Vous souhaitez savoir si les obligations d’informations relatives au RGPD à destination des usagers, doivent figurer dans le règlement intérieur de la bibliothèque.

La RGPD édicte comme principe que toutes les données collectées, directement auprès de l'usager ou via Internet, doivent l’être de façon « licite, loyale et transparente » pour servir un but précis « détermin[é] et limit[é] ». Il est obligatoire, au préalable, que l’usager en soit averti et qu’il ait donné son accord pour cette collecte, ce traitement et la conservation (dans un temps déterminé) de ses informations personnelles. En outre, la conservation de ces données doit se faire dans un cadre sécurisé.

Pour de plus amples informations, nous vous renvoyons à l’article 32 de la loi "Informatique et Libertés".

Toute entreprise, administration ou organisme doit nommer en interne un « responsable du traitement des données », cette personne  doit mettre en œuvre les conditions de sécurité des données, afin d’éviter toute tentative d’intrusion, de détérioration, de déformation dans les fichiers de données personnelles.
Ce dernier, pour les bibliothèques et médiathèques, doit s'appuyer sur la Norme simplifiée NS-009 qui a été établie pour les données propres aux « traitements relatifs à la gestion des prêts de livres, de supports audiovisuels et d'œuvres artistiques et des consultations de documents d'archives publiques. »

Depuis le 25 mai 2018, un « Délégué à la protection des données (DPD ou DPO) » est obligatoire pour les collectivités. Celui-ci peut être interne ou externe, mutualisé pour plusieurs entités ou non.
Nous vous conseillons de vous rapprocher de votre tutelle afin d’identifier le DPO ou à défaut le CIL (Correspondant Informatique et Libertés) ou référent CNIL, qui saura vous conseiller sur les procédures à mettre en place et les canaux de communication à privilégier : site Internet, règlement intérieur, charte d'utilisation, affichage...

Source : fiche d’informations de la CNIL RGPD : comment les collectivités territoriales sont-elles impactées ? (en bas de la page)

Nous vous indiquons ces ressources :

• le guide "Le RGPD : petit guide à l’usage des bibliothécaires" élaboré par la Bibliothèque départementale du Val d'Oise. Ce document, à la page 4 détaille étape par étape les actions et précautions d’informations à mettre en place.
• Données personnelles en bibliothèque : la check-list pour se mettre en conformité. Biblio.gironde. Pôle des Coopérations Numériques
• La protection de la vie privée des lecteurs par les bibliothécaires français. Marion Chovet. Mémoire de Diplôme de conservateur de bibliothèque, enssib, 2019.

Enfin pour compléter, voici quelques exemples de messages d’informations que des bibliothèques municipales ou d’universités diffusent sur leurs sites Internet.

• Données personnelles. Service commun de documentation, Université de Poitiers.
• Données personnelles. Université de Lille.
• Politique de confidentialité. BM de Lyon
• Règlement intérieur réseau des bibliothèques de la ville de Nîmes. BDN

D’autres exemples sont également cités dans un billet du blog Biblio Numericus
Source : « Des pratiques RGPD-friendly en bibliothèques », Thomas Fourmeux, 16 avril 2019, biblionumericus.fr.