Question d'origine :
Bonjour, Est-ce que la loi a réellement fixé un délai pour la conservation de l'identité d'une personne qui restitue un document en bibliothèque ? Autrement dit : le Système Informatique de Gestion de Bibliothèque permet aux bibliothécaires de connaître l'identité des 2 derniers emprunteurs d'un document. Au bout d'un certain temps, le SIGB affiche : "Information protégée, délai légal dépassé" Pouvez-vous m'indiquer la durée de ce délai légal, je n'arrive pas à trouver l'info ! D'avance MERCi, vous êtes formidables (si si) Lou
Réponse du Guichet
Les informations concernant chaque prêt sont conservées jusqu’à la
Voici ce qu'indique exactement la Délibération n°1999-027 du 22/04/1999 concernant les traitements automatisés d’informations nominatives relatifs à la gestion des prêts de livres, de supports audio-visuels et d’oeuvres artistiques et à la gestion des consultations de documents d’archives publiques :
" Durée de conservation des donnees
Pendant la durée d’utilisation du service de prêt pour ce qui concerne l’identité de l’emprunteur. La radiation doit intervenir d’office dans un délai d’1 an à compter de la date de fin du prêt précédent. Jusqu’à la fin du 4ème mois suivant la restitution de l’objet du prêt pour les informations concernant chaque prêt. Au-delà de ce délai, les informations sur support magnétique sont détruites ; elles ne peuvent être conservées sur support papier que pour les besoins et la durée d’un contentieux éventuel. Jusqu’au prochain récolement (inventaire) et dans la limite d’une durée maximum de 10 ans s’agissant des consultations des documents d’archives. "
Pour plus d'informations, vous pouvez aussi vous adresser à l'ENSSIB via son service de questions/réponses.
Bonne journée et merci pour votre message d'encouragements.
Réponse du Guichet
...
Bonjour,
Notre responsable informatique a apporté des précisions à notre réponse. Nous l'en remercions ici.
Les recommandations de la CNIL ont été modifiées depuis la parution du règlement général sur la protection des données (RGPD) qui
Depuis le RGPD ce n’est plus aussi simple et beaucoup de choses sont laissées à l’appréciation du responsable du traitement.
La réponse se trouve dans l’article 5 du RGPD :
« Les données à caractère personnel doivent être :
…
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
»
On peut donc en théorie les conserver 2 ans par exemple ce qu’indique la BM de Reims ici : mais il faut pouvoir le justifier …
Évidemment la considération 39 du RGPD vient compliquer un peu les choses :
« En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. »
Bonne journée.