Aller au contenu

Le règlement RGPD, relatif à la protection des personnes à l'égard du traitement des données


Blandine

Messages recommandés

Bonjour,

Avez-vous déjà entendu parler du règlement RGPD, relatif à la protection des personnes à l'égard du traitement des données, en cours d'élaboration au niveau européen ... ?

 

un article de la Gazette : http://www.lagazettedescommunes.com/545026/mise-en-oeuvre-du-rgpd-comment-documenter-sa-conformite/

sur le site de la cnil : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

et un autre article de la CNIL pour "bien se préparer" : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

 

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Caroline Simonpro

Bonjour,

Justement oui .... je me pose la question des implications et changementsa court et moyen terme de cette mise en conformité dans le monde des bibliothèques. Quelqu'un a t'il creusé  la question de façon très détaillée ?

Conséquence sur les sessions de prêts ???

Sur les connexions dépendantes d'un mot de passe pour nos usagers ( type ressources numériques ).....

OK on se réveille un peu tard ....  :).

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour

 

Normalement, ça ne devrait pas changer grand chose par rapport à ce qui déjà est demandé par la CNIL... pour tout traitement de données personnelles.

 

* Déclaration des finalités du traitement des données à la CNIL.

https://dwavocat.blogspot.fr/2013/05/protection-des-donnees-personnelles-qui.html

 

* Sécurisation des données.

Souvent Logiciel indépendant du web, (donc normalement pas de soucis)

Données non communicables à tiers,

Possibilités de rectification des informations (avec la note CNIL indiquée sur la fiche d'inscription pour que le public soit au courant)

Note CNIL que je je mentionne sur ma fiche d'inscription : Conformément aux articles 39 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée en 2004 relative à l’informatique, aux fichiers et aux libertés,

toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations la concernant, en s’adressant au service Bibliothèque.

 

Après, c'est à la collectivité de mettre en place la personne responsable : le délégué à la protection des données. (Sans doute quelqu'un de la DSI)

 

 

Pour : Sur les connexions dépendantes d'un mot de passe pour nos usagers ( type ressources numériques ).....

Tout dépend s'il y a une adresse email ou physique liée à cette connexion. (et qui la détient. Celui qui la détient doit la sécuriser = la rendre inaccessible à un éventuel piratage de masse)

 

Comme la consultation de certains documents peut effectivement relever de la "donnée personnelle", on peut envisager l'usage de pseudonymes, et/ou informer les usagers qu'ils devraient posséder une adresse email différente de l'email privé/personnel. C'est aussi une mesure de sécurité.

 

Le principal danger visé par cette loi est le hacking massif de données. (et en plus ces cochons de fournisseurs ne te préviennent pas quand ils ont été hackés, ou alors 12 mois plus tard, lorsque les pirates ont bien eu le temps de s'amuser à piéger les contacts ou à débiter ta carte bleue.)

 

Les questions à se poser sont donc :

- est-ce que mon fichier usagers est facilement

    - trouvable ?

    - exploitable ? (et si oui comment et de quelles manières : qui peut s'en servir et pour quoi faire ?)

- cela sera-t-il remarqué, et vite, afin de prévenir les usagers ?

 

A la dernière question, la réponse est oui.

Oui, car les bibliothécaires sont inscrits, avec leurs emails, ils seront donc très vite au courant d'une anomalie ou d'un mail suspect.

Au besoin on peut créer un ou plusieurs comptes bidons qui renvoient aux services de la bibliothèque, ou de la mairie, ou chez soi.

(Exemple : dans votre logiciel de mails perso, vous devez toujours mettre votre propre adresse email avec un nom de contact significatif, en majuscules, ou avec virus dans le nom. Comme ça, si on vous hacke vous saurez tout de suite qu'un robot stupide a récupéré la liste de vos contacts => vous pourrez réagir aussitôt et prévenir tout le monde ! C'est une des premières règles de sécurité informatique pour la gestion des emails. Mais combien la connaissent ?)

 

La gestion de la sécurité, c'est aussi prévoir ce qu'il faut faire face à l'inévitable.

Comment y pallier.

Et quels sont les risques encourus ? (par les clients/usagers)

 

Aucune différence par rapport à une consigne incendie. :homestar:

   Bernard

  

Lien vers le commentaire
Partager sur d’autres sites

Aucun changement en ce qui nous concerne. Le juriste de Livres-Hebdo fait le point très clairement là-dessus sur http://www.livreshebdo.fr/article/lentree-en-vigueur-du-nouveau-droit-des-donnees-personnelles

Il s'agit d'une mise à jour et d'un renforcement des directives sur la protection des données de l'UE, qui datait de 1995,.

En ce qui nous concerne l'article dit : Les fichiers plus anodins sont soumis à une autorisation soit législative, soit par règlement de la Commission nationale informatique et libertés (C.N.I.L.)

 

Anodins. C'est bien de nous qu'il s'agit :cry:

Lien vers le commentaire
Partager sur d’autres sites

Il y a aussi ça :

Par ailleurs, tout Européen doit « donner son consentement clair et explicite au traitement de ses données privées ». Cela signifie « donner son consentement de manière active ». Il doit par exemple cocher une case lors de la visite d'un site Internet ou effectuer une autre action ou encore faire une déclaration indiquant l'acceptation du traitement proposé des données personnelles. Le silence, des cases cochées par défaut ou l'inactivité ne constituent donc pas un consentement. À l'avenir, une personne peut également plus facilement revenir sur son consentement.

 

Sur la feuille d'inscription, de manière active, ça veut aussi dire cocher une case indiquant son consentement.

Ou alors indiquer, en même temps que la prise de connaissance du règlement intérieur, que l'on a bien pris connaissance du traitement des données personnelles.

 

Idem pour la consultation des sites si on conserve des logs de consultations. (données personnelles là aussi)

 

Est-ce que nous sommes anodins ?

Nous aussi on peut "profiler" les lecteurs si on veut.

Les choix sont toujours révélateurs d'un aspect des personnes.

 

Quand on lit ça :

Les nouvelles dispositions fixent aussi des limites au profilage, une technique utilisée pour analyser ou prédire les performances d'une personne au travail, sa situation économique, sa localisation, sa santé, ses préférences, sa fiabilité ou son comportement grâce au traitement automatique de ses données personnelles.

On se pose la question de la localisation et de l'espionnage des individus. Si je fréquente une bibliothèque de banlieue, est-ce que ça fait de moi un banlieusard ?

Et pourtant Google et mon provider (si je consulte mes mails à partir de la bibliothèque) savent où je suis.

 

D'où, sans doute l'utilité de réfléchir à d'autres moteurs de recherche, plus respectueux des données personnelles des usagers, et des bibliothécaires.

Lien vers le commentaire
Partager sur d’autres sites

Pour rebondir sur l'expression, pour moi, on n'est pas si anodins que ça parce que si on liste les prêts d'une personne, on peut vite comprendre pas mal de choses (au hasard : "comment gérer un ado difficile", "la drogue et ses dégats", "mal de dos : exercices pratiques", "comment soigner les hémorroïdes avec les plantes" (oui j'invente les titres !) ...)

 

à la première lecture, j'ai pensé qu'un énorme truc nous tombait sur la tête et puis finalement, j'ai l'impression qu'en fait, à partir du moment où il y a la mention obligatoire sur les données personnelles sur le bulletin d'inscription (peut-être en + gros avec une croix à cocher) et le fait de supprimer du SIGB les données des inscrits qui ne sont pas venus depuis + d'1 an, ça a l'air de pouvoir suffire ? (c'est peut-être un peu trop simple) ... 

Dans les faits, personnellement je supprime ceux dont l'abonnement est dépassé depuis + d'1 an et qui ne sont pas en recouvrement ... 

 

Par contre, je me rappelle que pour le logiciel qui gère les postes publics, on avait bien spécifié au prestataire qu'on voulait être conforme aux recommandations de la cnil en supprimant les données des personnes au-delà d'1 an et le prestataire avait l'air de dire qu'on était la seule médiathèque à s'en soucier ... Ce dont je doute énormément ...

 

Modifié par Blandine
Lien vers le commentaire
Partager sur d’autres sites

Bien d'accord avec toi sur ce soi-disant côté "anodin" de nos fichiers (déclarés à la CNIL bien entendu....). Par contre pour les accès publics à internet c'est plus compliqué. Une bibliothèque qui offre un accès public à internet doit être considérée comme un opérateur de communications électroniques ; elle n'est pas considérée comme un Fournisseur d'Accès à Internet (FAI). A partir de là, les contenus de messages échangés, les adresses URL des sites visités ne doivent pas être conservés.

Par contre depuis les lois anti-terroristes de 2006 et 2013, une bibliothèque est soumise à l'obligation de conservation de données. D'un autre côté ,la loi n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet dite loi Hadopi distingue les obligations des FAI et des titulaires d'un abonnement à internet. Cette loi n'oblige pas plus les bibliothèques à identifier les utilisateurs de ses postes connectés à internet ni à conserver des données nominatives.

 

A partir de là l'Enssib a compilé tous textes et informations (mise a jour 2016) sur http://www.enssib.fr/content/acces-internet-et-donnees-personnelles qui résume et met à jour les données du BBF à ce sujet http://bbf.enssib.fr/consulter/bbf-2011-03-0053-011

 

Voir aussi http://iabd.fr/2010/03/25/offrir-un-acces-a-l’internet-dans-une-bibliotheque-un-service-d’archives-ou-d’information-les-conditions-juridiques/ qui est un peu plus clair.

 

Prise de tête.....

Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...

Bonjour à tous,

De mon côté, j'ai prévu un petit doc en cas de demande des bibs de notre réseau. Il est peut-être trop fourni... Certaines petites collectivités n'ont pas de service informatique et je me demande comment l'info sera diffusée auprès des plus petits lieux de lecture du département.

2018-RGPD-Le Règlement Général sur la Protection des Données.docx

Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...

Bonjour,

 

Merci @sabiblio pour ce document, c'est difficile sur ce sujet à mon avis de faire + court !

 

Pour compléter ces informations, un article de Thomas Fourmeux :

"RGPD et bibliothèques : cartographie des traitements de données personnelles"

 

https://biblionumericus.fr/2018/03/14/rgpd-et-bibliotheques-cartographie-des-traitements-de-donnees-personnelles/

Lien vers le commentaire
Partager sur d’autres sites

  • 2 months later...

Bonjour,

Je relance ce sujet, parce que depuis quelques jours, j'imagine que vous aussi vous recevez des dizaines de mails vous expliquant comment les sociétés qui vous envoient leurs newsletters sont sensibles à la protection des données etc ...

 

finalement, qu'avez-vous fait pour être en conformité ?

 

 

Lien vers le commentaire
Partager sur d’autres sites

Le ‎26‎/‎02‎/‎2018 à 12:16, sabiblio a dit :

Bonjour à tous,

De mon côté, j'ai prévu un petit doc en cas de demande des bibs de notre réseau. Il est peut-être trop fourni... Certaines petites collectivités n'ont pas de service informatique et je me demande comment l'info sera diffusée auprès des plus petits lieux de lecture du département.

2018-RGPD-Le Règlement Général sur la Protection des Données.docx

Bonjour, merci pour ce travail fort utile ! M'autoriseriez-vous en vous citant à l'utiliser aussi pour les bibliothèques de notre réseau ?

Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...

Bonjour,

Pardon pour ce grand retard de réponse...

Bien sûr pas de problème, si vous pensez que cela peut être utile. N'hésitez pas à me dire si certaines infos deviennent erronées. Et comme le dit  @Blandine effectivement suivre la veille de Thomas Fourmeux : https://biblionumericus.fr/

Il y avait un MOOC mais c'est trop tard : https://www.fun-mooc.fr/courses/course-v1:CNAM+01032+session01/about

 

Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...

Bonjour,

 

De notre côté, nous nous posons la question de la procédure à respecter lorsqu'une bibliothèque remplit directement les informations pour l'inscription sur le SIGB, sans passer par la fiche d'inscription à remplir (perte de temps et gâchis de papier). Comment s'assurer que nous sommes en conformité avec la RGPD sur le consentement actif ? Est-ce que certains d'entre vous ont trouvé une solution ?

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Sissi a dit :

Comment s'assurer que nous sommes en conformité avec la RGPD sur le consentement actif ? Est-ce que certains d'entre vous ont trouvé une solution ?

 

Bonjour Sissi

 

Si on passe par une inscription par le Web, on peut utiliser une petite case à cocher RGPD.

 

En cas de saisie directe des informations à la banque d'accueil, on peut indiquer aux personnes l'affichette sur le RGDP et la finalité/les finalités d'usage des données.

Et, au besoin, envoyer un mail précisant ces finalités. Idem, les mentionner sur son site Internet.

Ceci, si les personnes ont des mails ou utilisent le Net.

 

Si vous remettez - malgré tout - un guide du lecteur, ces informations peuvent y figurer.

De la même manière, on peut l'affiche à côté du règlement intérieur.

 

Au bout d'un moment, l'usager ne pourra plus dire qu'il ne savait pas ou qu'il n'était pas informé. Sauf s'il est aveugle...

Oui, il faut sans doute une procédure spéciale pour les aveugles ou les mal-voyants.

 

 

Pour les campagnes d'emails, il est recommandé ce qui suit

 

#2. Activez le double opt-in

Afin d’obtenir le consentement actif d’un destinataire, le procédé du double opt-in – qui permet de s’assurer que l’individu destinataire est réellement à l’origine de la démarche d’abonnement – est recommandé : s’il souhaite effectivement s’abonner à vos communications, l’internaute devra cliquer sur un lien contenu dans un email de confirmation pour rendre effectif son enregistrement.

Cette pratique permet à l’émetteur de l’email marketing de démontrer le consentement actif du destinataire : les règles du RGPD sont ainsi respectées.

 

 

Pour le reste, il faudrait savoir ce qu'a prévu la collectivité. En théorie, le RGPD est global et non pas à décliner service par service.

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

  • 4 months later...

Bonjour,

Voici un autre article synthétique qui peut aider à être en conformité :

Données personnelles en bibliothèque par la Bibliothèque départementale de gironde :

http://biblio.gironde.fr/index.php?option=com_content&view=article&id=6228:donnees-personnelles-en-bibliotheque&catid=21:juridique&Itemid=73

 

Modifié par Blandine
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Restaurer la mise en forme

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...