Petit guide à destination des bibliothécaires peu respectueux des droits des usagers

By EFF-Graphics -CC BY – Wikimedia Commons

Le titre de cet article est un peu provocateur. D’aucuns diront que c’est une attaque à charge mais peu importe. Suite au débat que nous avons lancé sur Agorabib sur la surveillance et le rôle de bibliothécaires, j’ai été surpris de voir que la défense d’une camarade prenait le pas sur la loi. Au cours de ce débat, on a pu lire des témoignages assez graves sur l’ingérence de certains professionnels qui commettent, à mon sens, une atteinte aux droits fondamentaux des usagers. De ce fait, ils en arrivent à rompre le rapport de confiance établi entre la bibliothèque et les usagers qui ont identifié comme un lieu de liberté.

Un zélé collègue, du genre qui aime bien le travail, la famille et la patrie, est allé signaler un lecteur auprès d’un vigile, car celui-ci consultait un site… en arabe. Je précise que le collègue en question, lui, ne lit évidemment pas l’arabe.

Par corporatisme ou réflexe de « classe », certains professionnels sont intervenus dans le débat pour défendre Anna Marcuzzi quand bien même ils n’étaient pas d’accord avec son argumentation. Défendre les copains ou défendre les droits des usagers, pour ma part, j’ai choisi mon camp.  Plusieurs arguments ont été avancés comme la posture du cadre face à ses agents, la morale qui obligerait à signaler des usagers au comportement inhabituel, la difficulté à résister à une demande de transmission de données concernant un usager. Pour éviter que le syndrome de la paranoïa envenime notre pratique professionnelle, il me semble nécessaire de revenir sur certains points de droit qui permettront, je l’espère, à certains collègues de prendre conscience qu’ils bafouent les droits fondamentaux des usagers, consciemment ou inconsciemment.

Un usager peut-il consulter un site faisant de l’apologie ou de la provocation au terrorisme ?

La consultation d’un site faisant de l’apologie ou de la provocation au terrorisme n’est pas un délit. Plusieurs tentatives de la part du gouvernement ont voulu faire de la consultation habituelle de sites faisant de l’apologie ou de la provocation au terrorisme un délit. Mais le Conseil Constitutionnel a invalidé cette disposition en rappelant que le texte limitait la liberté d’expression de manière disproportionnée. Et de rappeler que « la libre communication des pensées et des opinions » garantie par la Déclaration des droits de l’homme de 1789 « implique la liberté d’accéder » à Internet. ». Enfin, le Conseil Constitutionnel a jugé de bon de préciser que la consultation d’un site terroriste ne se traduisait pas par une adhésion aux idées véhiculées par le site. (Imaginez une situation dans laquelle un parent souhaite se renseigner sur ce genre de sites parce qu’un de ses enfants ou un proche semblent manifester des signes de radicalisation. Cet individu en question pourrait choisir de consulter ce genre de sites pour essayer de comprendre les mécanismes d’endoctrinement et discuter avec son enfant.)

Obligation de signalement

Au cours du débat sur Agorabib, l’argument de l’obligation de signalement a été apporté. Effectivement, les fonctionnaires dans l’exercice de leur fonction sont contraints à l’obligation de signalement. Mais cette obligation précise le contexte. « Tout fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou délit doit en aviser sans délai le procureur de la République ». Or, la consultation d’un site faisant l’apologie du terrorisme n’est pas constitutif d’un délit. Par conséquent, le bibliothécaire ne doit pas signaler une personne qui consulte un site terroriste.

Signe de radicalisation et signalement

Certains bibliothécaires pensent que la consultation est un signe de radicalisation. Au risque d’en surprendre certains, ce n’est pas un signe suffisant pour considérer un changement de comportement. Imaginez un journaliste, un avocat ou un chercheur qui vienne consulter ces sites. Le site officiel du gouvernement de lutte contre le djiahdisme précise clairement que « L’apparence physique ou vestimentaire ne constitue pas un élément suffisant pour identifier une situation de radicalisation« . « Identifier un processus de radicalisation ne se fait pas sur la base d’un seul indice mais d’un faisceau d’indicateurs ». Donc la consultation d’un site faisant l’apologie du terrorisme ne peut pas être interprété comme un signe de radicalisation.

Surveillance des usagers

Pour savoir qu’un usager consulte un site terroriste, le bibliothécaire peut s’y prendre de deux façons. Soit il observe au-dessus de l’épaule et ce n’est absolument pas éthique. Souhaiteriez-vous qu’on regarde au-dessus de votre épaule ce que vous êtes en train de lire ? Soit il utilise un outil de surveillance afin d’assurer la sécurité des postes. La CNIL recommande de ne pas utiliser ce genre d’outils qui constitue une atteinte à la vie privée (qui est garantie par l’article 9 du Code Civil) :

« Plusieurs opérateurs de communication électronique contrôlés utilisaient des outils de surveillance afin d’assurer la sécurité des postes informatiques, la gestion des tarifications, les impressions, etc.
L’utilisation de tels outils (consultation ou prise en main à distance, contrôle de l’historique de la navigation, etc.) est susceptible de donner accès à un grand nombre d’informations excessives au regard de la finalité pour laquelle elles sont collectées (identifiants-mots de passe, numéros de compte bancaire, etc). Le recours à de tels outils doit être évité ou un paramétrage limité doit être mis en place.« 

L’article 226-18 du Code Pénal dispose que :

Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Un agent vient me voir pour se plaindre qu’un site terroriste est accessible depuis les postes de la bibliothèque

En tant que cadre, vous pouvez d’ores et déjà rappeler la loi à votre agent pour lui signifier que la consultation d’un site terroriste n’est pas illégal. Vous pouvez également rappeler que les faits engagent les auteurs du propos mais en aucun cas l’hébergeur (ex : YouTube) ou la personne qui consulte. Si vous avez réussi par une indiscrétion appuyée à obtenir le nom du site, vous pouvez le signaler sur la plateforme Pharos. Enfin, vous pouvez signaler à votre DSI que le filtrage des contenus web est une passoire.

Suis-je obligé de collecter l’identité d’une personne qui souhaite accéder à Internet en bibliothèque ?

Non. La collecte de l’identité n’est pas une obligation prévue par la loi (Est-ce que vous déclinez votre identité pour utiliser le wi-fi dans un McDo, Starbucks ou un aéroport ?) La CNIL l’explique on ne peut plus clairement :

« Non. Le cybercafé en question n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès wifi ouvert). Il doit uniquement conserver les données techniques de connexion.
En revanche, s’il fait le choix de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche d’inscription par exemple, il a l’obligation de conserver ces données pendant un an. »

Quelles données doit-on collecter ?

En fournissant un réseau de communication ouvert au public, la collectivité territoriale obtient le statut d’opérateur de communication électroniques. Ces derniers sont soumis à un certain nombre d’obligations prévues par l’article L34-1 du Code des Postes et Communications électroniques :

Les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :

a) Les informations permettant d’identifier l’utilisateur ; (adresse IP, adresse MAC…)

b) Les données relatives aux équipements terminaux de communication utilisés ;

c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;

d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;

e) Les données permettant d’identifier le ou les destinataires de la communication.

Ces données de trafic doivent être conservées pendant 1 an à compter du jour de leur enregistrement. Par ailleurs, l’entrée en vigueur du RGPD impose le principe de la minimisation des données collectées strictement nécessaires à la finalité du service. Moins vous collectez de données, plus vous êtes conformes au Règlement Général de Protection des Données. Enfin, vous pouvez vous retrouver dans une situation qui vous enjoint à transmettre des données sur un usager. Mais cela doit se faire selon une procédure particulière :

La loi permet à certaines administrations/autorités publiques de se faire communiquer, sous certaines conditions et dans le cadre de leurs missions particulières, des informations personnelles issues de fichiers détenus par des organismes publics et privés sans information préalable aucune des personnes concernées par ces fichiers.

Cette communication ne peut être effectuée que sur demande ponctuelle, écrite et motivée, visant des personnes nommément désignées, identifiées directement ou indirectement. Il est exclu qu’elle porte sur l’intégralité d’un fichier, d’un sous ensemble de fichiers ou qu’elle aboutisse à l’organisation d’interconnexions.

La demande doit préciser le texte législatif fondant ce droit de communication ainsi que les catégories d’informations sollicitées. il convient alors de répondre favorablement à la demande en essayant de transmettre des données pertinentes et limitées.

J’espère que ce petit guide pourra vous servir. Et vous remarquerez que je n’ai pas abordé la dimension militante du bibliothécaire. Je me suis juste appuyé sur ce que dit la loi et qui sert de cadre à notre pratique professionnelle.

10 commentaires à propos de “Petit guide à destination des bibliothécaires peu respectueux des droits des usagers”

  1. Bah voilà un article pratique, clair et compréhensible ! C’est ce que j’aurais aimé trouver dans ton article précédent. Je rencontre toujours des bibliothécaires qui se posent ces mêmes questions : « On a le droit ? », « Qu’est-ce qu’on est censé faire ? ». Beaucoup ne sont pas au courant des choses, ça leur échappe, pas toujours facile de communiquer avec sa DSI, et il y a toujours besoin de faire connaître ce qu’on peut faire ou pas.
    Même si, pour le titre, une tournure plus positive genre « Petit guide à destination des bibliothécaires souhaitant mieux respecter les droits des usagers » aurait été bienvenue.

  2. L’avantage quand on se prend le chou, c’est qu’avec le chou on fait une belle potée roborative…(la pointe d’acidité peut se corriger avec un sucre ou une carotte.) merci pour ce plat bien nourrissant qui je le souhaite nourrira correctement le corp et l esprit des bibliothecaires.

  3. Merci pour cet article, c’est une ressource précieuse, et merci pour votre engagement ces derniers jours. C’est une bouffée d’air frais au sein de cette profession qui se regarde le nombril depuis bien trop longtemps.

    Et gardez ce titre, il est parfait, n’écoutez pas celles et ceux qui pinaillent excessivement sur la forme pour étouffer le fond.

  4. Merci, cet article est très intéressant. Ceci dit… j’ai encore des questionnements car je vois des choses contradictoires. Oui, dans un MC DO on ne donne pas son identité, mais on a son propre matériel de consultation… ce qui change tout. Il est dit qu’il faut permettre aux autorités de retrouver l’utilisateur grace à l’IP… sauf que dans le cas des médiathèques, on a des ordi fixes sur lesquels plusieurs personnes se connectent. Donc… il faut bien que nous conservions les données suivantes : nom et prénom de l’abonné qui s’est connecté, sur quel ordi et à quelle heure ? non ? c’est d’ailleurs exactement ce que je comprends ici : a) Les informations permettant d’identifier l’utilisateur ; (adresse IP, adresse MAC…)

    « b) Les données relatives aux équipements terminaux de communication utilisés ;

    c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;

    d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;

    e) Les données permettant d’identifier le ou les destinataires de la communication. »

    Merci pour vos éclaircissements

    • Pour reprendre l’exemple du McDo, si je me connecte au wifi via un VPN mon adresse IP ne sera pas révélée. En outre, je peux modifier mon adresse MAC si je le souhaite. Cela ne me rendra pas anonyme mais ça brouillera un peu les pistes.
      Il me semble que la nature de la connexion n’a pas d’importance, wi-fi ou filaire, les règles sont les mêmes. Par ailleurs, l’adresse IP risque de ne pas être pertinente car vos ordinateurs risquent d’avoir la même s’ils sont en réseau connectés derrière un proxy.
      Enfin, j’insiste, vous n’avez pas d’obligation légale à conserver le nom et prénom de l’abonné connecté. La CNIL est très claire sur ce point. En revanche, vous devez effectivement conserver

  5. Rétroliens : De la bibliothèque au FabLab

  6. Rétroliens : Petit guide à destination des bibliothèques qui souhaitent (plus) respecter les droits des usagers – Veille de Sabiantes

  7. Rétroliens : Le débat du moment : bibliothèques et surveillance – Veilleur du Web

  8. Rétroliens : De la bibliothèque au FabLab – Audric Gueidan

Répondre à audrey Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*