caractère personnel de ses utilisateurs risque
de provoquer un sentiment d’insécurité
©
D
39
service d’impression, consultation des postes publics, consultation des ressources en ligne payantes, etc. La Loi Informatique
et Libertés (article 2) reprise par le RGPD
(article 2.1) définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique iden- tifiée ou identifiable ». En indiquant qu’est réputée « identifiable » toute personne phy- sique pouvant être identifiée directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro
d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques à son identité phy- sique, physiologique, génétique, psychique, économique, culturelle ou sociale.
La protection de la vie privée est un pro- cessus continu. Les données ont une durée de vie, pendant laquelle les personnes en charge de son traitement en sont respon- sables. Il faut donc veiller à cette continuité. Tous les départements d’une bibliothèque ont donc un rôle à jouer dans la protection de
la vie privée. Bien évidemment l’inscription, l’historique des prêts, les services offerts comme les ordinateurs en libre accès, l’ac- cès aux bases de données ou le moteur de recherche proposé par défaut sur les postes publics, mais aussi en matière de politique d’achat : l’exploitation des données des utili- sateurs par les sociétés en matière d’e-book
B
IB
LI
O
TH
ÈQUE
(S
)
N O 9 8-9 9 - D ÉC EM B R E 2 01 9D
O
SSIER
LI B ER TÉ , C IT O Y EN N E TÉ B IB LI O THÈ Q U Eet de bases de données doit être un point de vigilance particulier. Il faut également rap- peler qu’une bibliothèque fait partie d’une structure plus globale (commune, uni- versité, école…) et donc sa conformité au RGPD devra s’inscrire dans un projet plus global, commun à l’ensemble des services de sa structure.
Les bibliothèques doivent savoir anticiper pour mieux se protéger et protéger les don- nées de leurs usagers. Elles doivent donc déterminer quelles sont les valeurs à pro- téger, essayer de déterminer les risques et menaces possibles, anticiper autant que pos- sible, notamment en adoptant une démarche de Privacy by design. Dès la conception d’une nouvelle application ou d’un projet, avoir une démarche de Privacy By Design c’est garantir le respect de la vie privée. Il s’agit de s’assurer de la pertinence des don- nées collectées, comprendre les risques pour les personnes concernées, anticiper l’in- formation et le droit d’accès, etc. C’est une mesure préventive et obligatoire. Adopter une démarche Privacy By Design mini- mise les efforts fournis pour se conformer à la loi tout en évitant une mise en conformité
a posteriori : toute modification, adapta-
tion ultérieure est généralement plus com- plexe et plus coûteuse. Pour favoriser cette démarche, la CNIL a publié en juillet 2015 un guide de gestion des risques sur la vie privée, pour inciter les responsables de traitement à s’engager dans ce type de projet.
Si avant mai 2018 les questions de vie privée et d’usages des données n’étaient que peu apparentes dans la profession, on ne peut que se réjouir d’une prise de conscience des bibliothécaires sur ce sujet. Cependant ils réalisent que la loi n’est pas toujours respec- tée, mais se trouvent démunis pour remédier au problème. Les bibliothécaires se sentent parfois dépourvus face aux questions juri- diques et techniques. De nombreuses biblio- thèques bénéficient d’un environnement (mairie, université) qui a des services juri- diques et informatiques conséquents, mais beaucoup de petites bibliothèques munici- pales se sentent un peu désemparées (ce sentiment a été plusieurs fois exprimé lors de l’enquête menée dans le cadre de mon mémoire 2). Par exemple, au sein des biblio- thèques, la question de l’identification d’un usager utilisant un ordinateur en libre accès, est différemment appréciée. Certains éta- blissements enregistrent nom, prénom et heure de la session (avec numéro du poste), dans le respect de la législation française, d’autres refusent tout enregistrement fai- sant valoir le principe de la hiérarchie des normes et donc les décisions de la CJUE. Cependant pour assurer cette protection, il est primordial que les bibliothécaires soient eux-mêmes formés, ou du moins conscients des questions qui peuvent se poser et des interlocuteurs experts à contacter. La technologie étant en constante évolution, 2 CHOVET, Marion. La protection de la vie privée
des lecteurs par les bibliothécaires français.
Mémoire de DCB, Villeurbanne, Enssib, 2019. https://tinyurl.com/memoire-chauvet
souvent complexe, les technologies numé- riques sont souvent non (ou mal) maîtrisées par les acteurs du monde des bibliothèques, mais aussi par leurs publics. Un outil n’est jamais neutre, il faut autant que possible connaître son fonctionnement, avoir accès à sa structure, afin de connaître les impacts politiques et sociétaux au moment du choix. Ces questions techniques et juridiques devraient donc faire partie du socle commun des connaissances des bibliothécaires, et ce afin d’en être ensuite les médiateurs auprès de leurs publics. Respecter et informer les droits des lecteurs, mais également les for- mer et ce dans une perspective d’éducation citoyenne sont des engagements très forts de la profession.
L’entrée en vigueur du RGPD a été l’occa- sion pour plusieurs établissements de for- mer en interne les agents sur les questions liées à la protection des données à caractère personnel. Plusieurs établissements ont mis à disposition de la communauté profes- sionnelle de nombreux outils en ligne pour assurer la formation continue des bibliothé- caires. Ainsi, certaines collectivités locales, comme le Département du Val d’Oise 3 ont mis à disposition des supports de présen- tation, explications et préconisations sur le RGPD à destination des bibliothécaires. Dans ce cas précis, on note une forte volonté de la tutelle de soutenir la bibliothèque. Les bibliothécaires de Gironde ont mis à disposi- tion une check-list des données personnelles en bibliothèque 4 pour vérifier la conformité de son établissement avec le RGPD. Cet outil a une portée très pratique.
S’agissant des usagers, les bibliothèques ont joué un rôle primordial dans l’information et la formation des lecteurs. De nombreuses initiatives ont émergé, sous différentes formes selon les publics. Les bibliothèques 3 VAL D’OISE. Le RGPD : petit guide
à l’usage des bibliothécaires.
https://tinyurl.com/rgpd95
4 BIBLIO.GIRONDE. Données personnelles
en bibliothèques : la check-list pour se mettre en conformité. https://tinyurl.com/checklist-gironde