Formation : le Réglement Général de Protection des Données

Par Kelly Royère
Médiatrice numérique
31 mars 2025
Jeudi 27 mars, l’équipe du "Développement de la Lecture et du Numérique" du Département du Val-de-Marne, a suivi, avec une dizaine de bibliothécaires, une formation d’une journée sur le RGPD, le Règlement Général de Protection des Données. C’est Romain de l’Etabli Numérique, qui prône « l’éducation populaire & numérique », qui nous a guidé à travers ce règlement, qui est un texte législatif à échelle européenne. 

 
Carte "un océan de données" de la CNIL

Source CNIL

Pour mieux comprendre ce règlement, Romain nous en a expliqué les prémices, à savoir la « loi informatique et libertés » de 1978 qui répondait à une polémique sur un projet de création d’un fichier collectant les données privées de tous les français et de toutes les françaises. Cette loi permet à la CNIL, la Commission Nationale de l’Informatique et des Libertés, de voir le jour pour contrôler et protéger ces données. L’OCDE s’empare alors du sujet en 1980 et l’Union Européenne introduit la notion de données à caractères personnelles en 1995. 


Schéma de la CNIL


 Source CNIL 

Pensé dès 2009, adopté en 2016 puis entré en vigueur le 25 mai 2018, le RGPD répond à la nécessité de protéger nos données personnelles à l’heure des cyberattaques en augmentation, des menaces des GAFAM (Google, Apple, Facebook, Amazon, Microsoft), mais aussi de la surveillance massive des États-Unis révélée par l’affaire Edward Snowden en 2013. 

 
De même, la fuite de nos données personnelles résulte de la multiplicité des plateformes que l’on utilise aujourd’hui sur internet, qui vient nourrir et entretenir l’écosystème des arnaques et du démarchage, contre lequel le RGPD lutte. Pour exemple, en 2022, 13 mouchards sont identifiés sur l’application Marmiton. Si des sanctions sont mises en place, elles restent néanmoins faibles pour les multinationales comme Google. 

 
Les cyber réflexes de la CNIL

Source CNIL


Comment fonctionne le RGPD ? 


Le RGPD concerne toutes les entités juridiques, quel que soit leur statut (association, entreprise, collectivité, etc.), dès lors qu’elles ciblent (publicité, paiement en euro, langue européenne, etc.) les données personnelles des européens, même si elles résident hors Union Européenne.  

 
Qu’est-ce qu’une donnée personnelle ? 

Il s’agit de « toutes informations se rapportant à une personne physique qui peut être identifiée directement ou indirectement ». Cela concerne également les données qui proviennent de sources combinées. 


Quelques exemples : 

  • L’identifiant usager d’une bibliothèque qui ne comporte ni nom ni prénom mais qui permet de l'identification indirectement
  • L’historique de prêt d’un usager
  • Les données de géolocalisation combinées

 
6101100.jpg 155 ko





Le traitement des données personnelles doit respecter 7 principes. 

 

N°1 le principe de licéité

  • Le traitement des données personnelles s’exécute dans le cadre d’une mission de service public. Par exemple, collecter les noms et prénoms des enfants dans une école est nécessaire à sa mission.
  • L’exécution d’un contrat. Par exemple, les données collectées lors d’une commande. 
  • Le respect d’une obligation légale. Par exemple, les documents conservés par les Ressources Humaines sur un employé. 
  • La sauvegarde des intérêts vitaux de la personne. 
  • L’intérêt légitime de la structure collectant les données. Par exemple, les badges nominatifs d’accès à un bâtiment afin de sécuriser ce dernier. 

 
N°2 le principe de loyauté et de transparence


Ce principe souligne que l’utilisation des données personnelles doit respecter la finalité annoncée. 

Par exemple, si un usager en bibliothèque transmet son mail afin de recevoir la notification d’arrivée de sa réservation, son mail ne doit pas être utilisé ensuite pour lui envoyer la lettre d’information s'il n'y était pas inscrit. 

Ensuite, les données doivent être traçables.

 

N°3 le principe de limitation des finalités

 

Les données doivent être collectée pour une raison précise, spécifique et annoncée. 

 

N°4 le principe de minimisation

 

Les données doivent être collectées au strict nécessaire. 

 

N°5 le principe d’exactitude

 

Les données doivent être gardée à jour et modifiées en cas de changement. 

 

N°6 le principe de limitation dans le temps

 

Les données collectées répondent à une finalité et ne doivent pas être conservées dans une durée illimitée. Dès que l’objectif est atteint, les données sont supprimées. 

 

N°7 le principe d’intégrité et de confidentialité

 

Toutes les données collectées doivent être protégées et transmise aux bonnes personnes. 


4636956.jpg 183 ko


 

Grâce au RGPD, nous avons :

  • Droit d’information : on a le droit de savoir l’ensemble de nos données traitées
  • Droit à l’effacement de nos données
  • Droit d’accès, de rectification et de portabilité de nos données


Le consentement au traitement des données personnelles, à partir de 15 ans, doit être libre, spécifique éclairé, équivoque. 


Les structures ont donc de nombreuses responsabilités et doivent mettre en place des mesures techniques (logiciel, etc.) et organisationnelles pour s’assurer et prouver que le RGPD est respecté. Elles doivent pouvoir garantir un niveau de sécurité adapté aux données traitées. Si les données gérées sont sensibles, les mesures de protection doivent être élevées. Les structures ont 48h pour informer la CNIL en cas de pertes ou de vols des données. 

Bien sûr, les enjeux ne sont pas les mêmes entre une bibliothèques et Google, et ne sont donc pas soumis au même degré d’exigence. 

 

Pour savoir si votre structure respecte le RGPD, il faut se référer au DPO, le Délégué à la Protection des Données, présent dans chaque collectivité, qui est chargé de mettre en place un registre de traitement. 

 

Pour aller plus loin :