Accès internet et données personnelles

    Date de la question: 
    21 octobre 2016
    Date de la réponse: 
    25 octobre 2016

Question: 

Bonjour,
Une question concernant l'accès à internet en bibliothèque :
Y a-t-il un texte de loi récent énonçant clairement ce qu'on doit ou non collecter comme données personnelles lorsqu'une personne souhaite utiliser internet au sein de la bibliothèque ?
Je vous remercie d'avance pour votre réponse.

Réponse: 

Vous souhaitez savoir si la bibliothèque qui offre un accès public à internet doit conserver certaines données sur ses usagers afin de respecter les textes de loi en vigueur.

Nous avons trouvé des réponses dans l'article Quelles obligations pour les bibliothèques qui souhaitent offrir un accès à internet ? (Johanna Carvais, Pascal Palut, Bulletin des bibliothèques de France, 2011, n° 3).

Une bibliothèque qui offre un accès public à internet doit être considérée comme un opérateur de communications électroniques ; elle n'est pas considérée comme un Fournisseur d'Accès à Internet (FAI).

Les données qui doivent être conservées sont des données relatives au trafic ; ce sont des données techniques de connexion, listées dans l'article R.10-13 du Code des postes et des communications électroniques (CPCE), créé par le décret n°2006-358 du 24 mars 2006 :

"I. a) Les informations permettant d'identifier l'utilisateur ;
b) Les données relatives aux équipements terminaux de communication utilisés ;
c) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
e) Les données permettant d'identifier le ou les destinataires de la communication.
II. - Pour les activités de téléphonie l'opérateur conserve les données mentionnées au I et, en outre, celles permettant d'identifier l'origine et la localisation de la communication."

Il n'existe pas d'obligation d'identifier les personnes par leur nom ou prénom. À propos des données d'identification : d'après les auteurs de l'article, "ni le Code des postes et des communications électroniques, ni la loi Hadopi I n’imposent une identification des utilisateurs du réseau internet des bibliothèques". Il s'agit plutôt de conserver les adresses IP.
Les contenus de messages échangés, les adresses URL des sites visités ne doivent pas être conservés.

Les textes en vigueur en France à ce sujet trouvent leurs origines dans la loi relative à la sécurité quotidienne du 15 novembre 2001 instituant un principe de rétention des données. Cette loi est codifiée notamment à l’article L. 34-1 du CPCE.

La loi n° 2006-64 relative à la lutte contre le terrorisme du 23 janvier 2006 et ses décrets d’application apportent des précisions et un élargissement des opérateurs concernés et des possibilités d'exploitation des données. Ainsi, une bibliothèque est soumise à l'obligation de conservation de données telle que définie dans l’article L. 34-1 du CPCE modifié par la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

La loi n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet dite loi Hadopi distingue les obligations des FAI et des titulaires d'un abonnement à internet. Cette loi n'oblige pas plus les bibliothèques à identifier les utilisateurs de ses postes connectés à internet ni à conserver des données nominatives.

Nous vous recommandons de lire l'intégralité de cet article, car il aborde également les durées de conservation, les obligations issues de la loi Informatique et Libertés et les discussions et avis émis par la CNIL et le G29 (regroupant les CNIL européennes).

Un article de l'Interassociation Archives Bibliothèques Documentation (paru en 2010) fait également un point très clair :
Offrir un accès à l’internet dans une bibliothèque, un service d’archives ou d’information : Les conditions juridiques

On y lit notamment que "la conservation des logs peut se faire de trois manières différentes :

  • en utilisant localement des unités de stockage dédiées associées à un routeur mis en place pour assurer la répartition du trafic interne entre les différents postes ;
  • en confiant cette obligation au FAI auprès duquel on a acheté des abonnements à plusieurs adresses IP publiques correspondant au nombre de postes ;
  • en confiant l’enregistrement à un tiers prestataire de services."

La loi relative au renseignement promulguée le 24 juillet 2015 va probablement apporter des modifications, mais nous ne sommes pas en mesure de le détailler dans notre réponse. Nous n'avons pas trouvé de document expliquant les conséquences pour les bibliothèques.
Parmi les techniques de renseignements autorisées par cette loi récente, on retrouve :

  • les sondes (article L. 851-2)
  • les « boîtes noires » (article L. 851-3)
  • la géolocalisation d'une personne, d'une voiture ou d'un objet (article L. 851-5)
  • l'utilisation d'IMSI Catcher (article L. 851-6)
  • l'interception des correspondances (article L. 852-1)
  • la sonorisation et la captation d'image dans des lieux privés (article L. 853-1)
  • les keyloggers (article L. 853-2)

Vous pouvez lire à ce sujet :

Pour conclure, si vous souhaitez mettre en application ces obligations dans votre bibliothèque, nous vous suggérons de contacter la bibliothèque départementale de la Manche, qui a pour rôle de conseiller et accompagner les bibliothèques sur son territoire.
Vous trouverez sur son site une fiche pratique sur le thème Proposer un accès public à internet, datant de 2012.