Réponse de l'Enssib
Date de la réponse
Dans le cadre du RGPD (Règlement général sur la protection des données), vous vous demandez si vous devez garder dans votre logiciel de prêt les renseignements des adhérents non actifs.
Veuillez noter que cette réponse n’a aucune valeur juridique.
D’après la norme simplifiée n°9 (NS 09) de la CNIL (Commission nationale informatique et libertés), qui concerne les traitements relatifs à la gestion des prêts de livres, de supports audiovisuels et d’œuvres artistiques et des consultations de documents d’archives publiques :
Pendant la durée d’utilisation du service de prêt pour ce qui concerne l’identité de l’emprunteur. La radiation doit intervenir d’office dans un délai d’1 an à compter de la date de fin du prêt précédent. Jusqu’à la fin du 4ème mois suivant la restitution de l’objet du prêt pour les informations concernant chaque prêt. Au-delà de ce délai, les informations sur support magnétique sont détruites ; elles ne peuvent être conservées sur support papier que pour les besoins et la durée d’un contentieux éventuel. Jusqu’au prochain récolement (inventaire) et dans la limite d’une durée maximum de 10 ans s’agissant des consultations des documents d’archives.
Source : NS-09. CNIL
Il est stipulé sur le site de la CNIL :
Suite à l’entrée en application du RGPD, les normes simplifiées, dispenses et autorisations uniques adoptées par la CNIL n’ont plus de valeur juridique à compter du 25 mai 2018. Dans l’attente de la production de référentiels RGPD, la CNIL a décidé d'en maintenir certaines accessibles afin de permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité.
D’après une ressource créée par la médiathèque départementale d’Ille-et-Vilaine :
En début d'adaptation, on retire les données gardées inutilement. Ex. : lecteurs non actifs.
Page 4
[...]
Les inscriptions doivent être radiées d’office 1 an après le dernier retour de document. Pour chaque document, les informations des précédents emprunteurs doivent être effacées 4 mois après le retour du document.
Page 3
Source : Le RGPD - Informations de base - À l'intention des petites bibliothèques. Médiathèque départementale d'Ille-et-Vilaine
Selon le statut de votre bibliothèque (associative, communale, intercommunale…), l'autorité administrative qui est responsable du traitement des données diffère. C’est pourquoi nous vous conseillons de vous rapprocher d'elle, afin d'être orienté vers votre DPO (Délégué à la protection des données). Le DPO est la personne référente pour la protection des données :
Pour chaque organisme concerné par la RGPD, l’autorité administrative devient le responsable du traitement des données :
- Pour la bibliothèque municipale : le Maire.
- Pour la bibliothèque associative avec délégation de service public de la commune (convention) : le Maire.
- Pour la bibliothèque associative non conventionnée : le Président de l’association.
- Pour la bibliothèque intercommunale : le Président de l’EPCI.
Chaque responsable du traitement doit désigner un DPO (Délégué à la Protection des Données)
Source : Le RGPD - Informations de base - À l'intention des petites bibliothèques. Médiathèque départementale d'Ille-et-Vilaine, page 3
Pour aller plus loin :
Guide pratique - Les durées de conservation. CNIL, Direction générale des patrimoines, version juillet 2020