Des pratiques RGPD-friendly en bibliothèques

Le RGPD est appliqué depuis bientôt un an, petit tour d’horizon des bibliothèques qui ont enclenché un travail de mise en conformité.

Les cookies

Bien souvent des sites (pas uniquement de bibliothèques) affichent un bandeau indiquant que des cookies peuvent être déposés. Généralement, trois solutions s’offrent à l’internaute :

  • en poursuivant sa navigation en cliquant sur une des pages, le site web considère que l’internaute a accordé explicitement et librement son consentement ;
  • le bandeau n’offre pas d’autres options que d’accepter en cliquant sur le bouton approprié ;
  • l’internaute a la possibilité de s’opposer en cliquant sur un bouton « Refuser ».

Les bibliothèques de Rennes font figure de bon élève en la matière et proposent un bandeau qui permet à l’internaute de pouvoir librement donner son consentement ou non.

Bandeau de dépôt de cookie
Bandeau de dépôt de cookie

Il arrive parfois que ce genre de bandeau ne serve qu’à faire illusion. Certains sites n’attendent pas la décision de l’internaute et le dépôt de cookie et les outils de tracking publicitaire se mettent automatiquement en place. Autrement dit, le consentement de l’internaute n’est pas recueilli pour collecter et traiter ses données. Mais dans le cas qui nous intéresse, le travail est bien fait :

Le cookie "attend" une action de l'utilisateur avant d'être déposé
Le cookie « attend » une action de l’utilisateur avant d’être déposé

Une fois que j’ai accordé mon consentement, le statut passe de « wait » à « true » et la liste des cookies déposés apparaît :

Les cookies sont déposés
Les cookies sont déposés
  • utma = utilisé pour distinguer les utilisateurs
  • utmb = utilisé pour assurer le suivi de la session
  • utmc = en complément du cookie utma pour identifier les nouvelles visites d’un visiteur connu
  • utmz = détecter la provenance du visiteur (recherche en ligne, autre site, campagne publicitaire, accès direct

Les mentions légales

Les mentions légales sont obligatoires sur un site depuis 2004 avec la Loi de confiance dans l’économie numérique. Selon les cas, elles doivent faire apparaître les informations suivantes :

  • pour un entrepreneur individuel : nom, prénom, domicile ;
    pour une société : raison sociale, forme juridique, adresse de l’établissement ou du siège social (et non pas une simple boîte postale), montant du capital social ;
  • adresse de courrier électronique et numéro de téléphone ;
    pour une activité commerciale : numéro d’inscription au registre du commerce et des sociétés (RCS) ; numéro individuel d’identification fiscale numéro de TVA intracommunautaire ;
  • pour une activité artisanale : numéro d’immatriculation au répertoire des métiers (RM) ;
  • pour une profession réglementée : référence aux règles professionnelles applicables et au titre professionnel ;
  • nom et adresse de l’autorité ayant délivré l’autorisation d’exercer quand celle-ci est nécessaire ;
  • nom du directeur de la publication et coordonnées de l’hébergeur du site (nom, dénomination ou raison sociale, adresse et numéro de téléphone) ;
  • pour un site marchand, conditions générales de vente (CGV) : prix (exprimé en euros et TTC), frais et date de livraison, modalités de paiement, service après-vente, droit de rétractation, durée de l’offre, coût de la technique de communication à distance ;

Le RGPD a introduit de nouvelles mentions à faire figurer :

  • coordonnées du délégué à la protection des données (DPO ou DPD) de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
  • finalité poursuivie par le traitement auquel les données sont destinées ;
  • caractère obligatoire ou facultatif des réponses et conséquences éventuelles à l’égard de l’internaute d’un défaut de réponse ;
  • destinataires ou catégories de destinataires des données ;
  • droits d’opposition, d’interrogation, d’accès et de rectification ;
  • le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat n’appartenant pas à l’Union européenne.
  • base juridique du traitement de données (c’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat notamment) ;
  • mention du droit d’introduire une réclamation (plainte) auprès de la CNIL.

La médiathèque départementale du Rhône est un bon exemple en matière de mentions légales. Tous les éléments mentionnés ci-dessus sont présents :

Les mentions légales de la médiathèque départementale  du Rhône
Les mentions légales de la médiathèque départementale du Rhône

Les boutons de partage des réseaux sociaux

La présence de boutons Facebook « j’aime » est très répandue sur le Web. Cela permet aux internautes de partager avec leur réseau social un article ou un lien qu’ils trouvent intéressant. Mais cela permet surtout à Facebook de collecter des données à l’insu des internautes y compris ceux qui n’ont pas de compte. En effet, chaque bouton de partage renvoie des informations sans le consentement de l’utilisateur et cela nourrit des profils fantômes sur des utilisateurs potentiels de la plateforme. Ainsi, Facebook récupère l’adresse IP ou des informations relatives au navigateur. Cette transmission automatisée se fait évidemment sans le consentement de l’internaute. Afin d’y remédier, les sites qui intègrent des boutons de partage vers les réseaux sociaux peuvent le désactiver par défaut. Dès lors, c’est à l’internaute de devoir activer volontairement un des boutons pour ensuite partager le lien. Cela permet donc de s’assurer que le recueil du consentement est garanti. La médiathèque départementale de l’Aveyron a adopté cette stratégie :

Boutons de partage désactivés par défaut
Boutons de partage désactivés par défaut

Certificat TLS et HTTPS

Le RGPD s’articule autour de plusieurs principes dont celui de la sécurité et de confidentialité. Comme le rappelle la CNIL, « le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu’il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations » . L’article 32 du Règlement dispose que le :

le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:


a) la pseudonymisation et le chiffrement des données à caractère personnel

RGPD

Grâce au déploiement du certificat TLS, le site web de la bibliothèque peut assurer un niveau de sécurité et de confidentialité car les données qui transitent entre le navigateur de l’usager et le site de l’établissement sont chiffrées. Le déploiement est encore timide pour les bibliothèques mais certains établissements ont déjà franchi cette étape et proposent ainsi une connexion sécurisée à leurs usagers. Les bibliothèques de Rennes ont eu recours à Let’s Encrypt qui fournit des certificats gratuitement !

Certificat Let’s Encrypt du site des bibliothèques de Rennes

Ce sont quelques cas encourageants qui montrent que les choses changent progressivement en matière de données personnelles. Ce n’est pas forcément le signe que la profession s’est radicalement emparée de la problématique de la vie privée mais plutôt le résultat d’une politique portée par les pouvoirs publics. La route n’est, bien évidemment, pas terminée. Comme le dit Framasoft, « la route est longue mais la voie est libre ».

A nous d’agir !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.