Vous souhaitez savoir si dans le cadre du règlement général sur la protection des données (RGPD), un bibliothécaire est autorisé à transmettre à sa mairie de tutelle la liste des personnes inscrites au sein de sa médiathèque.

En premier lieu, veuillez noter que cette réponse n'a pas de valeur juridique.

La lecture des pages web des  médiathèques municipales ou départementales suivantes pourra vous donner  des éléments de réponse sur la politique de protection des données personnelles mise en place dans ces établissements au regard de la RGPD :

• Médiathèque de Couron
• Médiathèque départementale d'Ille et Vilaine
• Médiathèque de Noisy-le-Sec
• Réseau des Bibliothèques de Colmar
• Médiathèque de la Baie

Ainsi, la page web de la Médiathèque de Couron concernant les données liées aux inscriptions et au prêt de documents répond à votre question :

Qui a accès à ces données ?

L'accès à ces données est soumis à identification et seuls les agents de la médiathèque y ont accès ainsi que les sous-traitants des sociétés prestataires lors des opérations de maintenance.

De la même façon, la page du site des bibliothèques de Noisy-le-Sec précise que l'accès aux données personnelles des usagers inscrits est réservé au réseau des bibliothèques d’Est Ensemble  :

Le traitement des données à caractère personnel

Les informations qu’Est Ensemble est amenée à recueillir proviennent de leur communication volontaire par les personnes physiques ou morales par saisie sur les formulaires disponibles en ligne. Le caractère facultatif ou obligatoire des données est indiqué sur chaque formulaire.

Ces informations sont du type : nom, prénom, adresse, mail, numéro de téléphone, âge, liens de parenté, historique d’emprunts. Elles ont pour finalité la connexion au compte lecteur et l’accès aux ressources numériques. Elles sont destinées à l’usage unique du réseau des bibliothèques d’Est Ensemble et ne font pas l’objet d’un transfert hors de l’Union européenne.

La page web de la Médiathèque de la Baie est également très précise quant aux destinataires des données et leur rôle en la matière :

Destinataires des données

Catégories de destinataires

Sont destinataires des données traitées dans le cadre du réseau :

• les bibliothécaires (professionnels ou bénévoles) des 23 communes membres des Médiathèques de la Baie dont la vocation est la gestion des établissements et des comptes usagers,
• les bibliothécaires ou informaticiens de Saint-Brieuc Armor Agglomération dont la vocation est la coordination, l’administration, l’assistance et l’évaluation des Médiathèques de la Baie,
• le Trésor public ou l’association Culture et Bibliothèque pour Tous (Saint-Quay-Portrieux uniquement),
• la société C3RB Informatique qui fournit les outils informatiques du réseau, peut également, en sa qualité de sous-traitant, accéder aux données pour des interventions de maintenance ou de formation.

Les membres des Médiathèques de la Baie pourront également être amenés à communiquer les données à caractère personnel aux autorités compétentes, le cas échéant, afin de répondre à leurs obligations légales et réglementaires.

Transfert des données hors UE

Les données sont hébergées en France, sur des serveurs distants, par le biais de la société C3RB Informatique. Les données ne peuvent pas être transférées hors de l’Union européenne.

Afin de vous faire accompagner au mieux sur ce sujet, nous vous invitons à vous rapprocher  du DPO (Délégué à la Protection des Données) désigné par votre tutelle.

Pour aller plus loin :

Guide de sensibilisation au RGPD pour les collectivités territoriales. CNIL

Données personnelles, RGPD. La check-list pour se mettre en conformité. Mediatheques.haute-saone.fr