• De quoi parle-t-on ? - CNIL
• Comprendre le RGPD - CNIL
• Guide pour les développeurs - CNIL

En mai 2018, le Règlement Général sur la Protection des Données est entré en vigueur dans l'union européenne. Il établit des règles afin de protéger les personnes physiques et cadrer les traitements de leurs données personnelles. Nous travaillons depuis plusieurs mois à la mise en conformité demandée par le RGPD. La protection des données personnelles est dans l'ADN même de BibLibre, elle nous a toujours tenu à cœur, c’est une des raisons pour lesquelles nous nous investissons pour la libération des Systèmes d'Information de nos clients. Une majorité de points du règlement est déjà prise en compte dans notre quotidien. Cet article a pour but d'éclaircir notre démarche avec notre transparence habituelle.

Nous sommes des prestataires au service des bibliothèques. Dans ce cadre, nous nous devons de fournir tous les éléments nécessaires à prouver la mise en conformité de nos processus et applications déployées.

Nous avons une obligation de transparence et de traçabilité. Dans un premier temps, nous avons commencé par décrire les traitements des données personnelles réalisés dans nos applications et nos processus d'hébergement de plusieurs points de vue:

• vis à vis de nos clients pour les applications que nous déployons
• vis à vis de nos clients pour les données que nous stockons à partir du moment où nous travaillons ensemble
• vis à vis de tous les publics d’un point de vue hébergement des données que nous maîtrisons
• vis à vis de nos collaborateurs dans la gestion quotidienne de l'entreprise

Les traitements de données concernent donc les usagers des bibliothèques, le personnel des structures, les acteurs des projets que nous menons et les collaborateurs de BibLibre.

Du point de vue des applications, c'est principalement Koha qui nous occupe aujourd’hui (le travail a été fait aussi pour les autres produits, qui traitent moins de données personnelles). Si on entre dans le détail, il y a du travail à réaliser à l'intérieur même de l'application. Grâce au pouvoir d'une communauté de logiciel libre, vous trouverez dans le wiki et le gestionnaire de tickets les développements réalisés et à venir. Il y a déjà eu plusieurs rencontres en ligne à ce sujet et un groupe de personnes est impliqué. Vous pouvez bien sûr nous soutenir pour ces évolutions, ça n'ira que plus vite.

Une des obligations est de demander une autorisation claire et d'obtenir le consentement des personnes (Article 7). Une part de cette obligation est à prendre en charge par nos clients envers leurs usagers et leur personnel.

Les personnes peuvent aussi demander à supprimer leurs données personnelles des applications. De manière générale, dans les produits que nous déployons et nos processus internes, nous sommes déjà vigilants à ne pas demander et enregistrer plus que nécessaire. Une suppression des données entraînera probablement une rupture de service. Les personnes peuvent aussi demander quelles sont les données utilisées et traitées.

D'un point de vue infrastructure et hébergement, il n'y aura pas de changement. Nous avons toujours veillé à prendre soin de vos données. Les prestataires avec lesquels nous travaillons sont restreints au maximum. Nous avons des outils d'anonymisation lorsque nous travaillons sur vos bases de données hors production, nous veillons donc à supprimer les données personnelles au plus vite et à traiter vos sites avec le plus grand soin.

Nous serons donc en mesure de vous fournir les informations sur le traitement des données personnelles dans les logiciels que nous déployons et la sécurité mise en place en cas d'hébergement. Ces travaux continueront après mai 2018 ne serait ce que pour garder une continuité dans les nouveaux développements et aussi pour adapter notre accompagnement à vos besoins et questionnements au quotidien.

Vous trouverez ici un article complet sur ce que suggère la cnil sur le point de l'information des personnes. L’information doit être "de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples". Ils donnent des exemples d'information fournie aux usagers.

L'adhérent peut vous demander quelles sont ses données collectées. Merci d'ouvrir alors un ticket sur notre plateforme de support, avec les informations nous permettant de trouver la personne qui demande ses données. Nous les extrairons et les transmettrons sur le ticket, à vous de lui faire passer.

À destination des administrateurs de Koha.

Il existe des données strictement nécessaires à l'établissement du service : identifiant, numéro de carte, mot de passe, date de début et de fin d'inscription, suivi des frais d'inscriptions ou amendes. Vous avez peut être choisi d'enregistrer des données supplémentaires que vous exigez pour votre service: mail, téléphone, catégorie socio professionnelle, date de naissance, filière d'étude etc. Elles sont techniquement non obligatoires au fonctionnement de Koha. Vos usagers doivent en avoir connaissance.

À l'inscription (et pour les adhérents actuels) vous devez demander un consentement libre, explicite et éclairé au futur ou actuel adhérent. Nous vous fournissons un exemple de ce à quoi il peut ressembler, à vous de l'adapter. Vous avez peut être autorisé la pré-inscription avec la syspref PatronSelfRegistration, ce cas devra être adressé.

Koha permet maintenant de demander, enregistrer et gérer le consentement d'un utilisateur bz 20819. Vous pouvez également informer l'utilisateur sur l'interface de connexion. La syspref OpacLoginInstructions permet de configurer un texte qui s'affiche à l'identification de l'utilisateur. Ainsi en se connectant, l'adhérent est informé des données qui sont collectées et à quelle fin.

La documentation fournie peut être réalisée dans une news koha ou un document disponible dans l'espace fichier (accessible ) une url /public/ via le protocole Webdav). Vous pouvez également afficher le lien vers ces informations avec les syspref opacnav, opaccredit, ou opacmainuserblock.

• Le consentement dans Koha avec la syspref GDPR_Policy

À destination des administrateurs de Planningbiblio.

Il existe des données strictement nécessaires à l'établissement du service : nom, prénom, adresse e-mail, login. Elles sont nécessaires à la création de la fiche Agent. D'autres informations traitées sont les heures de présence, absences et congés. Vous avez peut être choisi d'enregistrer des données supplémentaires que vous exigez pour votre service. Elles sont techniquement non obligatoires au fonctionnement de Planningbiblio. Vos usagers doivent en avoir connaissance.

À l'enregistrement d'un nouvelle agent vous devez demander un consentement libre, explicite et éclairé au futur ou actuel adhérent. Nous vous fournissons un exemple de ce à quoi il peut ressembler, à vous de l'adapter.

Planningbiblio ne permet pas de demander, enregistrer et gérer le consentement d'un utilisateur.

Lorsqu'un usager s'inscrit à la bibliothèque, vous pouvez dans chaque module, le désinscrire des notifications Mail ou SMS s'il ne veut pas les recevoir.

• Interface professionnelle de Koha
  • Dans la fiche d'un adhérent, il est possible de configurer ses préférences de notifications

• Opac de Koha
  • Le lecteur peut lui même modifier ses préférences dans "mon compte"

• Portail Bokeh
  • Un usager recevant une lettre d'information peut se désinscrire par un lien en bas du mail d'information.
  • Dans le module des "lettres d'information" de Bokeh, un compte peut être désinscrit volontairement d'une liste de diffusion dans les groupes dynamiques par exemple. Il est ensuite possible de retrouver les comptes "volontairement désinscrit" par la recherche des utilisateurs.

• Un développement est envisagé pour permettre à Koha de rendre disponible l'information des préférences de notification des adhérents par les webservices qui sont utilisés par les portails documentaires (comme Bokeh). Si ces informations sont prises en compte dans les outils cibles, le lecteur pourra par son compte les lire et/ou modifier.

Vous trouverez ci-dessous des informations concernant les scripts de nettoyage des données personnelles pour Koha:

• Anonymisation de l'historique des prêts
• Suppression des données des adhérents sous conditions
• Suppression des demandes de réservation expirées
• Suppression d'autres données personnelles : historique de recherche et logs
• Suppression des suggestions sous conditions

Vous trouverez une liste construite par la communauté sur le wiki (en).