ne contrevient-elle pas au principe du consentement libre ? En effet, si l’usager utilise Google pour faire ses recherches, une partie de ses données seront collectées parce que c’est le modèle économique de ce moteur de recherche. Or, l’usager n’aura pas explicitement donné son accord pour ce traitement de données. En conséquence, dans ce cas de figue la bibliothèque n’a pas prévu et garanti les mesures visant à recueillir un consentement de l’usager. En revanche, si un moteur de recherche respectueux de la vie privée est défini par défaut sur les postes de l’établissement et que l’individu fait la démarche de se rendre sur google.fr alors la responsabilité de la bibliothèque ne peut être engagée.
Fiche de registre
L’article 30 du RGPD prévoit la tenue d’un registre des activités de traitements des données collectées dans lequel sont exposées les finalités des différents traitements, les types de données collectées, les noms des responsables de traitement, les destinataires… Chaque finalité doit faire l’objet d’une fiche ! C’est un document très complet et fastidieux à remplir qui doit être maintenu à jour. Je vous propose un exemple ci-dessous de registre avec les données qu’on doit remplir en prenant quelques exemples de traitement (gestion du parc informatique, connexion Internet via WiFi et service de téléchargement de livres numériques). Les données saisies dans le tableau ne correspondent pas forcément à votre situation (en particulier les mesures de sécurité technique). J’ai volontairement pris un exemple de fournisseur de livres numériques à l’étranger situé en dehors de l’UE pour expliciter un cas de transfert de données hors de l’UE. (Exemple de registre au format .xls)
J’espère que ces quelques pistes vous aideront à mieux comprendre les impacts du RGPD. A vos marques, prêts, RGPartez !
Bonjour,
on trouve sur la page http://www.solutio.law/bibliotheque-et-conferences/rgpd-exemple-pratique.html une analyse assez poussée de l’application du RGPD en bibliothèque. Elle pose notamment la question du recueil de statistiques, même quand elles sont anonymes (nos fameuses statistiques annuelles, mensuelles, etc. qui comptabilisent les entrées, les inscriptions, les prêts, les réservations..) pour lesquelles les bibliothèques devraient demander un consentement préalable, avant toute collecte.
Je trouve cette lecture très intéressante, même si techniquement elle va être compliquée à respecter : un utilisateur devrait pouvoir choisir au moment de son inscription si les données qu’il produit en utilisant la bibliothèque sont exploitables ou non. Jusque-là, on est bien dans l’esprit du RGPD.
Mais au niveau des outils professionnels, il n’existe aucun moyen pour le moment de faire disparaître les données d’un utilisateur qui nous l’aurait demandé (c’est à dire ne pas les prendre en compte) : les statistiques sont agrégées, anonymisées systématiquement, et sont considérées comme un précieux outil de pilotage. Que ferons-nous de ces utilisateurs fantômes ?
Que faut-il penser de cette lecture ?
Bonne journée,
G. Hatt
Des statistiques anonymisées ne constituent pas à mon avis des données personnelles, puisque par définition elles ne permettent pas d’identifier une personne.
L’analyse de l’article ne me semble par pertinente sur ce point. A ce train là, on ne pourrait plus faire de recensement de la population, puisque chacun pourrait s’opposer au traitement des données non personnelles ou anonymisées.
Le formulaire de recueil du consentement ne me semble pas très bien conçu.
J
« Des statistiques anonymisées ne constituent pas à mon avis des données personnelles, puisque par définition elles ne permettent pas d’identifier une personne. »
Il faut faire preuve d’une certaine naïveté pour penser que les données anonymes suffisent à protéger l’identité d’un individu. Lorsqu’on manipule des données, il y a trois éléments qui sont nécessaires à prendre en compte pour évaluer le degré d’anonymisation d’une donnée :
– l’individualisation ;
– la corrélation ;
– l’inférence.
Or, plusieurs études montrent qu’il est possible de ré-identifier une personne à partir de données supposées anonymisées. Je vous invite à lire cet article pour comprendre combien l’anonymat est précaire.
Concernant le formulaire de recueil du consentement, je ne sais pas de quoi vous parlez. S’il s’agit du registre des finalités, il a été rempli suite aux recommandations d’un cabinet qui a accompagné la collectivité territoriale dans laquelle je travaille.
Je veux bien admettre une « certaine naïveté », mais ne tombons pas dans l’excès inverse : si les bibliothécaires sont légitimement concernés, les données traitées dans les systèmes qu’ils administrent (je parle ici des SIGB, pas des données relatives à la navigation sur internet faite depuis des postes publics) ne relèvent pas des catégories particulièrement sensibles qui sont au coeur du RGPD (articles 9, 30, 35 etc.) et qui sont relatives aux condamnations pénales, aux convictions religieuses, à l’appartenance syndicale, aux préférences sexuelles, ou encore les données génétiques, etc.
Concernant le formulaire de recueil du consentement, je faisais référence à celui figurant dans l’article signalé par Guillaume Hatt dans son commentaire ; dans le modèle de formulaire proposé, on demanderait au lecteur son accord pour « établir des analyses statistiques » à partir de ses données d’activité : demandez-donc au SLL et au ministère s’ils seraient d’accord pour rendre ce recueil et cette analyse facultatifs !
Cordiamement