RGPD

En mai 2018, le Règlement Général sur la Protection des Données entre en vigueur dans l'union européenne. Il établit des règles afin de protéger les personnes physiques et cadrer les traitements de leurs données personnelles. Nous travaillons depuis plusieurs mois à la mise en conformité demandée par le RGPD. La protection des données personnelles est dans l'ADN même de BibLibre, elle nous a toujours tenu à cœur, c’est une des raisons pour lesquelles nous nous investissons pour la libération des Systèmes d'Information de nos clients. Une majorité de points du règlement est déjà prise en compte dans notre quotidien. Cet article a pour but d'éclaircir notre démarche avec notre transparence habituelle.

Nous sommes des prestataires au service des bibliothèques. Dans ce cadre, nous nous devons de fournir tous les éléments nécessaires à prouver la mise en conformité de nos processus et applications déployées.

Nous avons une obligation de transparence et de traçabilité. Dans un premier temps, nous avons commencé par décrire les traitements des données personnelles réalisés dans nos applications et nos processus d'hébergement de plusieurs points de vue:

  • vis à vis de nos clients pour les applications que nous déployons
  • vis à vis de nos clients pour les données que nous stockons à partir du moment où nous travaillons ensemble
  • vis à vis de tous les publics d’un point de vue hébergement des données que nous maîtrisons
  • vis à vis de nos collaborateurs dans la gestion quotidienne de l'entreprise

Les traitements de données concernent donc les usagers des bibliothèques, le personnel des structures, les acteurs des projets que nous menons et les collaborateurs de BibLibre.

Du point de vue des applications, c'est principalement Koha qui nous occupe aujourd’hui (le travail a été fait aussi pour les autres produits, qui traitent moins de données personnelles). Si on entre dans le détail, il y a du travail à réaliser à l'intérieur même de l'application. Grâce au pouvoir d'une communauté de logiciel libre, vous trouverez dans le wiki et le gestionnaire de tickets les développements réalisés et à venir. Il y a déjà eu plusieurs rencontres en ligne à ce sujet et un groupe de personnes est impliqué. Vous pouvez bien sûr nous soutenir pour ces évolutions, ça n'ira que plus vite.

Une des obligations est de demander une autorisation claire et d'obtenir le consentement des personnes (Article 7). Une part de cette obligation est à prendre en charge par nos clients envers leurs usagers et leur personnel.

Les personnes peuvent aussi demander à supprimer leurs données personnelles des applications. De manière générale, dans les produits que nous déployons et nos processus internes, nous sommes déjà vigilants à ne pas demander et enregistrer plus que nécessaire. Une suppression des données entraînera probablement une rupture de service. Les personnes peuvent aussi demander quelles sont les données utilisées et traitées.

D'un point de vue infrastructure et hébergement, il n'y aura pas de changement. Nous avons toujours veillé à prendre soin de vos données. Les prestataires avec lesquels nous travaillons sont restreints au maximum. Nous avons des outils d'anonymisation lorsque nous travaillons sur vos bases de données hors production, nous veillons donc à supprimer les données personnelles au plus vite et à traiter vos sites avec le plus grand soin.

Nous serons donc en mesure de vous fournir les informations sur le traitement des données personnelles dans les logiciels que nous déployons et la sécurité mise en place en cas d'hébergement. Ces travaux continueront après mai 2018 ne serait ce que pour garder une continuité dans les nouveaux développements et aussi pour adapter notre accompagnement à vos besoins et questionnements au quotidien.

Collecte

Un de mes utilisateurs veut savoir les données que je possède sur lui

L'adhérent peut vous demander quelles sont ses données collectées. Merci d'ouvrir alors un ticket sur notre plateforme de support, avec les informations nous permettant de trouver la personne qui demande ses données. Nous les extrairons et les transmettrons sur le ticket, à vous de lui faire passer.

Consentement

Qu'est ce que Koha permet en terme de demande de consentement ?

À destination des administrateurs de Koha.

Il existe des données strictement nécessaires à l'établissement du service : identifiant, numéro de carte, mot de passe, date de début et de fin d'inscription, suivi des frais d'inscriptions ou amendes. Vous avez peut être choisi d'enregistrer des données supplémentaires que vous exigez pour votre service: mail, téléphone, catégorie socio professionnelle, date de naissance, filière d'étude etc. Elles sont techniquement non obligatoires au fonctionnement de Koha. Vos usagers doivent en avoir connaissance.

À l'inscription (et pour les adhérents actuels) vous devez demander un consentement libre, explicite et éclairé au futur ou actuel adhérent. Nous vous fournissons un exemple de ce à quoi il peut ressembler, à vous de l'adapter. Vous avez peut être autorisé la pré-inscription avec la syspref PatronSelfRegistration, ce cas devra être adressé.

Koha ne permet pas de demander, enregistrer et gérer le consentement d'un utilisateur. Un développement communautaire est en cours. Vous pouvez cependant informer l'utilisateur sur l'interface de connexion. La syspref OpacLoginInstructions permet de configurer un texte qui s'affiche à l'identification de l'utilisateur. Ainsi en se connectant, l'adhérent est informé des données qui sont collectées et à quelle fin.

La documentation fournie peut être réalisée dans une news koha ou un document disponible dans l'espace fichier (accessible ) une url /public/ via le protocole Webdav). Vous pouvez également afficher le lien vers ces informations avec les syspref opacnav, opaccredit, ou opacmainuserblock.

Anonymisation

Comment est gérée l'anonymisation dans Koha ?

Cookies

Quelles sont les cookies enregistrés dans Koha ?