Le Règlement Général de la Protection des Données (RGPD)

Comment appliquer le RGPD en bibliothèque ? Voici une synthèse complète pour vous guider ! 


Source : (Service de la Lecture publique et Service juridique de la FWB)


Le RGPD, règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016, sera d’application en Belgique à partir du 25 mai 2018.

Ce texte s’applique (article 2) « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Les données à caractère personnel sont « toute information se rapportant à une personne physique identifiée ou identifiable » (article 4, 1)) et leur traitement consiste en « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel » (article 4, 2)). Il peut donc notamment s’agir de collecte, d’organisation, de conservation et d’utilisation de ces données.

Il est fortement conseillé à chacun de prendre connaissance du RGPD et d’interroger à ce sujet le service juridique ou la direction du pouvoir organisateur de votre établissement, la présente note n’en étant qu’un récapitulatif ciblé. 

Principes à respecter

De manière générale, les données peuvent être récoltées et traitées mais elles doivent l’être dans un certain cadre et en respectant quelques principes. Quant aux données sensibles (cfr article 9 – cela ne concerne a priori pas les opérateurs de Lecture publique), elles ne peuvent pas être traitées, sauf exceptions.

Les principes à respecter dans le traitement des données à caractère personnel sont listés à l’article 5 :

  • traitement de manière licite, loyale et transparente au regard de la personne concernée ;
  • collecte des données pour des finalités déterminées, explicites et légitimes ;
  • minimisation des données traitées (en lien avec les finalités déterminées) ;
  • données exactes et tenues à jour ;
  • données conservées sous une forme permettant l’identification des personnes concernées pendant la durée nécessaire au regard des finalités du traitement ;
  • sécurité appropriée des données à caractère personnel.

Le traitement est considéré comme licite (article 6) si la personne concernée a notamment donné son consentement ou si le traitement est effectué en exécution d’une obligation légale ou d’une mission d’intérêt public. Le consentement est défini à l’article 4, 11) du RGPD comme étant « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Il est fortement conseillé de demander un consentement écrit tout comme il est nécessaire d’officialiser le plus possible dans un document écrit les éléments utiles au respect des principes précités (données collectées, finalités, devoir d’information, …).

Droits de la personne concernée

Les droits de la personne concernée sont les suivants (articles 13 et suivants) :

  • savoir (ce qui sera fait des données à caractère personnel, quels en sont les destinataires, quel est le responsable du traitement, qui est le délégué à la protection des données, la durée de conservation des données, ses droits) – toute réponse à une question posée à ce sujet par la personne concernée doit, si possible, lui être fournie par écrit ;
  • avoir accès à ses données à caractère personnel, demander leur rectification ou s’opposer à leur traitement et limiter éventuellement ce traitement ;
  • retirer son consentement à leur utilisation lorsque le traitement était fondé sur ce dernier (ce qui impliquerait, en Lecture publique, que cet usager ne pourrait plus emprunter d’ouvrages).

L’article 13 précise les informations qui doivent être données à la personne concernée lorsque des données à caractère personnel lui sont demandées. Doivent notamment lui être fournis : 

  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, du délégué à la protection des données ;
  • les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique de ce traitement ;
  • les destinataires éventuels de ces données ;
  • la durée de conservation des données ;
  • les droits de la personne concernée (notamment d’avoir accès aux données le concernant).

Le responsable du traitement

Le responsable du traitement est responsable du respect des principes précités et doit pouvoir démontrer ce respect (articles 24 et suivants). Il « met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ». C’est lui qui détermine les finalités d’utilisation des données à caractère personnel ainsi que les moyens mis en œuvre pour garantir le respect des différents principes, notamment, par exemple, le « code de conduite » que s’imposerait l’institution (article 40). Son devoir d’information par rapport à la personne concernée est renforcé par rapport à la précédente législation.

Il doit tenir un « registre des activités de traitement » (article 30) qui reprend :

  • le nom et les coordonnées du responsable du traitement et autres personnes qui y sont liées ;
  • les finalités du traitement ;
  • la description des catégories de personnes concernées et des catégories des données à caractère personnel ;
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
  • les délais prévus pour l’effacement des données ;
  • une description des mesures de sécurité techniques et organisationnelles.

Il coopère avec l’autorité de contrôle. En matière de Lecture publique, le responsable du traitement sera juridiquement le pouvoir organisateur en charge d’une bibliothèque ou d’un centre culturel.

Le délégué à la protection des données

Le délégué à la protection des données ne doit pas être désigné dans tous les cas. L’article 37 précise les cas dans lesquels il doit être désigné, entre autres quand le traitement est effectué par une autorité publique ou un organisme public -> les Communes et Provinces doivent désigner un tel délégué mais pas uniquement pour les services rendus par la bibliothèque (cela concerne l’ensemble des services qui traitent des données à caractère personnel). En conséquence, il ne semble pas que le bibliothécaire doive être désigné comme délégué, cela sera plutôt un membre du personnel de l’administration centrale, tout au plus le bibliothécaire pourrait-il être désigné comme correspondant du DPO.

Les autres cas repris dans l’article 37 n’impliquent pas qu’une asbl gérant une bibliothèque doive désigner un tel délégué. Elle peut cependant le faire (article 37, 4.)

Les missions du délégué à la protection des données sont (article 39) notamment :

  • informer et conseiller ;
  • contrôler le respect du RGPD ;
  • coopérer avec l’autorité de contrôle.

L’autorité de contrôle

L’autorité de contrôle (articles 51 et suivants) n’a pas pour seule mission de sanctionner. Elle est aussi là pour informer et conseiller (cfr notamment l’article 57). Quant aux sanctions qu’elle peut donner, l’amende n’en est qu’une parmi d’autres (article 58) et celle-ci ne sera utilisée qu’en dernier recours. Avant, il y a l’avertissement, le rappel à l’ordre, …

Par ailleurs, l’amende administrative doit être effective, proportionnée et dissuasive (article 83, § 1er).

Vous avez des questions ?