Réponse de l'Enssib
Date de la réponse
Vous envisagez de mettre en libre accès les réservations des usagers, pour qu'ils puissent les récupérer en autonomie, mais ce faisant les réservations seront visibles par tous. Soucieuse du respect des données personnelles, vous vous interrogez sur le cadre légal.
Avant toute chose nous tenons à préciser que nous ne sommes pas un service juridique et qu’en conséquence notre réponse ne peut se prévaloir d’une telle valeur.
1) Données personnelles soumises au RGPD
Le nom et le prénom de l’usager, tout comme le document qu’il emprunte, constituent des éléments relatifs aux données personnelles, telles que définies par le règlement général sur la protection des données (RGPD). Ces éléments sont clairement identifiés dans la Norme simplifiée n° 9 qu’avait adoptée la CNIL en 1999 sur la collecte de données personnelles en vue de gérer le prêt de documents en bibliothèques :
Données personnelles concernées
• Nom, prénoms, adresse, année de naissance, catégorie professionnelle, numéro de téléphone, et, sous forme facultative, la nature de la recherche s’agissant des documents d’archives ;
• caractéristiques du prêt ou de la communication : désignation de l’œuvre (titre, nom de l’auteur, de l’éditeur, etc.) ou du document d’archive, cotes de catalogage ou de classement, date, date(s) de relance.
Source : Norme simplifiée n° 9. CNIL, page 3
2) Accord exprès de l’usager
Afin de pouvoir exposer un document avec l’identité d’un usager (nom et/ou prénom), il faudrait a minima recueillir son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) :
2 - Soyez transparent
Les individus doivent conserver la maîtrise des données qui les concernent. Cela suppose qu’ils soient clairement informés de l’utilisation qui sera faite de leurs données dès leur collecte.
Source : Les six grands principes du RGPD. CNIL, 23 août 2019
Cela pourrait prendre la forme d'un formulaire remis au moment de l'inscription qui explique que pour les réservations les noms et prénoms sont affichés sur le document. Afin de ne pas limiter l'accès à ce service, excluant les personnes soucieuses de garder leurs données confidentielles, d'autres solutions peuvent être envisagées.
3) Solutions alternatives
Une alternative consisterait à trouver un autre système ne permettant pas d’identifier le lecteur qui a fait la réservation.
Vous avez mentionné le fait d’inscrire uniquement les trois premières lettres du nom de l’usager. Ce système peut fonctionner dans une grande bibliothèque desservant un large public, plus difficilement dans une bibliothèque plus modeste, où le nombre d’usagers forment une petite communauté dont les membres pourraient facilement se reconnaître. L’utilisation des trois premières lettres du nom peut s’apparenter à ce qu’on appelle la pseudonymisation des données personnelles, quoique imparfaitement, car ces trois premières lettres sont vraiment celles du nom :
La pseudonymisation des données personnelles
En pratique, un processus de pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro dans un classement, etc.) afin d'en réduire leur sensibilité.
Source : Identifier les données personnelles. CNIL, 27 janvier 2020
En partant de cette pratique, une autre solution pourrait consister dans l’utilisation d’un code éphémère (nombre par exemple), changeant à chaque réservation (numéro qui identifierait cette réservation et non l’usager de manière pérenne), que vous pourriez communiquer par courriel à votre lecteur et afficher sur le document réservé. Des systèmes automatisés (mais plus coûteux) existent :
- Un casier de réservation automatique en bibliothèque. BBF
- Biblissimo. Plateforme projets, Enssib
Pour résumer, en effet, le nom et prénom associés à un document constituent bien des données personnelles au sens du RGPD. Leur utilisation, notamment si vous faisiez le choix de les afficher pour faciliter la récupération des réservations en autonomie, nécessite l’accord exprès des usagers concernés. Des solutions ne permettant pas d’identifier le lecteur peuvent être envisagées.
Afin d’en savoir plus, nous vous conseillons de vous tourner vers le DPO de votre collectivité, responsable du traitement des données conformément au RGPD. Votre bibliothèque départementale est susceptible de vous partager des retours d’expérience d’autres bibliothèques du territoire, pouvant ouvrir d'autres pistes.
Veuillez noter que cette réponse n’a pas de valeur juridique.
Pour aller plus loin :
- Quelles données collecter ? Guide Droit et bibliothèques de la bibliothèque de l’Enssib, réalisé par la juriste Anne-Laure Stérin
- Des réservations en libre accès ? Agorabib
- « Questions de droit : les règles en matière de conservation et réutilisation des données », Nawale Lamrini. Compter pour raconter. Du bon usage des données en bibliothèque. Sous la direction de Cécile Touitou. Presses de l'Enssib, 2025
- « Chapitre 7. La protection des données », Véronique Mesguich. Les bibliothèques face au monde des données. Presses de l’Enssib, 2023
- La protection de la vie privée des lecteurs par les bibliothécaires français. Marion Chovet. Mémoire du diplôme de conservateur des bibliothèques, Enssib, 2019