Want to make creations as awesome as this one?

More creations to inspire you

STEVE JOBS

Horizontal infographics

FIRE FIGHTER

Horizontal infographics

ONE MINUTE ON THE INTERNET

Horizontal infographics

SITTING BULL

Horizontal infographics

BEYONCÉ

Horizontal infographics

ALEX MORGAN

Horizontal infographics

Transcript

EN SAVOIR PLUS

ET LES BIBLIOTHEQUES DANS TOUT CA ?

OBLIGATIONS

OBJECTIFS

CONTEXTE

DOSSIER : le RGPD à l'usage des bibliothèques

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

CONTEXTE

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

RGPD

  • C'est le texte européen de référence qui encadre et définit ce qui est attendu en matière de protection/conservation/circulation des données personnelles ;

HOME

?


  • Le RGPD est entré en vigueur le 25 mai 2018 ;


  • Le RGPD n'est pas un "big bang", il s'inscrit dans la continuité d'autres textes nationaux et européens relatifs à la protection des données personnelles ;

  • Le RGPD est un réglement européen et est donc directement applicable dans les Etats membres de l'UE.

OBJECTIFS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

  • Tendre vers une uniformisation des règles de protection des données personnelles au sein de l'UE et redonner le pouvoir aux personnes sur leurs données ;

HOME

  • Passer d'une logique de déclaration ponctuelle à une logique de démonstration de sa conformité à tout moment ;



  • Traiter les données personnelles en respectant l'ensemble des principes fondamentaux de la protection des données.

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Avec le RGPD, plusieurs obligations ont été :
maintenues, renforcées ou créées

En France, l'autorité de contrôle est la CNIL.


Les risques encourus par une entité en cas de non respect de la réglementation sont :
- Pécuniaires : amende administrative (20 millions d'euros / 4% du CA) et réparation du dommage subi par la personne concernée ;
- Pénaux : 5 ans d'emprisonnement - 300000 euros d'amende ;
- Risque d'image : la publication de la sanction peut créer de la défiance auprès des usagers ;
- Contractuels : un manquement peut entraîner pénalités et/ou une rupture du contrat.


Mesures adaptées au traitement à prendre par
le Responsable de traitement

Désigner
un délégué à
la protection des
données

Tenir un registre des
traitements de données

Encadrer la sous-traitance du traitement des données

Respecter
les droits
des personnes
sur leurs données

Assurer la sécurité des données et notifier les
violations.

HOME

ET LES BIBS ?

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Petit guide à l'usage des bibliothèques

Les bibliothèques publiques, pour des raisons de gestion ou de pilotage, collectent un certain nombre de données personnelles et sont donc concernées par le RGPD.


Nous avons tenté de recenser et structurer en plusieurs étapes les tâches que les bibliothécaires vont devoir accomplir afin de s’assurer de la conformité de leurs pratiques en matière de récolte/gestion/protection des données personnelles.

D

ETAPE 1 :
Etat
des lieux

ETAPE 2 :
Mesures Pratiques

ETAPE 3 :
Stratégie de sécurisation

HOME

EN SAVOIR PLUS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Ce dossier a été réalisé, pour une très large part, à l’aide des sources suivantes :


HOME

https://www.cnil.fr/fr/comprendre-le-rgpd


le RGPD expliqué ligne par ligne


l'article du blog de Thomas Fourmeux : Biblio Numericus


la Déléguée à la Protection des Données du CDVO


CONTEXTE

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

  • Sont considérées comme des données personnelles : toute information se rapportant à une personne physique identifiée ou indentifiable (nom, prénom, âge, localisation, identifiant en ligne...) ;

  • Les données "sensibles" sont celles qui révèlent : l'origine ethnique, les opinions politiques, religieuses, l'appartenance syndicale, la santé, l'orientation sexuelle, les données génétiques (...). Leur traitement est interdit sauf exception prévue par la réglementation ;

  • Sont considérées comme des données anonymes : les données ne permettant plus, de manière irréversible, l'identification des personnes concernées.


HOME

Données ?

CONTEXTE

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Loi informatique et

liberté de 1978


HOME



Directive européenne du 24 octobre 1995




Directive européenne du 6 août 2004





RGPD 2018


OBJECTIFS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Vers une uniformisation des règles





objectif n°1

L’axe majeur et incontournable du texte est de protéger les données personnelles des individus.


Pourquoi un règlement et non une directive ? Parce que le règlement est juridiquement d’application directe et ne nécessite pas de loi de transposition (autant d’adaptations potentielles dans chaque Etat membre). Le but est donc d’uniformiser et non de simplement harmoniser.

objectif n°2

HOME

OBJECTIFS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

D'une logique de déclaration à une logique de démonstration.





objectif n°2

L’approche se veut également plus pragmatique et substitue à l’ancienne logique déclarative la notion de responsabilisation des acteurs traitant des données.

La preuve s'effectue notamment par une documentation écrite qui liste les actions mises en œuvre et démontre la protection continue des données :
- Registre des activités de traitement ;
- Clauses de protection des données ;
- Procédures internes pour le respect de la protection des données ;
- Certifications...



objectif n°3

HOME

OBJECTIFS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Traiter les données personnelles en respectant l'ensemble des principes fondamentaux de la protection des données.





objectif n°3

Le responsable du traitement doit respecter les principes fondamentaux suivants pour la mise en oeuvre de ses traitements :

- Présence de finalités explicites, déterminées, légitimes ;
- Minimisation des données à caractère personnel ;
- Exactitude des données ;
- Limitation de conservation des données ;
- Existence d'une base légale parmi la liste des bases légales possibles ;
- Sécurité et confidentialité des données.




protection des données personnelles

HOME

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Mesures adaptées au traitement à prendre par le responsable du traitement

  • Le responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal ;

  • Ce responsable doit prendre et appliquer les mesures nécessaires afin de démontrer que le(s) traitement(s) dont il a la responsabilité sont effectués en conformité avec le RGPD.



En savoir plus (?)

HOME

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Désigner un délégué à la protection des données

  • L’article 37 précise que le responsable du traitement doit désigner un « Data Protection Officer » (DPO) ou « Délégué à la Protection des Données » (DPD) ;

  • Ce référent autonome sera le chef d’orchestre de la protection des données personnelles au sein d’une organisation et de la conformité avec le droit européen ;

  • Tout organisme public a l’obligation d’avoir un DPO ou DPD.

En savoir plus

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Tenir un registre des activités de traitement

Le registre des activités de traitement permet de recenser les traitements de données et de disposer d’une vue d’ensemble des caractéristiques de chaque traitement, par exemple :

- Identité du responsable de traitement ;
- Finalité du traitement ;
- Données traitées ;
- Base légale ;
- Destinataires des données ;
- Durées de conservation ;
- Mesures de sécurité (...)

En savoir plus

HOME

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Encadrer la sous-traitance des traitements de données personnelles

Le sous-traitant est la personne physique, morale, l’autorité publique, le service ou l’organisme qui traite, sur instruction pour le compte du responsable de traitement des données personnelles.

Les sous-traitants (fournisseurs de SIGB/CMS, prestataires, plateformes de ressources numériques…) sont également soumis au RGPD et co-responsables avec le responsable du traitement.

Le responsable de traitement doit veiller en le choisissant à ce qu'il présente les garanties nécessaires pour lui permettre d'assurer la protection des données.

Un contrat doit nécessairement régir le traitement effectué par un sous-traitant et des clauses concernant la protection des données doivent y être intégrées.

HOME

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Respecter le droit des personnes

Information des personnes sur le traitement de données opéré

Lorsque la base légale du traitement est le consentement de la personne : celui-ci doit être libre, spécifique, éclairé et univoque.
Le consentement appartient à l’utilisateur, il doit pouvoir le retirer simplement et à tout moment.

Répondre dans un délai d’un mois (après la réception de la demande) aux personnes qui souhaitent faire valoir leurs droits sur leurs données (accès, modification, opposition…). Un délai de 2 mois supplémentaires est possible si l’on prouve que la demande est complexe.

Respecter les nouveaux droits des personnes concernées : droit à l’effacement, droit à la limitation du traitement, droit de ne pas faire l’objet d’une décision automatisée, droit à la portabilité des données (un individu peut récupérer les données qu’il a fournies).

HOME

En savoir plus

OBLIGATIONS

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

Assurer la sécurité des données et notifier les violations

Des mesures de sécurité techniques et organisationnelles appropriées doivent être adoptées « compte tenu des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] pour les droits et libertés des personnes physiques ».

Il s'agit de mesures assurant la sécurité physique et informatique des données.


ATTENTION :
- Les violations de données (perte de confidentialité, d'intégrité ou disparition des données) devront être notifiées à l’autorité de contrôle dans les 72h ;
- Une communication auprès des personnes concernées devra également être effectuée dans les meilleurs délais.

HOME

En savoir plus

ET LES BIBS ?

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

ETAPE 1

identifier le DPD (ou DPO) au sein de sa collectivité

Vérifier (en interne et auprès des fournisseurs / prestataires SIGB, site internet) que l'ancienne norme simplifiée n°9 de la CNIL était bien respectée

Recenser et détailler les différents traitements de données mis en œuvre par la bibliothèque :

- notices adhérents ;
- connexion WIFI ;
- gestion des tablettes ;
- gestion des PC et ou EPN ;
- connexion site et plateformes de ressources numériques ;
- inscription à des animations, cours/événements (formulaire informatique ou papier)...

Lister les différents opérateurs impliqués dans ces traitements de données :

outre le service informatique de la collectivité, plusieurs autres acteurs interviennent (fournisseurs : SIGB, portail, ressources en ligne, logiciel de gestion des EPN…). Cette liste permettra au DPD d’établir un registre des sous-traitants précis et à jour.

Préciser les finalités de ces divers traitements de données, les durées de conservation et les lieux de stockage

ETAPE 2

HOME

ET LES BIBS ?

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

ETAPE 2

Toiletter vos mentions d'information afin de garantir les droits des personnes et de respecter l'obligation d'information (finalité, nature des données collectées, durée de conservation... voir la partie "obligations").

Proposer un formulaire de contact à destination des utilisateurs qui souhaitent faire valoir leurs droits sur leurs données personnelles.

Demander le consentement des personnes pour les traitements qui le nécessitent et leur donner la possibilité, simple et pratique, de retirer cet accord.

Une fois l’étape 1 effectuée, vous avez déjà une bonne matière à apporter au DPD. Vous pourrez alors réfléchir ensemble aux mesures techniques et organisationnelles à prendre pour protéger les données personnelles et la vie privée des individus. Des mesures pratiques peuvent rapidement être mises en place sur le site de la bibliothèque.

ETAPE 3

HOME

ET LES BIBS ?

CONTEXTE

OBJECTIFS

OBLIGATIONS

ET LES BIBS ?

EN SAVOIR

PLUS

ETAPE 3

Vérifier que les clauses des contrats avec les prestataires sont complètes et à jour (confidentialité, sécurisation, conseil).

Travailler avec la DSI et/ou les prestataires pour effectuer une analyse du ou des système(s) d’information et des fichiers qui y sont stockés.

Participer à la réalisation du registre des activités de traitement en vérifiant que le recensement et la description des traitements de données effectués par la médiathèque sont exhaustifs et justes.

Mise en place de mesures de sécurité adaptées au service et avec l’aide des divers opérateurs ou personnes ressources (Délégué à la Protection des Données, DSI, RH, fournisseurs…)

Mettre en place les mesures de sécurité préconisées par la CNIL.

Organiser si nécessaire une étude d’impact sur les données à risque ou « sensibles » .

HOME