Cybermalveillance, cybercriminalité et cybersécurité en bibliothèque

Réponse de l'Enssib

Date de la réponse

Votre question nous a été transmise dans le cadre de notre partenariat avec Eurêkoi !

 

 

Vous souhaitez connaître les moyens dont disposent les bibliothèques pour lutter contre la cybermalveillance/cybercriminalité ainsi que pour assurer la cybersécurité de la bibliothèque et des usagers.

 

Le sujet est complexe aussi ne développerons-nous pas en détail toutes les facettes de cette question. Nous nous attacherons à la mise en place de la protection des données en bibliothèques.

 

Les bibliothèques publiques et universitaires collectent, dans le cadre de leurs activités, bon nombre de données personnelles qui sont des données sensibles.

Comme l’écrit Véronique Mesguich dans son ouvrage Les bibliothèques face au monde des données, La bibliothèque doit prendre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre toute perte, destruction, altération ou divulgation non autorisée. (Chapitre 7. La protection des données, p. 127-140).

 

Pour ce faire, les bibliothèques doivent avoir, en amont, mis en œuvre les préconisations du RGPD.

Pour mieux comprendre ce à quoi correspond ce Règlement Général sur la Protection des Données (RGPD) et son application en bibliothèque, nous vous invitons à consulter deux  exemples d’outils pratiques et synthétiques mis à disposition des bibliothécaires par des BDP :

Le RGPD : petit guide à l’usage des bibliothécaires. Bibliothèque départementale du Val d’Oise – 16.08.2018
Données personnelles, RGPD : la check-list pour se mettre en conformité. Biblio.gironde, Pôle des coopérations numériques.

 

Sur le site de la bibliothèque départementale d’Ille-et-Vilaine, il est également rappelé que les bibliothèques ne sont pas seules face à la gestion des données :

La bibliothèque n’est pas seule

Pour chaque organisme concerné par le RGPD, l’autorité administrative devient le responsable du traitement des données. Pour la bibliothèque municipale : le Maire. Pour la bibliothèque associative avec délégation de service public de la commune (convention) : le Maire. Pour la bibliothèque associative non conventionnée : le Président de l’association. Pour la bibliothèque intercommunale : le Président de l’EPCI.

Chaque responsable du traitement doit désigner un DPO (Délégué à la Protection des Données). C’est la personne référente pour la protection des données (normalement, ce n’est pas un informaticien car il serait à la fois juge et partie). Elle peut être mutualisée entre plusieurs petites collectivités territoriales. Dans tous les cas, votre hiérarchie doit pouvoir vous orienter vers elle.

Votre éditeur de logiciel de bibliothèque (comme vos prestataires de site internet, de ressources numériques) est sous-traitant des données personnelles que vous collectez. A ce titre, ils sont également soumis au RGPD et co-responsables avec le responsable du traitement. Ils ont une obligation de conseil et une obligation de sécurisation des données confiées.

On commence à s’organiser et on se fait aider

En début d'adaptation, on retire les données gardées inutilement. Ex. : lecteurs non actifs.

On échange avec le DPO.

On vérifie que l’éditeur du logiciel de bibliothèque respecte la norme simplifiée NS-009 de la CNIL et que sur le contrat qu’on a avec lui figurent des clauses concernant la protection des données.

En collaboration avec le DPO, on renseigne le Registre de traitement des données. Il faut y noter la provenance des données et comment elles ont été recueillies :

  • Qui accède aux données et dans quels cas : service médiathèque, hiérarchie, comptabilité ou Perception si recouvrement etc.

  • Les catégories de données traitées

  • L’utilisation des données (finalité)

  • Les temps de conservation (délais légaux)

  • Comment elles sont sécurisées

Source : RGPD . Médiathèque départementale d'Ille et Vilaine

 

En BU, le responsable du traitement est généralement l’Université en tant que personne morale, représentée par son président ou sa présidente.

C’est également l’autorité administrative qui prend la décision d’accepter les risques résiduels et la manière dont ils ont été gérés.

Source: Les bibliothèques face au monde des données. Véronique Mesguich, Presses de l'Enssib, 2023

 

 

Pour aller plus loin, nous vous proposons une sélection de réponses de notre Service autour de la collecte, de la conservation et de l'usage des données en bibliothèque :

Durée de conservation des données personnelles. Question ? Réponse ! (2022)

RGPD inscription CSP Question ? Réponse ! (2022)

Identification des utilisateurs SIGB. Question ? Réponse ! (2020)

Accès à l'historique de prêt pour l'usager au-delà de 4 mois. Question ? Réponse ! (2023)

Demander et enregistrer le n° de carte d'identité à l'inscription Question ? Réponse ! (2020)

RGPD et bibliothèques Question ? Réponse ! (2019)

Accès aux postes informatiques en médiathèque Question ? Réponse ! (2022)

Plateforme emailing et RGPD. Question ? Réponse ! (2022)

Fichier adhèrent et newsletter Question ? Réponse ! (2023)