"Parmi nos clients, aucun libraire ne nous a sollicités sur les dispositions concernant les données personnelles, mais quelques bibliothèques s’en sont inquiétées", constate Denis Zwirn, P-DG de Numilog, prestataire de service pour la vente et le prêt de livres numériques. L’application dans toute l’Union européenne du Règlement général sur la protection des données (RGPD, N° 2016/679) a été fixée au 25 mai. Sans attendre, le centre régional Normandie Livre & lecture a placé en tête de son mailing de mai une note expliquant à ses interlocuteurs la nécessité de renouveler leur adhésion à sa liste de diffusion, et un lien pour le faire, dans le respect des nouvelles obligations. Le Syndicat national de l’édition et le Syndicat de la librairie française ont publié des recommandations à leurs adhérents. Les bibliothécaires ont assuré une veille active sur le sujet. Au-delà, le RGPD semble peu préoccuper le monde du livre.
Principe de transparence
Même s’ils sont loin d’être des forcenés de la collecte de données personnelles, tous les acteurs du secteur sont concernés par cette disposition adoptée en 2016 sous forme de règlement, ce qui suppose une application totale à la date prévue dans tous les Etats membres. Actuellement examiné par les parlementaires français, le projet de loi relatif à la protection des données personnelles mettra la réglementation française en conformité avec les textes européens sans rien changer sur la date et la nature de leur application.
Conçu pour redonner aux individus un espace de liberté face aux entreprises d’Internet dont le pouvoir repose sur l’accumulation sans limites de données personnelles, parfois très sensibles, ce règlement peut lui-même sembler très intrusif dans la vie d’organisations ou d’entreprises nullement soupçonnables de tels excès. Conscient qu’un sentiment de panique pourrait être exploité en raison de l’ampleur de la tâche, le SLF met en garde contre les "démarchages frauduleux ayant pour but de vendre des services de mise en conformité", relayant un message de la Commission nationale de l’informatique et des libertés (Cnil), qui présente une méthode d’application.
Son principe est la transparence rigoureuse vis-à-vis de l’utilisateur, client final ou professionnel: tout doit lui être expliqué, de l’usage de ses données (nom, adresses mail, postales ou IP, téléphone, etc.), dont la collecte doit répondre aux seuls besoins des services proposés. Ceux-ci peuvent être larges: le profilage (suivi des achats ou des prêts pour des propositions adéquates) n’est pas interdit, mais il doit être clairement expliqué et accepté. La pose de cookies doit aussi être signalée. La durée de conservation des données doit correspondre à celle des services en question, et ces données doivent être fournies, ou supprimées, à la demande des intéressés. Il n’y a plus d’obligation de déclaration à la Cnil, mais toutes les opérations doivent être enregistrées pour prouver la conformité des pratiques en cas de contrôle ou de fuite de données, qui doit être déclarée. La sécurité est primordiale, et les prestataires extra-européens doivent respecter ces dispositions.
Nettoyage des fichiers
Pour la plupart des professionnels du livre, la première démarche consiste à vérifier que leurs prestataires sont en règle. "Nous préparons une convention de sous-traitance garantissant que Numilog sera bien en conformité avec le règlement", indique Denis Zwirn. "Nous adresserons aux librairies un déclaratif à l’attention de leurs clients concernant le recueil de leurs données, conçu pour être complété en fonction des situations", explique Stéphane Michalon, chargé de la question pour tous les services de Tite Live (logiciel de gestion de librairie, et services de vente en ligne Mediaweb et ePagine). L’adaptation au RGPD est aussi un des chantiers de l’année pour les concepteurs de logiciels pour les bibliothèques (1).
"Nous accompagnons nos clients, et nous leur proposons diverses stratégies concernant le recueil de consentement, le nettoyage de fichiers parfois très anciens, peu ou pas du tout suivis et vérifiés, la traçabilité des opérations", détaille Xavier Milon, cofondateur et président de Diffuzia, société de service de relation clients conçue pour les librairies. Le RGPD peut être l’occasion d’un nettoyage longtemps repoussé de ces fichiers clients ("les anciens inscrits qui ne répondent pas à une relance devraient être sortis du listing"), et les nouvelles inscriptions doivent passer par un double accord, "via l’envoi d’un lien au mail qui vient d’être enregistré". Diffuzia liste l’essentiel des questions pratiques sur son site, d’ailleurs exemplaire de la transparence à respecter dans sa page "mentions légales".
Les éditeurs sont bien sûrs concernés, y compris avec leurs auteurs, souligne Arnaud Laudwein, directeur de la sécurité informatique et délégué à la protection des données personnelles d’Hachette Livre. Avec une particularité: la durée de conservation. Elle est calée sur celle du contrat, soit soixante-dix ans après la disparition de l’intéressé selon les clauses les plus répandues.
(1) Voir LH 1163 du 2.3.2018, p. 57-64.