Vie privée et bibliothèques : “Il vaut mieux former les professionnels”
Les bibliothécaires pensent depuis longtemps leur gestion des données personnelles de leurs usagers : l'inscription et le prêt de documents obligent par exemple à réunir des informations sur les personnes. Mais l'irruption des technologies dans les établissements de prêt et les nouvelles relations aux usagers posent des questions jusqu'à présent inédites. Marion Chovet, pour son mémoire de fin d'étude du diplôme de conservateur, s'est penchée sur ces questions.
Les différentes lois françaises sur la protection de la vie privée et les textes européens et internationaux sur la protection de la vie privée fournissent-ils un corpus suffisant pour les bibliothécaires français ? La profusion de texte complique-t-elle la mise en œuvre d'une politique de protection de la vie privée au sein des bibliothèques ?
Marion Chovet : Les textes juridiques nationaux, européens et internationaux sont suffisants, mais ils sont également complétés par des textes tels que des chartes établies par des associations professionnelles nationales et internationales. Ces chartes sont plus spécifiques au monde des bibliothèques et rappellent les grands principes de la profession. Les bibliothécaires français pourraient aller encore plus loin, et s’inspirer de leurs collègues américains.
Ce n’est pas tant la profusion que l’application du droit, et savoir quelles sont les limites, qui complique la situation. Il vaut mieux former les professionnels à ces questions, et que les services juridiques des collectivités, des universités, mais bien évidemment les DPO [Délégués à la Protection des Données] soient des relais et appuis pour les bibliothécaires. L’enquête menée dans le cadre du mémoire démontre un manque flagrant de formation. Mais l’enquête ayant été menée entre juillet et octobre 2018, soit peu de temps après l’entrée en vigueur du RGPD (mai 2018), on peut espérer que les formations ont eu lieu depuis.
Les textes juridiques peuvent parfois faire l’objet d’interprétation différente selon les établissements : ainsi il existe une contradiction entre le droit français et le droit européen.
En 2014 (CJUE, n° C-293/12, Arrêt de la Cour, Digital Rights Ireland Ltd contre Minister for Communications, Marine and Natural Resources e.a. et Kärntner Landesregierung e.a, 8 avril 2014) et 2016 (CJUE, aff C-203/15, Tele2 Sverige AB c/ Post-och telestyrelsen et aff C-698/15, Secretary of State for the Home Department c/Tom Watson e.a, 21 décembre 2016), la Cour de Justice de l’Union européenne (CJUE) s’est prononcée contre la conservation généralisée des données connexion et invalidé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.
Au sein des bibliothèques, la question de l’identification d’un usager utilisant un ordinateur en libre accès est différemment appréciée. Certains établissements enregistrent nom, prénom et heure de la session (avec numéro du poste), dans le respect de la législation française, d’autres refusent tout enregistrement faisant valoir le principe de la hiérarchie des normes et donc les décisions de la CJUE.
Les pratiques des bibliothécaires français en matière de protection de la vie privée sont-elles homogènes ? Quel contrôle existe en la matière ?
Marion Chovet : Compte tenu de la diversité (taille, publics, etc.) des bibliothèques et de leur fonctionnement, les pratiques ne sont évidemment pas homogènes. Cela peut également tenir à la sensibilité des collègues sur le sujet de la protection de la vie privée.
La CNIL, en tant qu’autorité administrative indépendante a un pouvoir de contrôle et de sanctions en cas de manquement aux obligations du RGPD. Elle peut donc contrôler les organismes à la suite de plaintes qu’elle reçoit, de signalements qui lui sont faits, ou parce qu’elle décide de se saisir d’un cas particulier.
Quel fut l'impact du renforcement des lois antiterroristes en France, ces dernières années, sur la protection de la vie privée par les bibliothécaires français ? Comment les bibliothécaires, en pratique, ont-ils modifié leurs comportements ?
Marion Chovet : N’ayant pas fait une analyse sociologique, je ne sais pas si les comportements ont changé. En 2017, la Gazette des Communes posait la question suivante : « Les bibliothèques risquent-elles d'être instrumentalisées par la lutte anti-terroriste ? », en relayant le communiqué de l’ABF appelant ses adhérents à protéger la vie privée des usagers. Cependant certains collègues ont exprimé des points de vue différents sur ce sujet.
En juin 2018, la revue de l’ABF, Bibliothèque(s) a publié deux points de vue de bibliothécaires sur le sujet : « Devenir bibliothécaire, devenir militante » et « Militant de la liberté ou sentinelle du pacte républicain ? ». Chloé Lailic (directrice de la bibliothèque de l’Insa de Rennes) dans le premier article affirme que les dispositions prises depuis la Loi renseignement et destinées à lutter par la surveillance électronique des communications contre les menaces terroristes sont de vraies menaces pour les libertés, et que leur efficacité pour empêcher tout attentat n’est pas prouvée. Selon elle, les mesures de protection sont en fait des mesures de surveillance et de contrôle.
En contrepoint à cette position, Anna Marcuzzi (directrice des médiathèques de la ville et de l’Eurométropole de Strasbourg) affirme que le bibliothécaire, fonctionnaire et non-militant, peut en effet être confronté à des conflits de valeurs : la protection des données personnelles ou une protection plus large que serait le Pacte républicain.
Les bibliothèques ne peuvent être tenues responsables des agissements de leurs usagers. En cas de problèmes de consultation de sites litigieux, les bibliothécaires ne sont pas compétents, il s’agit du ressort des services de police. Les bibliothécaires ne doivent pas se substituer aux enquêtes de police, mais bien évidemment répondre en cas d’enquête.
Ce débat a mis en lumière des divergences sur le positionnement déontologique des bibliothécaires : entre respect du droit d’un côté et accusation de militantisme de l’autre. L’inspection générale des bibliothèques tiendra un séminaire en 2019 sur les questions de surveillance en bibliothèque.
Les bibliothécaires français font-ils face à une demande croissante des lecteurs en matière de protection des données personnelles ? Comment y répondent-ils ?
Marion Chovet : Dans le cadre de mon mémoire, je n’ai pas sollicité les bibliothécaires au sujet des demandes de la part de leurs lecteurs. La formation aux usagers est une des missions fondamentales des bibliothèques, de lecture publique ou universitaire. Dans un souci d’instauration de lien de confiance, mais aussi d’assurer la défense de droits fondamentaux, les bibliothèques sont nombreuses à proposer des formations (ou actions de sensibilisation) sur la protection de la vie privée à leurs usagers. On note un engagement relativement fort de la profession, et une offre variée de formations adaptées à différents types de publics. On note que les bibliothèques vont au-devant des demandes de leurs usagers.
La sensibilisation, à la protection des données personnelles, se traduit très tôt via le milieu scolaire grâce notamment au CLEMI (Centre de liaison de l'enseignement et des médias d'information) et au DANE (Délégation Académique au Numérique Éducatif). Afin d’attirer un jeune public, le vecteur des Escape games, est un moyen sérieux de former et informer la nouvelle génération. Ainsi, on peut signaler, dans l’académie de Besançon, la création du jeu « Connais-moi, échappe-toi », un jeu d’évasion autour des données personnelles.
S’agissant du milieu universitaire on peut signaler les fiches pratiques rédigées en février 2019 par l’université Paris Lumières, Université Paris Nanterre et l’Université Paris 8 qui répondent aux besoins spécifiques des chercheurs notamment sur le choix de l’anonymisation des données, ou encore en cas de projet de recherche conjointe multipartenaires la nécessité de rédiger une convention prévoyant les responsabilités de chacun en matière de traitement des données personnelles.
Le recours à des prestataires de services ou à des logiciels pour l'accès à des ressources numériques (Adobe Digital Edition, notamment) et la gestion des prêts et métadonnées présente-t-il des risques pour la protection des données et de la vie privée des lecteurs ? Comment s'en prémunir ?
Marion Chovet : Toute externalisation présente un risque. Dans le cadre du RGPD, les sous-traitants sont soumis à un ensemble d'obligations. Les bibliothécaires doivent être particulièrement vigilants lors de la passation des marchés. Et même quand l’offre est gratuite, il faut veiller à l’utilisation des données des lecteurs. Si le fournisseur refuse de préciser l’utilisation notamment commerciale des données personnelles des usagers, il faudra alors renoncer à offrir un tel service.
En pareille situation, l’adage « Si c’est gratuit, c’est vous le produit » pourrait certainement s’appliquer. En effet, une entreprise commerciale ne fait jamais d’offre réellement gratuite ; les données (profil, connexion, consultation, etc.) des utilisateurs pourraient être revendues à d’autres entreprises commerciales. Les bibliothèques peuvent aussi préconiser l’achat de certains logiciels qui garantissent la protection des données de leurs usagers.
S’agissant des critiques sur Adobe Digital Edition, et les manquements à la protection des données (avec la fuite de données de ses utilisateurs), on peut signaler par exemple la politique de la plateforme OpenEdition, qui rend accessible l’ensemble de ses e-books sans aucun DRM. Pour éviter le logiciel Adobe, il existe un nouveau type de DRM, dit allégé. Le logiciel Readium LCP, selon l’analyse faite en 2017 par Thomas Fourmeux, Readium LCP est protecteur des données personnelles des usagers, aucun tiers n’ayant accès aux statistiques et aux données du lecteur. Ce nouveau DRM fait l’objet d’une attention toute particulière de l’ERDLAB et est en passe de devenir un standard international.
Le mémoire de Marion Chovet, intitulé La protection de la vie privée des lecteurs par les bibliothécaires français, est accessible à cette adresse.
Plus d'articles sur le même thème
Autres articles de la rubrique À la loupe
Commenter cet article