Dans le cadre d’une migration vers un nouvel SIGB, vous vous interrogez sur l'application de la RGPD en lien avec le module usagers (inscriptions, comptes usagers), plus précisément sur la saisie et la conservation d’informations comme la CSP.

De prime abord, nous vous conseillons la lecture de cette précédente réponse de notre service :

Demander et enregistrer le n° de carte d'identité à l'inscription. Questions?Réponses ! 10/09/2020

Il existe de nombreux guides de mise en conformité RGPD, réalisés par des bibliothèques départementales, qui peuvent vous aider. Le guide sur le respect de la RGPD en bibliothèque de la Médiathèque départementale d'Ille-et-Vilaine indique :

Collecte d’informations

 

On peut obliger la personne qui s’inscrit à fournir des données qualifiées de nécessaires, parce qu’elles seront utiles à la gestion des prêts, la récupération des documents et l’élaboration de statistiques utiles à l’amélioration du service :

• Nom, Prénom(s)

• Adresse

• Année de naissance

• CSP : mais seulement si on les utilise en vue d’améliorer le service

• N° de téléphone

Conservation des données

 

Ensuite, on conserve durant le temps réglementaire et pas au-delà, soit :

• Les inscriptions doivent être radiées d’office 1 an après le dernier retour de document

• Pour chaque document, les informations des précédents emprunteurs doivent être effacées 4 mois après le retour du document

Votre logiciel de bibliothèque doit vous permettre de gérer facilement ces délais.

Personne ressource

 

Pour chaque organisme concerné par le RGPD, l’autorité administrative devient le responsable du traitement des données. Pour la bibliothèque municipale : le Maire. Pour la bibliothèque associative avec délégation de service public de la commune (convention) : le Maire. Pour la bibliothèque associative non conventionnée : le Président de l’association. Pour la bibliothèque intercommunale : le Président de l’EPCI.

 

Chaque responsable du traitement doit désigner un DPO (Délégué à la Protection des Données). C’est la personne référente pour la protection des données (normalement, ce n’est pas un informaticien car il serait à la fois juge et partie). Elle peut être mutualisée entre plusieurs petites collectivités territoriales. Dans tous les cas, votre hiérarchie doit pouvoir vous orienter vers elle.

 

Votre éditeur de logiciel de bibliothèque (comme vos prestataires de site internet, de ressources numériques) est sous-traitant des données personnelles que vous collectez. A ce titre, ils sont également soumis au RGPD et co-responsables avec le responsable du traitement. Ils ont une obligation de conseil et une obligation de sécurisation des données confiées.

Nous vous conseillons de prendre contact avec votre Délégué à la Protection des Données, afin de vous faire accompagner.

Pour aller plus loin :

• Quid du RGPD dans le règlement intérieur de la bibliothèque ? Questions?Réponses ! 19/06/2019

• CNIL norme simplifiée n°9. Questions?Réponses ! 23/03/2021

• Bibliothèque : déclaration des fichiers informatiques des inscrits et des prêts. Questions?Réponses ! 19/03/2020

• Bornes wifi et traçabiblité. Questions?Réponses !  06/07/2020

• Les données personnelles en bibliothèque. Médiathèque départementale du Tarn-et-Garonne

• Données personnelles, RGPD. La check-list pour se mettre en conformité. Biblio.Gironde

• Le RGPD : petit guide à l’usage des bibliothécaires. Bibliothèque départementale du Val-d'Oise