Want to create interactive content? It’s easy in Genially!

Get started free

RGPD et bibliothèques

bdvo

Created on August 25, 2021

Start designing with a free template

Discover more than 1500 professional designs like these:

Practical Timeline

Timeline video mobile

Timeline Lines Mobile

Major Religions Timeline

Timeline Flipcard

Timeline video

History Timeline

Explore all templates

Transcript

DOSSIER : le RGPD à l'usage des bibliothèques

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

ET LES BIBS ?

EN SAVOIR PLUS

OBLIGATIONS

CONTEXTE

ET LES BIBLIOTHEQUES DANS TOUT CA ?

OBJECTIFS

CONTEXTE

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

RGPD

  • C'est le texte européen de référence qui encadre et définit ce qui est attendu en matière de protection/conservation/circulation des données personnelles ;
  • Le RGPD est entré en vigueur le 25 mai 2018 ;
  • Le RGPD n'est pas un "big bang", il s'inscrit dans la continuité d'autres textes nationaux et européens relatifs à la protection des données personnelles ;
  • Le RGPD est un réglement européen et est donc directement applicable dans les Etats membres de l'UE.

OBJECTIFS

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

  • Tendre vers une uniformisation des règles de protection des données personnelles au sein de l'UE et redonner le pouvoir aux personnes sur leurs données ;
  • Passer d'une logique de déclaration ponctuelle à une logique de démonstration de sa conformité à tout moment ;
  • Traiter les données personnelles en respectant l'ensemble des principes fondamentaux de la protection des données.

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Avec le RGPD, plusieurs obligations ont été : maintenues, renforcées ou créées

Mesures adaptées au traitement à prendre par le Responsable de traitement

Tenir un registre des traitements de données

Respecter les droits des personnes sur leurs données

Désigner un délégué à la protection des données

Assurer la sécurité des données et notifier les violations.

Encadrer la sous-traitance du traitement des données

En France, l'autorité de contrôle est la CNIL. Les risques encourus par une entité en cas de non respect de la réglementation sont :- Pécuniaires : amende administrative (20 millions d'euros / 4% du CA) et réparation du dommage subi par la personne concernée ; - Pénaux : 5 ans d'emprisonnement - 300000 euros d'amende ; - Risque d'image : la publication de la sanction peut créer de la défiance auprès des usagers ; - Contractuels : un manquement peut entraîner pénalités et/ou une rupture du contrat.

ET LES BIBS ?

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Petit guide à l'usage des bibliothèques

ETAPE 2 : Mesures Pratiques

ETAPE 3 : Stratégie de sécurisation

ETAPE 1 : Etat des lieux

Les bibliothèques publiques, pour des raisons de gestion ou de pilotage, collectent un certain nombre de données personnelles et sont donc concernées par le RGPD.Nous avons tenté de recenser et structurer en plusieurs étapes les tâches que les bibliothécaires vont devoir accomplir afin de s’assurer de la conformité de leurs pratiques en matière de récolte/gestion/protection des données personnelles.

EN SAVOIR PLUS

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Ce dossier a été réalisé, pour une très large part, à l’aide des sources suivantes :

https://www.cnil.fr/fr/comprendre-le-rgpd

le RGPD expliqué ligne par ligne

l'article du blog de Thomas Fourmeux : Biblio Numericus

la Déléguée à la Protection des Données du CDVO

CONTEXTE

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Données ?

  • Sont considérées comme des données personnelles : toute information se rapportant à une personne physique identifiée ou indentifiable (nom, prénom, âge, localisation, identifiant en ligne...) ;
  • Les données "sensibles" sont celles qui révèlent : l'origine ethnique, les opinions politiques, religieuses, l'appartenance syndicale, la santé, l'orientation sexuelle, les données génétiques (...). Leur traitement est interdit sauf exception prévue par la réglementation ;
  • Sont considérées comme des données anonymes : les données ne permettant plus, de manière irréversible, l'identification des personnes concernées.

CONTEXTE

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Directive européenne du 24 octobre 1995

Loi informatique et liberté de 1978

Directive européenne du 6 août 2004

RGPD 2018

OBJECTIFS

objectif n°1

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Vers une uniformisation des règles

L’axe majeur et incontournable du texte est de protéger les données personnelles des individus. Pourquoi un règlement et non une directive ? Parce que le règlement est juridiquement d’application directe et ne nécessite pas de loi de transposition (autant d’adaptations potentielles dans chaque Etat membre). Le but est donc d’uniformiser et non de simplement harmoniser.

objectif n°2

OBJECTIFS

objectif n°2

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

D'une logique de déclaration à une logique de démonstration.

L’approche se veut également plus pragmatique et substitue à l’ancienne logique déclarative la notion de responsabilisation des acteurs traitant des données. La preuve s'effectue notamment par une documentation écrite qui liste les actions mises en œuvre et démontre la protection continue des données : - Registre des activités de traitement ; - Clauses de protection des données ; - Procédures internes pour le respect de la protection des données ; - Certifications...

objectif n°3

OBJECTIFS

objectif n°3

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Traiter les données personnelles en respectant l'ensemble des principes fondamentaux de la protection des données.

Le responsable du traitement doit respecter les principes fondamentaux suivants pour la mise en oeuvre de ses traitements : - Présence de finalités explicites, déterminées, légitimes ; - Minimisation des données à caractère personnel ; - Exactitude des données ; - Limitation de conservation des données ; - Existence d'une base légale parmi la liste des bases légales possibles ; - Sécurité et confidentialité des données.

protection des données personnelles

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Mesures adaptées au traitement à prendre par le responsable du traitement

  • Le responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal ;
  • Ce responsable doit prendre et appliquer les mesures nécessaires afin de démontrer que le(s) traitement(s) dont il a la responsabilité sont effectués en conformité avec le RGPD.

En savoir plus (?)

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

ET LES BIBS ?

Désigner un délégué à la protection des données

  • L’article 37 précise que le responsable du traitement doit désigner un « Data Protection Officer » (DPO) ou « Délégué à la Protection des Données » (DPD) ;
  • Ce référent autonome sera le chef d’orchestre de la protection des données personnelles au sein d’une organisation et de la conformité avec le droit européen ;
  • Tout organisme public a l’obligation d’avoir un DPO ou DPD.

En savoir plus

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Tenir un registre des activités de traitement

Le registre des activités de traitement permet de recenser les traitements de données et de disposer d’une vue d’ensemble des caractéristiques de chaque traitement, par exemple :- Identité du responsable de traitement ; - Finalité du traitement ; - Données traitées ; - Base légale ; - Destinataires des données ; - Durées de conservation ; - Mesures de sécurité (...)

En savoir plus

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Encadrer la sous-traitance des traitements de données personnelles

Le sous-traitant est la personne physique, morale, l’autorité publique, le service ou l’organisme qui traite, sur instruction pour le compte du responsable de traitement des données personnelles. Les sous-traitants (fournisseurs de SIGB/CMS, prestataires, plateformes de ressources numériques…) sont également soumis au RGPD et co-responsables avec le responsable du traitement. Le responsable de traitement doit veiller en le choisissant à ce qu'il présente les garanties nécessaires pour lui permettre d'assurer la protection des données. Un contrat doit nécessairement régir le traitement effectué par un sous-traitant et des clauses concernant la protection des données doivent y être intégrées.

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Respecter le droit des personnes

Information des personnes sur le traitement de données opéré Lorsque la base légale du traitement est le consentement de la personne : celui-ci doit être libre, spécifique, éclairé et univoque. Le consentement appartient à l’utilisateur, il doit pouvoir le retirer simplement et à tout moment. Répondre dans un délai d’un mois (après la réception de la demande) aux personnes qui souhaitent faire valoir leurs droits sur leurs données (accès, modification, opposition…). Un délai de 2 mois supplémentaires est possible si l’on prouve que la demande est complexe. Respecter les nouveaux droits des personnes concernées : droit à l’effacement, droit à la limitation du traitement, droit de ne pas faire l’objet d’une décision automatisée, droit à la portabilité des données (un individu peut récupérer les données qu’il a fournies).

En savoir plus

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

Assurer la sécurité des données et notifier les violations

Des mesures de sécurité techniques et organisationnelles appropriées doivent être adoptées « compte tenu des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] pour les droits et libertés des personnes physiques ». Il s'agit de mesures assurant la sécurité physique et informatique des données. ATTENTION : - Les violations de données (perte de confidentialité, d'intégrité ou disparition des données) devront être notifiées à l’autorité de contrôle dans les 72h ; - Une communication auprès des personnes concernées devra également être effectuée dans les meilleurs délais.

En savoir plus

ET LES BIBS ?

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

ETAPE 1

Vérifier (en interne et auprès des fournisseurs / prestataires SIGB, site internet) que l'ancienne norme simplifiée n°9 de la CNIL était bien respectée

Préciser les finalités de ces divers traitements de données, les durées de conservation et les lieux de stockage

Recenser et détailler les différents traitements de données mis en œuvre par la bibliothèque : - notices adhérents ; - connexion WIFI ; - gestion des tablettes ; - gestion des PC et ou EPN ; - connexion site et plateformes de ressources numériques ; - inscription à des animations, cours/événements (formulaire informatique ou papier)...

Lister les différents opérateurs impliqués dans ces traitements de données : outre le service informatique de la collectivité, plusieurs autres acteurs interviennent (fournisseurs : SIGB, portail, ressources en ligne, logiciel de gestion des EPN…). Cette liste permettra au DPD d’établir un registre des sous-traitants précis et à jour.

identifier le DPD (ou DPO) au sein de sa collectivité

ETAPE 2

ET LES BIBS ?

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

ETAPE 2

Une fois l’étape 1 effectuée, vous avez déjà une bonne matière à apporter au DPD. Vous pourrez alors réfléchir ensemble aux mesures techniques et organisationnelles à prendre pour protéger les données personnelles et la vie privée des individus. Des mesures pratiques peuvent rapidement être mises en place sur le site de la bibliothèque.

Toiletter vos mentions d'information afin de garantir les droits des personnes et de respecter l'obligation d'information (finalité, nature des données collectées, durée de conservation... voir la partie "obligations").

Proposer un formulaire de contact à destination des utilisateurs qui souhaitent faire valoir leurs droits sur leurs données personnelles.

Demander le consentement des personnes pour les traitements qui le nécessitent et leur donner la possibilité, simple et pratique, de retirer cet accord.

ETAPE 3

ET LES BIBS ?

CONTEXTE

OBJECTIFS

OBLIGATIONS

EN SAVOIRPLUS

HOME

ET LES BIBS ?

ETAPE 3

Mise en place de mesures de sécurité adaptées au service et avec l’aide des divers opérateurs ou personnes ressources (Délégué à la Protection des Données, DSI, RH, fournisseurs…)

Mettre en place les mesures de sécurité préconisées par la CNIL.

Vérifier que les clauses des contrats avec les prestataires sont complètes et à jour (confidentialité, sécurisation, conseil).

Travailler avec la DSI et/ou les prestataires pour effectuer une analyse du ou des système(s) d’information et des fichiers qui y sont stockés.

Participer à la réalisation du registre des activités de traitement en vérifiant que le recensement et la description des traitements de données effectués par la médiathèque sont exhaustifs et justes.

Organiser si nécessaire une étude d’impact sur les données à risque ou « sensibles » .