Lettre ouverte adressée aux professionnels des bibliothèques pour une mise en conformité du RGPD.

Le 25 mai prochain entre en application le Règlement Général de la Protection des Données Personnelles (RGPD). Ce règlement applicable dans l’ensemble des pays de l’Union européenne vise à renforcer la protection des données personnelles des citoyen·ne·s européen·ne·s. L’ambition du RGPD est de permettre de construire un rapport de force face aux entreprises qui ont construit leur modèle économique sur la collecte, le croisement et la revente de données à des annonceurs sur les individus. Grâce au RGPD, les individus disposeront d’un arsenal leur garantissant une meilleure maîtrise de leurs données personnelles. Un des points majeurs du règlement est la mise en place du principe de portabilité qui octroie le droit à récupérer ses données accumulées au sein d’un service pour pouvoir notamment les importer dans un service concurrentiel. Le règlement insiste également sur le recueil du consentement qui doit être libre et éclairé et d’assurer ainsi sa traçabilité. Enfin, le RGPD redéfinit les limites des données qui peuvent être collectées par un prestataire de service. Les données collectées doivent être nécessaires à la fourniture du service. A partir du 25 mai, il ne sera plus possible de collecter des données inutiles à la réalisation de la prestation. Chaque donnée collectée doit correspondre à la finalité du service et être collectée de façon loyale, licite et transparente ! 
SavoirsCom1 appelle l’ensemble de la communauté des professionnel·le·s des bibliothèques à prendre la mesure des enjeux du RGPD et à prendre les dispositions nécessaires afin d’être en conformité. La sécurisation et la protection des données implique de mettre en œuvre des dispositifs techniques qui garantissent un certain anonymat pour les utilisateur·ice·s du service. Cela se traduit notamment par le déploiement d’un certificat SSL afin de fournir un accès en https au site de la bibliothèque ou bien à la plateforme de ressources électroniques. Le protocole HTTPS, bien que ce ne soit pas une solution suffisante, permet de chiffrer les données qui transitent entre le navigateur de l’internaute et le serveur sur lequel le site est stocké. Ainsi, un certain degré de confidentialité est garanti aux usager·e·s des bibliothèques. Par ailleurs, cette injonction s’applique également aux prestataires de SIGB full web qui devront déployer un certificat SSL afin de sécuriser et d’anonymiser les requêtes.
SavoirsCom1 demande aux professionnel·le·s des bibliothèques de s’engager à permettre aux utilisateur·ice·s d’exercer leurs droits d’accès et de rectification, le droit à la suppression des données les concernant. Conformément au cadre fixé par la Norme Simplifiée 009, les données doivent être supprimées un an après après la fin de l’abonnement de l’utilisateur·ice. En tant que sous-traitant, les fournisseurs de ressources numériques qui collectent les données des utilisateur·ice·s doivent supprimer ces données selon les termes prévus par ce fondement juridique. 
En cas de faille de sécurité ou d’une fuite de données, les prestataires s’engagent à informer leurs client·e·s dans les plus brefs délais d’une fuite accidentelle ou illicite et de leur fournir des informations complémentaires dans les 72h. 
Certaines bibliothèques proposent des services de fournitures de contenus numériques par des prestataires qui sont situés en dehors de l’Union européenne (De Marque pour le livre numérique). Le RGPD s’appliquant dès lors que ces services proposés visent des citoyen·ne·s européen·ne·s, nous exigeons de la part des responsables de traitement et de leurs sous-traitants d’encadrer les transferts de données en assurant un degré de protection adapté. Nous incitons les bibliothécaires à s’assurer que ces prestataires respectent le cadre juridique, pour garantir le droit à la vie privée des usagers.
SavoirsCom1 invite les bibliothécaires à prendre en compte dans leurs choix et à inscrire dans les cahiers des charges le respect obligatoire du principe du Privacy By design . Il s’agit d’inciter à des solutions qui prévoient dès leur conception de limiter la collecte des données personnelles et de garantir ainsi un respect à la vie privée. Nous alertons les bibliothèques sur ce point et nous leur recommandons d’abandonner toute solution qui compromet d’une façon directe ou indirecte la vie privée de leurs utilisateur·ice·s. A titre d’exemple, nous condamnons fortement les ressources qui s’adossent à des DRM qui constituent une menace pour les libertés numériques et les droits fondamentaux des individus. Non seulement les DRM installent des enclosures sur la connaissance mais en plus ils représentent bien souvent des menaces pour la vie privée des internautes. Nous recommandons par exemple aux bibliothèques d’éviter les prestataires de livres numériques qui reposent sur la solution de gestion de droits numériques d’Adobe Digital Editions.
Enfin, nous rappelons que le non-respect du règlement est lourdement punissable. Le RGPD prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du montant du chiffre d’affaire. Nous n’hésiterons pas à mobiliser des associations reconnues pour leur action en faveur de la protection des données personnelles et des libertés numériques pour engager des actions de masse. 
Via un article de SavoirsCom1, publié le 7 mai 2018

©© a-brest, article sous licence creative common info