Quid du RGPD dans le règlement intérieur de la bibliothèque ?

Question

Faut-il mentionner des informations relatives au RGPD dans le règlement intérieur d'une bibliothèque ? (Données récupérées, politique de la collectivité en la matière, possibilité de consultation / modification des données par l'usager..)

Réponse

Date de la réponse :  19/06/2019

Vous souhaitez savoir si les obligations d’informations relatives au RGPD à destination des usagers, doivent figurer dans le règlement intérieur de la bibliothèque.

 

La RGPD édicte comme principe que toutes les données collectées, directement auprès de l'usager ou via Internet, doivent l’être de façon « licite, loyale et transparente » pour servir un but précis « détermin[é] et limit[é] ». Il est obligatoire, au préalable, que l’usager en soit averti et qu’il ait donné son accord pour cette collecte, ce traitement et la conservation (dans un temps déterminé) de ses informations personnelles. En outre, la conservation de ces données doit se faire dans un cadre sécurisé.

Pour de plus amples informations, nous vous renvoyons à l’article 32 de la loi "Informatique et Libertés".

 

Toute entreprise, administration ou organisme doit nommer en interne un « responsable du traitement des données », cette personne  doit mettre en œuvre les conditions de sécurité des données, afin d’éviter toute tentative d’intrusion, de détérioration, de déformation dans les fichiers de données personnelles.
Ce dernier, pour les
bibliothèques et médiathèques, doit s'appuyer sur la Norme simplifiée NS-009 qui a été établie pour les données propres aux « traitements relatifs à la gestion des prêts de livres, de supports audiovisuels et d'œuvres artistiques et des consultations de documents d'archives publiques. »

Depuis le 25 mai 2018, un « Délégué à la protection des données (DPD ou DPO) » est obligatoire pour les collectivités. Celui-ci peut être interne ou externe, mutualisé pour plusieurs entités ou non.
Nous vous conseillons de vous rapprocher de votre tutelle afin d’identifier le DPO ou à défaut le CIL (Correspondant Informatique et Libertés) ou référent CNIL, qui saura vous conseiller sur les procédures à mettre en place et les canaux de communication à privilégier : site Internet, règlement intérieur, charte d'utilisation, affichage...

Source : fiche d’informations de la CNIL RGPD : comment les collectivités territoriales sont-elles impactées ? (en bas de la page)

 

Nous vous indiquons ces ressources :

 

Enfin pour compléter, voici quelques exemples de messages d’informations que des bibliothèques municipales ou d’universités diffusent sur leurs sites Internet.

 

D’autres exemples sont également cités dans un billet du blog Biblio Numericus
Source : « Des pratiques RGPD-friendly en bibliothèques », Thomas Fourmeux, 16 avril 2019, biblionumericus.fr.