Le nouveau règlement européen sur la protection des données personnelles est entré en application le 25 mai 2018. Ce nouveau règlement rend caduque la « déclaration CNIL » bien connu des bibliothécaires.

Il intervient dans une époque où les données personnelles de chacun peuvent être l’enjeu de transactions financières et être exploitées à des fins de marketing et autres, grâce à l'utilisation de logarithmes puissants.

Toutes les données personnelles que vous collectez (nom, prénom, adresses, téléphone, n° de sécurité sociale…) sont concernées, quelques soient la forme que prennent ses données (papier, fichiers informatiques)

Toutes les collectivités, entreprises, associations doivent se mettre en conformité avec cette loi qui poursuit 3 objectifs :

- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;

- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;

- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

En quoi les bibliothécaires sont-ils concernés ?

C’est principalement par l’inscription des emprunteurs que les bibliothèques sont concernées. Dans le cas ou des prestataires extérieurs interviennent dans le traitement de ces données (bases hébergées), il est nécessaire de prendre contact avec ces prestataires afin de s’assurer de leur conformité avec le RGPD.

Les conventions passées avec des prestataires extérieurs peuvent aussi comporter des données personnelles.

Quoi faire ?

Votre collectivité se doit de désigner un délégué à la protection des données. Ce sera votre interlocuteur et c’est cette personne qui vous demandera les informations concernant vos traitements. Il vous faut maintenant :

• Limiter

Vérifier que les données que vous récoltez sont toutes utiles. Ne les conservez que le temps nécessaire, que ce soit du papier ou des fichiers informatiques.

• Recenser

Quels sont les données personnelles que vous traitez ?

Dans la mesure ou un prestataire intervient dans la gestion de vos données, vous devez lui demandez de se mettre en conformité avec la règlementation.

• Informer

Vous êtes tenus d’informer vos usagers de ce que vous faites de leurs données personnelles et de la durée de leur conservation. Un document sera remis pour signature lors de l’inscription des lecteurs.

Vous devez pouvoir, à la demande d’un usager, lui communiquer les données qu’il vous a fournies.

Sur le site de la CNIL, vous trouverez plus de détails sur le RGPD.