RGPD : une loi incontournable en bibliothèque

Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Il est entrée en application le 25 mai 2018 et toutes les bibliothèques doivent se mettre en conformité avec celui-ci.

rgpd1

Le RGPD apporte un nouveau cadre juridique à la protection des données personnelles en renforçant le droit des personnes et en instaurant de nouvelles obligations pour un grand nombre d'organismes (administrations et collectivités, entreprises et sociétés, associations...) effectuant des traitements de données. Le règlement européen a été complété par la loi française sur la protection des données personnelles publiée en juin 2018 et qui a mis à jour la loi informatique et libertés de 1978 en établissant des règles sur la collecte et l’utilisation des données sur le territoire français.

rgpd4

Le RGPD s'adresse donc à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, et ce, quel que soit son secteur d'activité et sa taille. Le règlement s’applique à tous les organismes établis sur le territoire de l’Union Européenne, mais aussi à tout organisme implanté hors de celle-ci mais dont l’activité cible directement des résidents européens. Cela concerne également les sous-traitants, c’est-à-dire toute structure qui traiterait ou collecterait des données pour le compte d’une autre entité. La responsabilité des organismes est renforcée : ils doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

 

Une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable » : l'identification directe (nom, prénom...) et l'identification indirecte (identifiant, numéro...). Les bibliothèques sont pleinement concernées dans leurs gestions quotidiennes : fichier adhérents, fichier fournisseurs, fichiers collègues, fichiers intervenants, collectes via questionnaires... Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données : collecte, enregistrement, archivage, connexion. Cela concerne également tous les supports sur lesquelles ces données sont conservées : clé USB, CD, DVD, ordinateur, téléphone, papier, matériel personnel (portable...).

rgpd3

Créée en 1978 par la loi Informatique et Libertés, la Commission nationale de l'informatique et des libertés (CNIL) de France est une autorité administrative indépendante française. Elle répond aux demandes des particuliers et des professionnels. Elle veille à ce que les citoyens accèdent efficacement aux données contenues dans les traitements les concernant. Toute personne peut s’adresser à la CNIL en cas de difficulté dans l’exercice de ses droits en lui adressant une plainte. La CNIL est l'organisme chargé de la bonne application du RGPD en France.

rgpd5

Elle préconise de se mettre en conformité en six étapes :

1 - Nommer un délégué à la protection des données (DPD).

2 - Elaborer un registre des traitements de données personnelles.

3 - Prioriser les actions à mener pour se conformer aux obligations.

4 - Faire l'analyse d'impact relative à la protection des données (AIPD).

5 - Mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment.

6 - constituer à chaque étape et regrouper la documentation nécessaire actualisée pour prouver votre conformité au règlement.

rgpd2

Il faut donc veiller à ce que votre organisme de tutelle a bien mis en place les démarches RGPD et nommé un délégué ; a constitué un registre de vos traitements de données ; a fait le tri dans vos données (ne collectez que les données vraiment nécessaires) ; s'engage à respecter le droit des personnes en matière de consultation, de rectification ou de suppression des données ; a sécurisé vos données...

La CNIL met à disposition des collectivités et des entreprises des kit pratiques pour mettre en place au mieux le RGPD.

Plus d'information, sur le RGPD et la médiathèque numérique ici.

les sanctions prévues par la CNIL en cas de non application du RGPD peuvent s'élever à 20 million d'euros, mais les sanctions pécunières ne sont pas immédiates et font généralement suite à plusieurs avertissements.

H.M.

 

 

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies. Ces cookies sont utilisés pour réaliser des statistiques de visites.