Depuis le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en vigueur et concerne toutes les organisations, publiques ou privées, qui effectuent un traitement des données à caractère personnel (collecte de coordonnées par un formulaire en ligne, création d'un fichier clients, gestion des paies, etc.). L'ambition de ce texte est de permettre aux individus concernés une meilleure maîtrise des informations les concernant.


Le RGPD et les professionnels du livre

Les professionnels du livre sont concernés par ce nouveau dispositif qui implique un changement de pratique quant à l'utilisation des données personnelles qu'ils collectent. En effet, les noms et prénoms, dates de naissance, adresses postales et mails, coordonnées bancaires, numéros de téléphone et de sécurité sociale, ou encore les photographies sont susceptibles d'être l'objet d'un traitement par les professionnels du livre, qui entre dans le cadre du règlement européen relatif à la protection des données personnelles.

Ainsi, les maisons d'édition, dans le cadre de leurs activités, enregistrent, conservent et utilisent les données personnelles de leurs auteurs, que ce soit pour établir la reddition de leurs comptes, assurer la promotion de leurs livres ou rédiger leur biographie.

De même, les libraires collectent des données personnelles lorsqu'ils proposent un service de commande d'ouvrage, un programme de fidélité ou l'abonnement à une lettre d'information périodique.

Enfin, les bibliothèques, qu'elles soient associatives ou sous la tutelle d'une collectivité territoriale, sont aussi concernées par cette nouvelle règlementation, puisqu'elles enregistrent des informations relatives à l'identité des emprunteurs.

Afin d'être en conformité avec le RGPD, quelques règles doivent donc être respectées.


Le consentement, la durée et la finalité du traitement

Tout d'abord, il est nécessaire d'obtenir le consentement de la personne dont les données vont être collectées. Pour cela, il faut qu'elle soit informée non seulement du principe du traitement, mais également de sa finalité et de sa durée. L'objectif est de rendre adéquate l'utilisation des données et de minimiser la collecte : l'inscription à une bibliothèque ou l'adhésion au programme de fidélité d'une librairie ne doit pas impliquer l'autorisation de recevoir chaque semaine la newsletter de l'établissement. Le consentement doit donc être donné pour chaque finalité et uniquement pour une durée limitée correspondant généralement au temps nécessaire à la stricte utilisation du service demandé.

Dans le cadre d'un contrat d'édition, le traitement des données est licite et ne nécessite pas le consentement de l'auteur, puisque cette collecte est indispensable à l'exécution de la convention entre les parties. Néanmoins, l'éditeur reste tenu d'informer l'auteur des finalités de ce traitement et de la durée de conservation de ces données au sein même du contrat ou dans un avenant.


Les droits des personnes concernées par le traitement des données

Par ailleurs, il est impératif de porter à la connaissance des personnes concernées par le traitement des données les droits dont elles bénéficient, à savoir :

  • droit d'accès à leurs données ;
  • droit de rectification de leurs données lorsque celles-ci sont inexactes ;
  • droit d'opposition au traitement de leurs données lorsqu'il n'existe pas de motif légitime le nécessitant ;
  • droit à la portabilité, c'est-à-dire droit de récupérer leurs données sous une forme facilement réutilisable, de façon à pouvoir les transférer aisément à un tiers ;
  • droit à l'effacement de leurs données lorsque, par exemple, ces dernières ne sont plus nécessaires au regard des finalités qui ont conduit à leur collecte.

Ces informations doivent être insérées dans les documents liant les parties (clause au sein du contrat d'édition ou avenant) ou dans les formulaires utilisés pour collecter les données (fiche de renseignements pour l'établissement d'une carte d'abonnement). Elles doivent également être prévues dans les mentions légales du site de l'organisme concerné.

Afin de faciliter l'exercice de ces droits, une adresse mail spécifique peut être mise en place pour permettre au délégué à la protection des données (ou assimilé) d'apporter une réponse dans les meilleurs délais.


Le registre de traitement des données

Pour recenser au mieux les données traitées, le RGPD prévoit la tenue d'un registre qui peut se présenter sous forme papier ou électronique (la CNIL propose un modèle de registre), comportant :

  • le nom de la personne qui s'occupe du traitement ;
  • les catégories de personnes qui auront accès aux données personnelles (employés, sous-traitants, etc.) ;
  • les catégories de personnes concernées par le traitement (auteurs, inscrits de la bibliothèque, clients de la librairie, employés, etc.) ;
  • les catégories de données traitées (identité, situation familiale, données bancaires, etc.) ;
  • la finalité du traitement (envoi d'une lettre d'information, gestion de la paie, création d'une carte d'adhérent, etc.) ;
  • la durée de conservation des données (ou, du moins, les critères permettant de déterminer les délais prévus pour leur effacement) ;
  • les mesures mises en place pour assurer la sécurisation des données (hébergement sur des serveurs sécurisés, accès sécurisé des ordinateurs mis à disposition du public dans les bibliothèques, limitation du nombre de tentatives de connexion aux comptes utilisateurs, etc.) ;
  • et, le cas échéant, les transferts des données hors de l'Union européenne.

Grâce à cet outil, il est possible d'avoir une vue d'ensemble de ses opérations de traitement des données et de prouver sa conformité avec le RGPD.

 

COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS (CNIL)

3 place de Fontenoy
TSA 80715
75334 PARIS Cedex 07
01.53.73.22.22
www.cnil.fr/fr

Accès directs :