Aller au contenu
Blandine

Le règlement RGPD, relatif à la protection des personnes à l'égard du traitement des données

Messages recommandés

Blandine

Bonjour,

Avez-vous déjà entendu parler du règlement RGPD, relatif à la protection des personnes à l'égard du traitement des données, en cours d'élaboration au niveau européen ... ?

 

un article de la Gazette : http://www.lagazettedescommunes.com/545026/mise-en-oeuvre-du-rgpd-comment-documenter-sa-conformite/

sur le site de la cnil : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

et un autre article de la CNIL pour "bien se préparer" : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Caroline Simonpro

Bonjour,

Justement oui .... je me pose la question des implications et changementsa court et moyen terme de cette mise en conformité dans le monde des bibliothèques. Quelqu'un a t'il creusé  la question de façon très détaillée ?

Conséquence sur les sessions de prêts ???

Sur les connexions dépendantes d'un mot de passe pour nos usagers ( type ressources numériques ).....

OK on se réveille un peu tard ....  :).

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
B. Majour

Bonjour

 

Normalement, ça ne devrait pas changer grand chose par rapport à ce qui déjà est demandé par la CNIL... pour tout traitement de données personnelles.

 

* Déclaration des finalités du traitement des données à la CNIL.

https://dwavocat.blogspot.fr/2013/05/protection-des-donnees-personnelles-qui.html

 

* Sécurisation des données.

Souvent Logiciel indépendant du web, (donc normalement pas de soucis)

Données non communicables à tiers,

Possibilités de rectification des informations (avec la note CNIL indiquée sur la fiche d'inscription pour que le public soit au courant)

Note CNIL que je je mentionne sur ma fiche d'inscription : Conformément aux articles 39 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée en 2004 relative à l’informatique, aux fichiers et aux libertés,

toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations la concernant, en s’adressant au service Bibliothèque.

 

Après, c'est à la collectivité de mettre en place la personne responsable : le délégué à la protection des données. (Sans doute quelqu'un de la DSI)

 

 

Pour : Sur les connexions dépendantes d'un mot de passe pour nos usagers ( type ressources numériques ).....

Tout dépend s'il y a une adresse email ou physique liée à cette connexion. (et qui la détient. Celui qui la détient doit la sécuriser = la rendre inaccessible à un éventuel piratage de masse)

 

Comme la consultation de certains documents peut effectivement relever de la "donnée personnelle", on peut envisager l'usage de pseudonymes, et/ou informer les usagers qu'ils devraient posséder une adresse email différente de l'email privé/personnel. C'est aussi une mesure de sécurité.

 

Le principal danger visé par cette loi est le hacking massif de données. (et en plus ces cochons de fournisseurs ne te préviennent pas quand ils ont été hackés, ou alors 12 mois plus tard, lorsque les pirates ont bien eu le temps de s'amuser à piéger les contacts ou à débiter ta carte bleue.)

 

Les questions à se poser sont donc :

- est-ce que mon fichier usagers est facilement

    - trouvable ?

    - exploitable ? (et si oui comment et de quelles manières : qui peut s'en servir et pour quoi faire ?)

- cela sera-t-il remarqué, et vite, afin de prévenir les usagers ?

 

A la dernière question, la réponse est oui.

Oui, car les bibliothécaires sont inscrits, avec leurs emails, ils seront donc très vite au courant d'une anomalie ou d'un mail suspect.

Au besoin on peut créer un ou plusieurs comptes bidons qui renvoient aux services de la bibliothèque, ou de la mairie, ou chez soi.

(Exemple : dans votre logiciel de mails perso, vous devez toujours mettre votre propre adresse email avec un nom de contact significatif, en majuscules, ou avec virus dans le nom. Comme ça, si on vous hacke vous saurez tout de suite qu'un robot stupide a récupéré la liste de vos contacts => vous pourrez réagir aussitôt et prévenir tout le monde ! C'est une des premières règles de sécurité informatique pour la gestion des emails. Mais combien la connaissent ?)

 

La gestion de la sécurité, c'est aussi prévoir ce qu'il faut faire face à l'inévitable.

Comment y pallier.

Et quels sont les risques encourus ? (par les clients/usagers)

 

Aucune différence par rapport à une consigne incendie. :homestar:

   Bernard

  

Partager ce message


Lien à poster
Partager sur d’autres sites
Ferris

Aucun changement en ce qui nous concerne. Le juriste de Livres-Hebdo fait le point très clairement là-dessus sur http://www.livreshebdo.fr/article/lentree-en-vigueur-du-nouveau-droit-des-donnees-personnelles

Il s'agit d'une mise à jour et d'un renforcement des directives sur la protection des données de l'UE, qui datait de 1995,.

En ce qui nous concerne l'article dit : Les fichiers plus anodins sont soumis à une autorisation soit législative, soit par règlement de la Commission nationale informatique et libertés (C.N.I.L.)

 

Anodins. C'est bien de nous qu'il s'agit :cry:

Partager ce message


Lien à poster
Partager sur d’autres sites
B. Majour

Il y a aussi ça :

Par ailleurs, tout Européen doit « donner son consentement clair et explicite au traitement de ses données privées ». Cela signifie « donner son consentement de manière active ». Il doit par exemple cocher une case lors de la visite d'un site Internet ou effectuer une autre action ou encore faire une déclaration indiquant l'acceptation du traitement proposé des données personnelles. Le silence, des cases cochées par défaut ou l'inactivité ne constituent donc pas un consentement. À l'avenir, une personne peut également plus facilement revenir sur son consentement.

 

Sur la feuille d'inscription, de manière active, ça veut aussi dire cocher une case indiquant son consentement.

Ou alors indiquer, en même temps que la prise de connaissance du règlement intérieur, que l'on a bien pris connaissance du traitement des données personnelles.

 

Idem pour la consultation des sites si on conserve des logs de consultations. (données personnelles là aussi)

 

Est-ce que nous sommes anodins ?

Nous aussi on peut "profiler" les lecteurs si on veut.

Les choix sont toujours révélateurs d'un aspect des personnes.

 

Quand on lit ça :

Les nouvelles dispositions fixent aussi des limites au profilage, une technique utilisée pour analyser ou prédire les performances d'une personne au travail, sa situation économique, sa localisation, sa santé, ses préférences, sa fiabilité ou son comportement grâce au traitement automatique de ses données personnelles.

On se pose la question de la localisation et de l'espionnage des individus. Si je fréquente une bibliothèque de banlieue, est-ce que ça fait de moi un banlieusard ?

Et pourtant Google et mon provider (si je consulte mes mails à partir de la bibliothèque) savent où je suis.

 

D'où, sans doute l'utilité de réfléchir à d'autres moteurs de recherche, plus respectueux des données personnelles des usagers, et des bibliothécaires.

Partager ce message


Lien à poster
Partager sur d’autres sites
Blandine

Pour rebondir sur l'expression, pour moi, on n'est pas si anodins que ça parce que si on liste les prêts d'une personne, on peut vite comprendre pas mal de choses (au hasard : "comment gérer un ado difficile", "la drogue et ses dégats", "mal de dos : exercices pratiques", "comment soigner les hémorroïdes avec les plantes" (oui j'invente les titres !) ...)

 

à la première lecture, j'ai pensé qu'un énorme truc nous tombait sur la tête et puis finalement, j'ai l'impression qu'en fait, à partir du moment où il y a la mention obligatoire sur les données personnelles sur le bulletin d'inscription (peut-être en + gros avec une croix à cocher) et le fait de supprimer du SIGB les données des inscrits qui ne sont pas venus depuis + d'1 an, ça a l'air de pouvoir suffire ? (c'est peut-être un peu trop simple) ... 

Dans les faits, personnellement je supprime ceux dont l'abonnement est dépassé depuis + d'1 an et qui ne sont pas en recouvrement ... 

 

Par contre, je me rappelle que pour le logiciel qui gère les postes publics, on avait bien spécifié au prestataire qu'on voulait être conforme aux recommandations de la cnil en supprimant les données des personnes au-delà d'1 an et le prestataire avait l'air de dire qu'on était la seule médiathèque à s'en soucier ... Ce dont je doute énormément ...

 

Modifié par Blandine

Partager ce message


Lien à poster
Partager sur d’autres sites
Ferris

Bien d'accord avec toi sur ce soi-disant côté "anodin" de nos fichiers (déclarés à la CNIL bien entendu....). Par contre pour les accès publics à internet c'est plus compliqué. Une bibliothèque qui offre un accès public à internet doit être considérée comme un opérateur de communications électroniques ; elle n'est pas considérée comme un Fournisseur d'Accès à Internet (FAI). A partir de là, les contenus de messages échangés, les adresses URL des sites visités ne doivent pas être conservés.

Par contre depuis les lois anti-terroristes de 2006 et 2013, une bibliothèque est soumise à l'obligation de conservation de données. D'un autre côté ,la loi n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet dite loi Hadopi distingue les obligations des FAI et des titulaires d'un abonnement à internet. Cette loi n'oblige pas plus les bibliothèques à identifier les utilisateurs de ses postes connectés à internet ni à conserver des données nominatives.

 

A partir de là l'Enssib a compilé tous textes et informations (mise a jour 2016) sur http://www.enssib.fr/content/acces-internet-et-donnees-personnelles qui résume et met à jour les données du BBF à ce sujet http://bbf.enssib.fr/consulter/bbf-2011-03-0053-011

 

Voir aussi http://iabd.fr/2010/03/25/offrir-un-acces-a-l’internet-dans-une-bibliotheque-un-service-d’archives-ou-d’information-les-conditions-juridiques/ qui est un peu plus clair.

 

Prise de tête.....

Partager ce message


Lien à poster
Partager sur d’autres sites
sabiblio

Bonjour à tous,

De mon côté, j'ai prévu un petit doc en cas de demande des bibs de notre réseau. Il est peut-être trop fourni... Certaines petites collectivités n'ont pas de service informatique et je me demande comment l'info sera diffusée auprès des plus petits lieux de lecture du département.

2018-RGPD-Le Règlement Général sur la Protection des Données.docx

  • J'aime 1
  • Merci 2

Partager ce message


Lien à poster
Partager sur d’autres sites
Blandine

Bonjour,

 

Merci @sabiblio pour ce document, c'est difficile sur ce sujet à mon avis de faire + court !

 

Pour compléter ces informations, un article de Thomas Fourmeux :

"RGPD et bibliothèques : cartographie des traitements de données personnelles"

 

https://biblionumericus.fr/2018/03/14/rgpd-et-bibliotheques-cartographie-des-traitements-de-donnees-personnelles/

Partager ce message


Lien à poster
Partager sur d’autres sites
Blandine

Bonjour,

Je relance ce sujet, parce que depuis quelques jours, j'imagine que vous aussi vous recevez des dizaines de mails vous expliquant comment les sociétés qui vous envoient leurs newsletters sont sensibles à la protection des données etc ...

 

finalement, qu'avez-vous fait pour être en conformité ?

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
CaroleGF
Le ‎26‎/‎02‎/‎2018 à 12:16, sabiblio a dit :

Bonjour à tous,

De mon côté, j'ai prévu un petit doc en cas de demande des bibs de notre réseau. Il est peut-être trop fourni... Certaines petites collectivités n'ont pas de service informatique et je me demande comment l'info sera diffusée auprès des plus petits lieux de lecture du département.

2018-RGPD-Le Règlement Général sur la Protection des Données.docx

Bonjour, merci pour ce travail fort utile ! M'autoriseriez-vous en vous citant à l'utiliser aussi pour les bibliothèques de notre réseau ?

  • Merci 1

Partager ce message


Lien à poster
Partager sur d’autres sites
sabiblio

Bonjour,

Pardon pour ce grand retard de réponse...

Bien sûr pas de problème, si vous pensez que cela peut être utile. N'hésitez pas à me dire si certaines infos deviennent erronées. Et comme le dit  @Blandine effectivement suivre la veille de Thomas Fourmeux : https://biblionumericus.fr/

Il y avait un MOOC mais c'est trop tard : https://www.fun-mooc.fr/courses/course-v1:CNAM+01032+session01/about

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×