Réponse de l'Enssib
Date de la réponse
Vous souhaitez savoir si les usagers peuvent avoir accès à leur historique de prêt au-delà des 4 mois de conservation imposés par le Règlement général sur la protection des données (RGPD) dans les SIGB des bibliothèques.
Nous n’avons pas réussi à identifier de passage explicite dans le RGPD à l'usage des bibliothèques mentionnant une différence entre le traitement des données de prêt destiné aux usagers et celui conservé dans le SIGB à usage interne.
Il semblerait donc que la durée de conservation de l’historique de prêt à destination de l’usager soit la même que celle destinée aux bibliothécaires.
Si vous souhaitez proposer aux usagers un historique de leurs prêts au-delà des 4 mois réglementaires, il est possible que le droit à la portabilité des données inscrit dans le RGPD le permette.
Toutefois, n'étant pas un service juridique, nous ne sommes pas en capacité de nous prononcer sur la mise en oeuvre de ce droit à destination des usagers des bibliothèques.
Le droit à la portabilité des données :
Toute personne a le droit de recevoir les données qui la concerne et qu’elle a fournies à un responsable de traitement, de les réutiliser, et de les transmettre à un autre responsable de traitement (article 20 du RGPD). La CNIL rappelle les règles à suivre pour y répondre.
Le droit à la portabilité, créé par le RGPD, permet à toute personne de :
recevoir dans un format structuré, couramment utilisé et lisible par machine (ordinateur) les données personnelles la concernant déjà fournies à un responsable de traitement ;
faire transmettre directement ces données à un autre responsable de traitement lorsque c’est techniquement possible.Attention, le droit à la portabilité :
est différent du droit d’accès et du droit à l’effacement :
il n’entraîne pas la suppression des données du service depuis lequel elles sont portées ;
il est indépendant de la clôture d’un compte – ce droit peut s’exercer à tout moment, y compris si l’utilisateur veut continuer à utiliser le service après avoir exercé ce droit ;
concerne seulement certaines données, c’est-à-dire celles que les personnes ont fourni au responsable de traitement ;
n’est applicable que pour certains traitements de données personnelles, précisément ceux pour lesquels la base légale du traitement est le consentement ou le contrat;
doit répondre à certains critères sur le format de restitution des données.
Ce droit peut par exemple s’appliquer, si toutes les conditions sont réunies, pour certaines données transmises. (...)
Quelles sont les données concernées par le droit à la portabilité ?
Les données doivent avoir été collectées sur la base légale du contrat ou du consentement. Ce droit ne s'applique donc pas aux données traitées sur le fondement d’une autre base légale, telle que l’intérêt légitime, le respect d’une obligation légale, l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
Le traitement doit être effectué à l'aide de procédés automatisés. Cela exclut les données personnelles conservées sous format papier.
La portabilité concerne les données fournies par la personne concernée. C’est à dire :
des données déclarées activement et consciemment par la personne concernée, telles que des données fournies pour créer un compte en ligne (par ex. l’adresse électronique, le nom d’utilisateur, l’âge) ;
des données générées par l’activité de la personne concernée, lorsqu’elle utilise un service ou un appareil (par ex. les données brutes collectées par des compteurs communicants, les achats enregistrés sur une carte de fidélité, un historique d’événements).
En revanche, les données personnelles qui sont dérivées, calculées ou inférées à partir des données fournies par la personne concernée (profilage à des fins publicitaires, recommandations, etc.) ne rentrent pas dans le périmètre de ce droit.
Quelques exemples de données pouvant être transmises :
des données de formulaires remplies par la personne concernée, ses données de connexion et des documents téléchargés dans un cloud ;
des listes de lecture, des achats, des messages et interactions sur des commentaires, forums et réseaux sociaux, des données de comptes bancaires, etc.
Source : Professionnels : comment répondre à une demande de droit à la portabilité ? Cnil, 07 avril 2021
La CNIL peut répondre à vos questions en tant que professionnel des SIGB :
Contacter la CNIL : standard et permanences téléphoniques
Pour aller plus loin sur la RGPD en bibliothèque :
Durée de conservation des données personnelles Question ? Réponse ! 05/09/2022
RGPD inscription CSP Question ? Réponse ! 13/01/2022