RGPD et bibliothèques
bdvo
Created on August 25, 2021
More creations to inspire you
TEN WAYS TO SAVE WATER
Horizontal infographics
NORMANDY 1944
Horizontal infographics
LIZZO
Horizontal infographics
BEYONCÉ
Horizontal infographics
DEMOCRATIC CANDIDATES NOV DEBATE
Horizontal infographics
ONE MINUTE ON THE INTERNET
Horizontal infographics
SITTING BULL
Horizontal infographics
Transcript
EN SAVOIR PLUS
ET LES BIBLIOTHEQUES DANS TOUT CA ?
OBLIGATIONS
OBJECTIFS
CONTEXTE
DOSSIER : le RGPD à l'usage des bibliothèques
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
CONTEXTE
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
RGPD
- C'est le texte européen de référence qui encadre et définit ce qui est attendu en matière de protection/conservation/circulation des données personnelles ;
HOME
?
- Le RGPD est entré en vigueur le 25 mai 2018 ;
- Le RGPD n'est pas un "big bang", il s'inscrit dans la continuité d'autres textes nationaux et européens relatifs à la protection des données personnelles ;
- Le RGPD est un réglement européen et est donc directement applicable dans les Etats membres de l'UE.
OBJECTIFS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
- Tendre vers une uniformisation des règles de protection des données personnelles au sein de l'UE et redonner le pouvoir aux personnes sur leurs données ;
HOME
- Passer d'une logique de déclaration ponctuelle à une logique de démonstration de sa conformité à tout moment ;
- Traiter les données personnelles en respectant l'ensemble des principes fondamentaux de la protection des données.
OBLIGATIONS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Avec le RGPD, plusieurs obligations ont été : maintenues, renforcées ou créées
En France, l'autorité de contrôle est la CNIL. Les risques encourus par une entité en cas de non respect de la réglementation sont :- Pécuniaires : amende administrative (20 millions d'euros / 4% du CA) et réparation du dommage subi par la personne concernée ;- Pénaux : 5 ans d'emprisonnement - 300000 euros d'amende ;- Risque d'image : la publication de la sanction peut créer de la défiance auprès des usagers ;- Contractuels : un manquement peut entraîner pénalités et/ou une rupture du contrat.
Mesures adaptées au traitement à prendre par le Responsable de traitement
Désigner un délégué àla protection desdonnées
Tenir un registre destraitements de données
Encadrer la sous-traitance du traitement des données
Respecter les droits des personnessur leurs données
Assurer la sécurité des données et notifier les violations.
HOME
ET LES BIBS ?
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Petit guide à l'usage des bibliothèques
Les bibliothèques publiques, pour des raisons de gestion ou de pilotage, collectent un certain nombre de données personnelles et sont donc concernées par le RGPD.Nous avons tenté de recenser et structurer en plusieurs étapes les tâches que les bibliothécaires vont devoir accomplir afin de s’assurer de la conformité de leurs pratiques en matière de récolte/gestion/protection des données personnelles.
D
ETAPE 1 :Etat des lieux
ETAPE 2 :Mesures Pratiques
ETAPE 3 :Stratégie de sécurisation
HOME
EN SAVOIR PLUS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Ce dossier a été réalisé, pour une très large part, à l’aide des sources suivantes :
HOME
https://www.cnil.fr/fr/comprendre-le-rgpd
le RGPD expliqué ligne par ligne
l'article du blog de Thomas Fourmeux : Biblio Numericus
la Déléguée à la Protection des Données du CDVO
CONTEXTE
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
- Sont considérées comme des données personnelles : toute information se rapportant à une personne physique identifiée ou indentifiable (nom, prénom, âge, localisation, identifiant en ligne...) ;
- Les données "sensibles" sont celles qui révèlent : l'origine ethnique, les opinions politiques, religieuses, l'appartenance syndicale, la santé, l'orientation sexuelle, les données génétiques (...). Leur traitement est interdit sauf exception prévue par la réglementation ;
- Sont considérées comme des données anonymes : les données ne permettant plus, de manière irréversible, l'identification des personnes concernées.
HOME
Données ?
CONTEXTE
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Loi informatique et liberté de 1978
HOME
Directive européenne du 24 octobre 1995
Directive européenne du 6 août 2004
RGPD 2018
OBJECTIFS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Vers une uniformisation des règles
objectif n°1
L’axe majeur et incontournable du texte est de protéger les données personnelles des individus.Pourquoi un règlement et non une directive ? Parce que le règlement est juridiquement d’application directe et ne nécessite pas de loi de transposition (autant d’adaptations potentielles dans chaque Etat membre). Le but est donc d’uniformiser et non de simplement harmoniser.
objectif n°2
HOME
OBJECTIFS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
D'une logique de déclaration à une logique de démonstration.
objectif n°2
L’approche se veut également plus pragmatique et substitue à l’ancienne logique déclarative la notion de responsabilisation des acteurs traitant des données.La preuve s'effectue notamment par une documentation écrite qui liste les actions mises en œuvre et démontre la protection continue des données :- Registre des activités de traitement ;- Clauses de protection des données ;- Procédures internes pour le respect de la protection des données ;- Certifications...
objectif n°3
HOME
OBJECTIFS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Traiter les données personnelles en respectant l'ensemble des principes fondamentaux de la protection des données.
objectif n°3
Le responsable du traitement doit respecter les principes fondamentaux suivants pour la mise en oeuvre de ses traitements : - Présence de finalités explicites, déterminées, légitimes ;- Minimisation des données à caractère personnel ;- Exactitude des données ;- Limitation de conservation des données ;- Existence d'une base légale parmi la liste des bases légales possibles ;- Sécurité et confidentialité des données.
protection des données personnelles
HOME
OBLIGATIONS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Mesures adaptées au traitement à prendre par le responsable du traitement
- Le responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal ;
- Ce responsable doit prendre et appliquer les mesures nécessaires afin de démontrer que le(s) traitement(s) dont il a la responsabilité sont effectués en conformité avec le RGPD.
En savoir plus (?)
HOME
OBLIGATIONS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Désigner un délégué à la protection des données
- L’article 37 précise que le responsable du traitement doit désigner un « Data Protection Officer » (DPO) ou « Délégué à la Protection des Données » (DPD) ;
- Ce référent autonome sera le chef d’orchestre de la protection des données personnelles au sein d’une organisation et de la conformité avec le droit européen ;
- Tout organisme public a l’obligation d’avoir un DPO ou DPD.
En savoir plus
OBLIGATIONS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Tenir un registre des activités de traitement
Le registre des activités de traitement permet de recenser les traitements de données et de disposer d’une vue d’ensemble des caractéristiques de chaque traitement, par exemple :- Identité du responsable de traitement ;- Finalité du traitement ;- Données traitées ;- Base légale ;- Destinataires des données ;- Durées de conservation ;- Mesures de sécurité (...)
En savoir plus
HOME
OBLIGATIONS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Encadrer la sous-traitance des traitements de données personnelles
Le sous-traitant est la personne physique, morale, l’autorité publique, le service ou l’organisme qui traite, sur instruction pour le compte du responsable de traitement des données personnelles.Les sous-traitants (fournisseurs de SIGB/CMS, prestataires, plateformes de ressources numériques…) sont également soumis au RGPD et co-responsables avec le responsable du traitement. Le responsable de traitement doit veiller en le choisissant à ce qu'il présente les garanties nécessaires pour lui permettre d'assurer la protection des données.Un contrat doit nécessairement régir le traitement effectué par un sous-traitant et des clauses concernant la protection des données doivent y être intégrées.
HOME
OBLIGATIONS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Respecter le droit des personnes
Information des personnes sur le traitement de données opéréLorsque la base légale du traitement est le consentement de la personne : celui-ci doit être libre, spécifique, éclairé et univoque. Le consentement appartient à l’utilisateur, il doit pouvoir le retirer simplement et à tout moment. Répondre dans un délai d’un mois (après la réception de la demande) aux personnes qui souhaitent faire valoir leurs droits sur leurs données (accès, modification, opposition…). Un délai de 2 mois supplémentaires est possible si l’on prouve que la demande est complexe. Respecter les nouveaux droits des personnes concernées : droit à l’effacement, droit à la limitation du traitement, droit de ne pas faire l’objet d’une décision automatisée, droit à la portabilité des données (un individu peut récupérer les données qu’il a fournies).
HOME
En savoir plus
OBLIGATIONS
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
Assurer la sécurité des données et notifier les violations
Des mesures de sécurité techniques et organisationnelles appropriées doivent être adoptées « compte tenu des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] pour les droits et libertés des personnes physiques ».Il s'agit de mesures assurant la sécurité physique et informatique des données. ATTENTION : - Les violations de données (perte de confidentialité, d'intégrité ou disparition des données) devront être notifiées à l’autorité de contrôle dans les 72h ;- Une communication auprès des personnes concernées devra également être effectuée dans les meilleurs délais.
HOME
En savoir plus
ET LES BIBS ?
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
ETAPE 1
identifier le DPD (ou DPO) au sein de sa collectivité
Vérifier (en interne et auprès des fournisseurs / prestataires SIGB, site internet) que l'ancienne norme simplifiée n°9 de la CNIL était bien respectée
Recenser et détailler les différents traitements de données mis en œuvre par la bibliothèque : - notices adhérents ;- connexion WIFI ;- gestion des tablettes ;- gestion des PC et ou EPN ;- connexion site et plateformes de ressources numériques ;- inscription à des animations, cours/événements (formulaire informatique ou papier)...
Lister les différents opérateurs impliqués dans ces traitements de données : outre le service informatique de la collectivité, plusieurs autres acteurs interviennent (fournisseurs : SIGB, portail, ressources en ligne, logiciel de gestion des EPN…). Cette liste permettra au DPD d’établir un registre des sous-traitants précis et à jour.
Préciser les finalités de ces divers traitements de données, les durées de conservation et les lieux de stockage
ETAPE 2
HOME
ET LES BIBS ?
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
ETAPE 2
Toiletter vos mentions d'information afin de garantir les droits des personnes et de respecter l'obligation d'information (finalité, nature des données collectées, durée de conservation... voir la partie "obligations").
Proposer un formulaire de contact à destination des utilisateurs qui souhaitent faire valoir leurs droits sur leurs données personnelles.
Demander le consentement des personnes pour les traitements qui le nécessitent et leur donner la possibilité, simple et pratique, de retirer cet accord.
Une fois l’étape 1 effectuée, vous avez déjà une bonne matière à apporter au DPD. Vous pourrez alors réfléchir ensemble aux mesures techniques et organisationnelles à prendre pour protéger les données personnelles et la vie privée des individus. Des mesures pratiques peuvent rapidement être mises en place sur le site de la bibliothèque.
ETAPE 3
HOME
ET LES BIBS ?
CONTEXTE
OBJECTIFS
OBLIGATIONS
ET LES BIBS ?
EN SAVOIRPLUS
ETAPE 3
Vérifier que les clauses des contrats avec les prestataires sont complètes et à jour (confidentialité, sécurisation, conseil).
Travailler avec la DSI et/ou les prestataires pour effectuer une analyse du ou des système(s) d’information et des fichiers qui y sont stockés.
Participer à la réalisation du registre des activités de traitement en vérifiant que le recensement et la description des traitements de données effectués par la médiathèque sont exhaustifs et justes.
Mise en place de mesures de sécurité adaptées au service et avec l’aide des divers opérateurs ou personnes ressources (Délégué à la Protection des Données, DSI, RH, fournisseurs…)
Mettre en place les mesures de sécurité préconisées par la CNIL.
Organiser si nécessaire une étude d’impact sur les données à risque ou « sensibles » .
HOME