Les usagers d’une bibliothèque peuvent-ils/doivent-ils avoir accès à leur propre historique de prêts sur le portail ?
La bibliothèque de l’école privée X, réputée pour son fond d’ouvrages suisses quadrilingues et accessible au public, est encore à l’ère du papier.
A l’occasion de son 50ème anniversaire elle envisage d’enfin passer au numérique.
Son budget est cependant très limité, et elle choisi un logiciel simple et bon marché, envisageant de développer ultérieurement d’autres fonctionnalités. Six mois après son implémentation, elle fait l’objet d’une demande de droit d’accès.
Elle indique au demandeur les données personnelles au format papier détenues sur lui, mais ne peut donner suite à sa demande complémentaire portant sur l’historique des emprunts des six derniers mois, car le logiciel ne le permet pas.
Questionné par le bibliothécaire en chef, le Préposé fédéral confirme que l’historique doit pouvoir être communiqué à la personne concernée qui le demande, mais doit être sécurisé car il permet d’établir un profil de la personnalité. Las, le bibliothécaire constate une fois de plus que le bon marché est toujours trop cher. Il sollicite un budget complémentaire pour pouvoir mettre le logiciel en conformité.
Recommandations
Les informations portant sur des opinions ou activités politiques, religieuses, syndicales et philosophiques sont des données personnelles dites sensibles. Par ailleurs, la corrélation des ces informations avec d’autres données personnelles permet d’établir un profil de la personnalité. Par conséquent l’historique des emprunts en bibliothèques doit être sécurisé et en particulier conservé de manière confidentielle. Par ailleurs, toute personne peut accéder à ses données personnelles, et l’historique des emprunts en fait partie. La création d’un logiciel destiné au traitement de données personnelles doit être envisagée selon le principe de la protection dès la conception et par défaut (Privacy by design and by default), expressément prévu par le RGPD : les principes applicables au traitement des données personnelles doivent pouvoir être mis en œuvre concrètement, et il doit pouvoir être répondu de manière complète aux demandes de droit d’accès.
Principes de base
Art. 4 LPD sécurité, art. 8 LPD Droit d’accès, art. 25 RGPD Protection des données dès la conception et protection des données par défaut
Ressources