En tant que bibliothécaire, puis-je constituer un fichier nominatif de mes usagers ?
Question d'origine :
Bonjour,
En tant que bibliothécaire, puis-je, sous-forme de fichier informatique, dresser une liste de personnes ayant participé à une animation régulière soumise à une inscription préalable ? L'objectif est d'éviter de faire déplacer un lecteur ayant déjà participé au thème car ce dernier est dévoilé le jour J. Et s'il est interdit de le faire, puis-je remplacer les noms de lecteurs de la liste par leur n° de carte lecteur ?
Merci d'avance. Cordialement.
Réponse du Guichet
Nous n'avons trouvé nulle part d'éléments nous permettant de répondre de façon claire et sans réplique à votre question. Il nous semble que la tenue d'un tel fichier n'est pas impossible, sous réserve d'en avertir les usagers et d'assurer la confidentialité dudit fichier... mais nous vous invitions à contacter l'Enssib et le DPD de votre collectivité pour un complément de réponse.
Bonjour,
Il est difficile de donner une réponse claire et univoque à votre question. Celle-ci touche en effet aux notions de données personnelles et d'intérêt légitime. Deux notions à manipuler avec précaution.
Pour commencer, citons un article d'Archimag, Bibliothèques et centres de documentation : comment adapter vos pratiques au RGPD ?,qui fait le point sur le traitement des données personnelles. Selon cet article,
Il est évident qu’un fichier nominatif d’usagers, voire d’emprunteurs, dans lequel sont consignés les emprunts, mais aussi les services et documents fournis, constitue un « traitement de données à caractère personnel » au sens de l’article 4 du RGPD, tout comme de l’article 2 de la loi de 1978, toujours en vigueur et mise en conformité avec le Règlement le 20 juin dernier.
[...]
À ce jour les mêmes règles s’appliquent toujours, à ceci près qu’elles concernent autant le traitement numérique que le papier : la loi de 1978 comportait une partie de règles concernant tout type de traitement, automatisé ou pas, alors que c’est tout le RGPD qui s’applique à tout type de support.
Toute donnée personnelle doit être sécurisée - conservée dans un meuble fermé s'il s'agit d'un document papier, sous format sécurisé s'il s'agit de numérique - accessible uniquement au personnel autorisé. Et tous les renseignements suivants peuvent être donnés à l'usager avant la collecte :
• responsable du traitement (le chef d’entreprise) ;
• finalités poursuivies (emprunts, recherches, diffusion sélective d’information…) ;
• coordonnées du DPD (délégué à la protection des données) s’il existe ;
• personnes habilitées à accéder aux données ;
• durée de conservation des données ;
• droits d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité des données ;
• droit de retirer son consentement à tout moment ;
• droit de saisir la Cnil en cas de litige.
Par ailleurs, l’article 9 du RGPD "interdit, sauf accord écrit des intéressés, de collecter des données sur la personne concernée qui font apparaître, directement ou indirectement :
• L’origine raciale ou ethnique ;
• Les opinions politiques philosophiques ou religieuses ;
• L’appartenance syndicale ;
• Les données génétiques ou biométriques ;
• la santé, la vie ou l’orientation sexuelle."
Nous le précisons car la participation à une animation thématique, si elle touche par exemple à la sexualité, peut constituer une donnée sensible. Le consentement écrit - par le biais d'un formulaire signé - sera donc nécessaire dans de nombreux cas, de même que le consentement à l'envoi de courriels. Ainsi, une réponse de l'Enssib indique que
Nous pouvons toutefois vous signaler une discussion du forum Agorabib sur les newsletter, dans laquelle il est notamment rappelé que "nous ne sommes pas autorisés à utiliser les mails donnés lors de l'inscription des lecteurs pour faire du mailing sur les actualités, animations, etc. Le mail inscrit dans le compte lecteur est censé être utilisé uniquement pour les infos liées aux activités du compte, c'est à dire les réservations, lettres de relance, etc. Pour toutes les autres infos liées à la vie de la bibliothèque, c'est normalement à l'usager de s'inscrire à la liste de diffusion, par un formulaire en ligne par exemple."
Une page de la CNIL nous éclaire toutefois sur la notion d'intérêt légitime à conserver et utiliser des données. Celui-ci doit répondre à trois critères principaux :
l’intérêt poursuivi par l’organisme doit être « légitime »
l’intérêt légitime ne peut être retenu que si le traitement satisfait à la condition de « nécessité »
le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables
Il n'est pas lieu de douter de la légitimité de votre intérêt à mener vos animations, et ce but a peu de chances de contrevenir aux "attentes raisonnables" de vos lecteurs à le faire. Peut-on considérer qu'un tel traitement satisfasse à une condition de nécessité ? C'est là une question épineuse qui dépasse nos compétences.
Un slide de la Médiathèque du Tarn-et-Garonne conseille de limiter la conservation des "données collectées pour l’organisation d’un événement" à "dès la fin de l’événement". Il nous semble qu'il s'agit là d'une application des directives de la CNIL sur la durée de conservation des données. Celle-ci définit la vie de l'archive en trois phases. La première, "conservation en base active", est "la durée nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte/enregistrement des données". Doit-on considérer la "réalisation de l'objectif" comme l'organisation d'une animation ? Ou d'un cycle d'animation, justifiant du même coup la conservation de la trace des inscrits ? Ou, puisque dans nos métiers la réalisation de l’objectif n'a pas vraiment de fin, cette durée peut-elle s'allonger indéfiniment ? Il est délicat pour nous d'en juger, n'étant pas juristes.
Nous vous invitons donc à vous adresser à plus qualifié que nous.
Depuis 2018, comme nous le rappelle la CNIL, "le RGPD impose à toutes les structures publiques de désigner un délégué". Celui-ci, appelé Délégué à la protection des données (DPD) ou Data Protection officer (DPO), sera à même de vous aiguiller dans ces questions.
Pour les questions de bibliothéconomie, nous vous invitons à contacter ce service Questions ? Réponses ! de l'Enssib qui vous répondra mieux que nous.
N'hésitez pas également à consulter le mémoire d'études de Marion Chovet, La protection de la vie privée des lecteurs par les bibliothécaires français, disponible sur le site de l'Enssib.
Bonne journée.