Explications sur la protection des données dans les bibliothèques

Introduction
Les bibliothèques doivent traiter des données personnelles pour gérer administrativement le prêt des livres. D'autres prestations, comme la mise à disposition de postes de travail connectés à Internet, touchent également aux données personnelles. Le présent document indique les points que les bibliothèques doivent observer au regard de la législation sur la protection des données. Il porte spécialement sur les données des utilisateurs et les données personnelles provenant des postes de travail connectés à Internet. Il aborde également les particularités relatives aux réseaux des bibliothèques.

Données des utilisateurs
Les bibliothèques ne peuvent traiter les données personnelles des utilisateurs que dans la mesure où la procédure de prêt l'exige; pour toute autre utilisation, elles doivent demander leur accord. Les utilisateurs doivent donc être informés au préalable du traitement prévu et sont libres de fournir ou non des données supplémentaires. Dans ce qui suit, les mesures requises seront approfondies.

Données de base
Les données suivantes sont nécessaires pour le service du prêt et peuvent donc être prélevées d'office:

-    nom et prénom;
-    date de naissance;
-    adresse et numéro de téléphone.

D'autres indications, telles que le sexe, le lieu d'origine ou de naissance, ne sont en revanche pas nécessaires pour le service du prêt et ne sont donc pas obligatoires. Les utilisateurs doivent pouvoir percevoir clairement quelles données sont obligatoires et lesquelles ne le sont pas.

Les données doivent être effacées une fois la «relation avec le client» terminée, dans la mesure où il n'existe aucune obligation légale s'agissant de la conservation des données (par ex. au sens de l'art. 957 CO ou d'actes de droit fiscal).

Données de prêt
Les données de prêt peuvent être prélevées et traitées jusqu'à ce que la procédure de prêt soit complètement achevée. Il n'est pas nécessaire de conserver ces données ultérieurement. Elles doivent donc en règle générale être effacées dès que le document emprunté a été retourné, une fois que son état a été vérifié et que toute autre démarche administrative est achevée.

Déclaration de protection des données et droit d'accès
Les utilisateurs doivent être informés au moyen d'une déclaration de protection des données de toutes les étapes pertinentes pour le traitement des données personnelles les concernant. La déclaration doit être rédigée dans un langage compréhensible pour les utilisateurs; elle doit leur être remise avant l'enregistrement des données et répondre au moins aux questions suivantes:

-    Quelles données sont traitées?
-    D'où proviennent-elles?
-    Dans quel but sont-elles traitées?
-    Combien de temps restent-elles enregistrées?
-    Qui y a accès?
-    Des données sont-elles transmises à des tiers? Si oui, dans quels cas?
-    À qui s'adresser en cas de question?

Sur demande, les utilisateurs peuvent consulter les données les concernant.

Réglementation de l'accès
Il faut définir de manière contraignante dans un règlement quels collaborateurs ont accès à quelles catégories de données. Les collaborateurs doivent n'avoir accès qu'aux données nécessaires à l'accomplissement de leur travail. Le personnel de sécurité, par exemple, n'a en règle générale pas besoin d'avoir accès aux données des utilisateurs ni aux données de prêt.

Correction et effacement de données
Les bibliothèques doivent s'assurer par des procédures et des compétences appropriées que les utilisateurs peuvent, de manière simple et gratuite, faire corriger les données erronées et faire effacer celles qui ne sont plus nécessaires.

Réseau des bibliothèques
Dans les réseaux des bibliothèques, les données personnelles sont transmises automatiquement, sans que l'on puisse vérifier au cas par cas si une interrogation se justifie ou non. Il faut donc vérifier avec un soin particulier quelles données sont saisies dans le système. Outre les points mentionnés plus haut, il faut également tenir compte des aspects qui suivent.

Données de base
Les données de base peuvent être visibles dans le système dans la mesure où la personne concernée l'utilise effectivement. L'utilisateur qui emprunte uniquement des livres localement ne doit pas y apparaître. En outre, l'accès aux données de base ne peut être accordé qu'aux bibliothèques dans lesquelles l'utilisateur emprunte effectivement des livres.

Données de prêt
Chaque bibliothèque a uniquement accès aux données de prêt qui la concerne.

Mesures administratives
Les avertissements, les amendes ou le blocage du compte d'un utilisateur ne peuvent être visibles dans le système que lorsqu'ils sont pertinents pour d'autres bibliothèques, c'est-à-dire lorsqu'ils concernent les utilisateurs d'une bibliothèque qui affichent un comportement contre lequel cette dernière doit se protéger. Le blocage du compte d'un utilisateur en raison de dommages répétés sur des livres est par exemple pertinent pour d'autres bibliothèques et peut par conséquent être visible. Les amendes perçues en cas de retard n'ont en revanche que peu d'importance et ne sont donc pas pertinentes pour d'autres bibliothèques.

Sécurité des données
Étant donné qu'il s'agit d'un système automatisé de traitement des données, des exigences particulières doivent être remplies en termes de sécurité des données (art. 9 ss OLPD). On trouvera de plus amples informations dans le Guide relatif aux mesures techniques et organisationnelles de la protection des données.

Données personnelles provenant de postes de travail publics connectés à Internet
Les bibliothèques disposant de postes de travail publics connectés à Internet ne sont pas tenues d'enregistrer les personnes qui les utilisent. Il est cependant pertinent de le faire pour empêcher toute utilisation illégale, dans la mesure où les points qui suivent sont observés.

Données enregistrées
Afin de prévenir toute utilisation illégale des postes de travail, il est justifié de prélever et d'enregistrer les données suivantes: utilisateur, adresse IP ainsi que période et durée d'utilisation. Si d'autres données sont enregistrées (par ex. à des fins statistiques), elles doivent être rendues anonymes.

Afin d'empêcher qu'une personne ne puisse voir les données de l'utilisateur précédent, les postes de travail doivent être configurés de façon à ce que les données (historique, mémoire cache, cookies, mots de passe, etc.) soient automatiquement effacées à la fin de chaque session.

Durée de conservation
Les données enregistrées peuvent être conservées durant six mois. Si elles sont conservées plus longtemps, par exemple à des fins statistiques, elles doivent être rendues anonymes.

Exploitation des données
Le règlement doit indiquer dans quels cas et par qui les données enregistrées sont exploitées. Le nombre des personnes autorisées à les exploiter devrait être aussi réduit que possible.

Déclaration de protection des données et droit d'accès
Avant d'utiliser un poste de travail pour la première fois, les usagers de la bibliothèque doivent être informés des points suivants:

-    Quelles données sont enregistrées?
-    Dans quel but?
-    Combien de temps sont-elles conservées?
-    Qui y a accès, et dans quels cas?
-    À qui s'adresser en cas de question?

Sur demande, les utilisateurs peuvent consulter les données les concernant.

 

État: juin 2012

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/statistik--register-und-forschung/bibliotheques/explications-sur-la-protection-des-donnees-dans-les-bibliotheque.html