Obligation de conserver l'identification des personnes connectées à internet en médiathèque publique
Question
Bonjour,
L'équipe de ma médiathèque publique s'interroge sur la nécessité de conserver les données nominatives concernant les connexions à Internet via les PC de la médiathèque. Nous offrons aujourd'hui la possibilité aux usagers non-inscrits de se connecter grâce à des cartes aux identifiants génériques. Les usagers inscrits doivent, eux, rentrer leurs identifiants personnels pour se connecter. Devons-nous demander et conserver l'identité des usagers non-inscrits pour les connecter ? Nous nous interrogeons notamment par rapport aux récentes modification du Code des postes et communications électroniques, article L34-1 : https://www.legifrance.gouv.fr/codes/id/LEGIARTI000043887545/2021-07-31. Nous ne trouvons pas de commentaire permettant d'en clarifier l'interprétation pour notre cas.
Nous vous remercions par avance pour votre aide !
Réponse
Date de la réponse : 27/09/2021
Vous vous interrogez sur la nécessité de conserver les données nominatives concernant les connexions à Internet effectuées à partir des ordinateurs d'une médiathèque.
Pour répondre précisément à cette question, vos interlocuteurs privilégiés doivent être le délégué à la protection des données (DPD ou DPO en anglais) de votre commune ainsi que votre bibliothèque départementale. Si vous ne pouvez pas interroger ces partenaires, nous vous invitons à prendre contact avec l'association Bibliothèques en Seine-Saint-Denis.
Vous trouverez une réponse d'ordre générale ainsi qu'un guide pratique sur la durée de conservation des données sur le site de la CNIL. C'est le règlement général de la protection des données (RGPD) et la loi Informatique et Libertés qui prévoient le principe de conservation limitée des données personnelles.
Quant à l'article L34-1 du Code des postes et des communications électroniques, qui indique que les "opérateurs de communications électroniques" ont des obligations légales en terme de conservation des données, nous ne sommes pas en mesure de vous donner une interprétation avérée, n'étant pas juristes.
Nous vous signalons des définitions d'"opérateurs de communications électroniques" :
- Opérateur. Marché public.fr.
On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un services de communications électroniques.
- CETE de l'Ouest. Le point sur : Les opérateurs de communications électroniques. Numéro de décembre 2012.
- ainsi que cette check-list pour être en conformité avec le RGPG de la bibliothèque départementale des Pyrénées-Atlantique qui indique que :
Il n’y a pas d’obligation de collecter l’identité des personnes qui utilisent les postes publics ou le réseau wi-fi. Si elle est collectée, elle doit être conservée 1 an, comme les données de trafic
Autres ressources pour aller plus loin :
- Données personnelles en bibliothèque. Biblio-Gironde.
- RGPD - Les données informatiques. BD Arriège.
- RGPD et bibliothèques. Questions ? Réponses! Enssib, 2019.
- NS09 : Bibliothèques, médiathèques. CNIL
- Le forum Agorabib, pour obtenir des retours d'expérience.