Données personnelles en bibliothèque

Visuel données personnelles

Les bibliothèques ont en leur possession différentes données personnelles : noms, prénoms, adresses, dates de naissance, etc. 

Elles sont concernées par le Règlement Général sur la Protection des Données (RGPD), qui encadre le traitement des données personnelles sur le territoire de l’Union européenne.

Qu’est-ce qu’une donnée personnelle ?


Tout élément permettant d'identifier une personne directement (nom) ou indirectement (numéro de carte de bibliothèque par exemple) est une donnée personnelle. Toute donnée qui permet d'identifier une personne lorsqu'elle est croisée avec une autre est également une donnée personnelle.

L’utilisation d’une donnée doit être justifiée.
Cette utilisation doit être portée à la connaissance de la personne qui la dépose (durée, finalité, droit de modification et de suppression). La personne doit donner un accord formel pour cette utilisation ; l'accord par défaut n'existe pas.

 

Le Délégué à la Protection des Données


Toute collectivité recueillant des données doit posséder un Data Protection Officer (DPO), c’est-à-dire un Délégué à la Protection des Données. Le DPO vérifie que les données sont bien recueillies dans le respect du règlement et protégées. Il peut également vous conseiller dans la récolte et la gestion de vos données et faire le lien avec la Commission Nationale de l’Informatique et des Libertés (CNIL) qui veille à l’application de la loi.

Cette procédure est obligatoire, quelle que soit la taille de la collectivité.

Une petite collectivité peut faire appel à un DPO externe et solliciter le Centre de Gestion pour être aidée dans sa démarche.

 

Comment faire ?


Commencez par faire le point sur les données que vous demandez à vos adhérents :

  • quelles données ?
  • pourquoi en avez-vous besoin (et en avez-vous vraiment besoin) ?
  • pour quelle durée ?
  • ces données sont-elles enregistrées dans un endroit sécurisé ?
  • y a-t-il a un risque qu’elles soient récupérées par un tiers et réutilisées ?

Tous ces éléments doivent être répertoriés et doivent pouvoir justifier de votre activité.

 

Les données que je récupère sont simplement notées dans un cahier : suis-je concerné ?


Même inscrite sur un cahier, une donnée personnelle reste protégée.
On peut avoir tendance à conserver la trace d'une donnée plus longtemps que nécessaire sur ce type de support. Par exemple, on ne peut pas conserver l’historique des emprunts d’une personne au-delà de 4 mois, même si cette dernière en fait la demande.

Il est important d’avoir en tête que cette réglementation vise à protéger les personnes : une entreprise n’est pas censée récupérer des données pour en faire un usage commercial si la personne n’a pas donné son accord. De même, des personnes non habilitées à connaître ces éléments de la vie privée ne doivent pas les avoir en leur possession.

Le RGPD renforce une loi antérieure et permet ainsi d’encadrer les nombreux dépôts d’informations personnelles sur le web. 

N’hésitez pas à sensibiliser vos adhérents sur le sujet !
 

RGPD : de quoi parle-t-on ? (CNIL)
RGPD pour les bibliothèques, médiathèques (CNIL)

Cadre réglementaire

Accès internet en bibliothèque

Contact

GRIS Claudie
Responsable cellule Science et gestion de la donnée
Tél. 04 77 96 23 72
claudie.gris@loire.fr