Réponse de l'Enssib
Date de la réponse
Vous souhaitez savoir s'il est nécessaire d'avoir un compte nominatif pour chaque agent de la bibliothèque. Vous souhaitez savoir quelle est la réglementation en la matière.
Vous ne précisez pas la nature du compte nominatif auquel vous faites référence. Nous supposons donc qu'il s'agit soit d'un compte personnel permettant à chaque agent de se connecter à internet, à sa messagerie ou à son compte de bibliothèque pour enregistrer des prêts.
Le RGPD est le texte européen de référence relatif à la protection des personnes physiques en matière de
gestion et de circulation des données personnelles. Dans ce cadre, la sécurité des données est un élément primordial, c'est pourquoi la CNIL a publié un guide afin de sensibiliser toutes les personnes, entreprises ou collectivités à cette question.
Extrait (p.4) :
La gestion des risques permet de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » (article 34 de la loi du 6 janvier 1978 modifiée, dite loi Informatique et Libertés). Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).
Il est indiqué plus loin, Partie 3 "Gérer les habilitations -Limiter les accès aux seules données dont un utilisateur a besoin" (p.11) :
LES PRÉCAUTIONS ÉLÉMENTAIRES
• Définir des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l’accès des utilisateurs aux seules données strictement nécessaires à l’accomplissement de leurs missions.
• Supprimer les permissions d’accès des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource informatique, ainsi qu’à la fin de leur contrat.
• Réaliser une revue annuelle des habilitations afin d’identifier et de supprimer les comptes non utilisés et de réaligner les droits accordés sur les fonctions de chaque utilisateur.
CE QU’IL NE FAUT PAS FAIRE
• Créer ou utiliser des comptes partagés par plusieurs personnes.
• Donner des droits d’administrateurs à des utilisateurs n’en ayant pas besoin.
• Accorder à un utilisateur plus de privilèges que nécessaire.
• Oublier de retirer des autorisations temporaires accordées à un utilisateur (pour un remplacement,
par exemple).
• Oublier de supprimer les comptes utilisateurs des personnes ayant quitté l’organisation ou ayant changé de fonction
Source : Guide de sensibilisation au RGPD pour les collectivités territoriales. CNIL
Les comptes informatiques collectifs sont donc plutôt à proscrire.
Nous vous invitons à vous renseigner sur la charte informatique de votre commune pour connaître les mesures mises en place pour garantir la sécurité des données personnelles des agents et des administrés.
Vous pourrez également prendre contact avec le délégué à la protection de données personnelles de votre commune (DPO).
Concernant les comptes de bibliothèque, il semble également préférable que chaque agent dispose d'un compte personnel lui permettant d'emprunter des documents pour son usage personnel ou professionnel.
Il est possible de délivrer des cartes collectivités, comme le proposent par exemple les bibliothèques de la Ville de Paris, toutefois chaque carte est clairement liée à une personne contact : Inscription collectivité dans les bibliothèques de la Ville de Paris
Veuillez noter que cette réponse n'a pas de valeur juridique.
Pour aller plus loin :
Politique de la protection des données personnelles – Salarié·es et agent·es du public. La Rochelle Université.
Le droit d’accès des salariés à leurs données et aux courriels professionnels. CNIL, 18 mai 2022