Réponse de l'Enssib
Date de la réponse
Vous vous interrogez sur la légalité de la conservation actuelle de l’historique des prêts (120 jours donc 4 mois) de votre SIGB.
Vous craignez notamment qu’un lecteur refuse cette durée de conservation et ne savez quoi lui répondre.
Dans le document sur la RGPD édité par la Bibliothèque Départementale de Prêt d’Ille-et-Vilaine, la durée de conservation de l’historique de prêts de 120 jours (4 mois) est clairement indiqué :
Les informations que l’on collecte pour le fonctionnement de la bibliothèque
On peut obliger la personne qui s’inscrit à fournir des données qualifiées de nécessaires, parce qu’elles seront utiles à la gestion des prêts, la récupération des documents et l’élaboration de statistiques utiles à l’amélioration du service :
- Nom, Prénom(s)
- Adresse
- Année de naissance
- CSP : mais seulement si on les utilise en vue d’améliorer le service
- N° de téléphone
Lors du prêt ou de la réservation, on associe à la personne inscrite, des informations identifiant les documents en cours d’emprunt (titre, auteur, N° d’exemplaire etc.). Cette association est confidentielle, elle doit être protégée.
Collecter des données personnelles en bibliothèques peut être nécessaire à la gestion d’autres activités que le prêt de documents : l’inscription aux animations, à l’espace multimédia (si indépendant de l’inscription à la bibliothèque), la connexion wifi, le prêt de matériel (tablettes, liseuses, etc.).
Ensuite, on conserve durant le temps réglementaire et pas au-delà, soit :
- Les inscriptions doivent être radiées d’office 1 an après le dernier retour de document
- Pour chaque document, les informations des précédents emprunteurs doivent être effacées 4 mois après le retour du document
Votre logiciel de bibliothèque doit vous permettre de gérer facilement ces délais.
Extrait : Boite à outils. Informatisation. RGPD. Bibliothèque Départementale de Prêt d’Ille-et-Vilaine.
Par ailleurs, nous vous rappelons que la Bibliothèque départementale de l’Aude est votre interlocuteur privilégié.
Comme le souligne le document cité plus haut, la "bibliothèque n'est pas seule" :
La bibliothèque n’est pas seule
Pour chaque organisme concerné par le RGPD, l’autorité administrative devient le responsable du traitement des données. Pour la bibliothèque municipale : le Maire. Pour la bibliothèque associative avec délégation de service public de la commune (convention) : le Maire. Pour la bibliothèque associative non conventionnée : le Président de l’association. Pour la bibliothèque intercommunale : le Président de l’EPCI.
Chaque responsable du traitement doit désigner un DPO (Délégué à la Protection des Données). C’est la personne référente pour la protection des données (normalement, ce n’est pas un informaticien car il serait à la fois juge et partie). Elle peut être mutualisée entre plusieurs petites collectivités territoriales. Dans tous les cas, votre hiérarchie doit pouvoir vous orienter vers elle.
Votre éditeur de logiciel de bibliothèque (comme vos prestataires de site internet, de ressources numériques) est sous-traitant des données personnelles que vous collectez. A ce titre, ils sont également soumis au RGPD et co-responsables avec le responsable du traitement. Ils ont une obligation de conseil et une obligation de sécurisation des données confiées.
Pour finir , nous vous proposons deux autres exemples d’outils pratiques et synthétiques mis à disposition des bibliothécaires par des BDP :
Le RGPD : petit guide à l’usage des bibliothécaires. Bibliothèque départementale du Val d’Oise – 16.08.2018
Données personnelles, RGPD : la check-list pour se mettre en conformité. Biblio.gironde, Pôle des coopérations numériques.
Pour aller plus loin :
RGPD et bibliothèques. Question ? Réponse ! 31/01/2019