Contexte

Pour la gestion de l'accès aux bibliothèques et à leurs ressources, l'Université de Namur traite des données à caractère personnel et utilise un système intégré de gestion de bibliothèque (SIGB) mutualisé avec l'UCLouvain et l'Université Saint-Louis Bruxelles (USL-B), aujourd'hui fusionnées.

Personnes concernées par la présente information

Les personnes dont les données sont traitées en qualité de lecteur au sein des bibliothèques de la Bibliothèque Universitaire Moretus Plantin (BUMP) et de la Faculté de droit de l’Université de Namur (les « Bibliothèques ») relèvent des catégories suivantes :

  • Les étudiants inscrits à l’Université de Namur 
  • Les membres du personnel de l’Université de Namur
  • Les lecteurs des bibliothèques de L’UCLouvain et de l’USL-B
  • Les autres personnes qui demandent une inscription et carte d’accès (annuelle ou pour une période limitée) aux Bibliothèques ou aux ressources de celles-ci (prêts interbibliothèques)

Utilisations des données des lecteurs

La création d’un profil lecteur des bibliothèques de l’Université de Namur et génération de la carte d’accès

Finalités et catégories de données traitées. L’Université de Namur utilise les catégories de données suivantes pour la création d’un profil de lecteur des Bibliothèques ouvrant le droit à l’accès aux locaux des Bibliothèques et à l’emprunt d’ouvrages aux conditions définies dans ses règlements :

  • Données d'identification générales (nom, premier prénom et les autres prénoms, photographie, coordonnées …) 
  • Identifiants attribués par l’Université de Namur (eID, numéro de matricule étudiant  …) 
  • Données caractéristiques personnelles (genre, date de naissance…)
  • Catégorie de lecteur (extérieur, étudiant, membre du personnel)
  • Données d’affiliation à une entité ou d’appartenance à un groupe donnant droit à des conditions d’accès particulières (par exemple, étudiant d’un autre établissement d’enseignement supérieur…)
  • Données professionnelles (entité Université de Namur et catégories de membres du personnel (département, faculté, services - pour les membres du personnel…)
  • Données académiques (référence à l'inscription BAC/Orientation pour les étudiants)
  • Données associées à la carte de lecteur (numéro de carte, type de carte, date de début et date de fin de validité, QR code…)
  • Données relatives au statut du lecteur (actif, désactivé, bloqué …) 
  • Données d’identification électroniques

Ces données sont utilisées pour :   

  • La création et gestion des comptes lecteurs des Bibliothèques
  • La création et gestion des cartes 
    • d’accès aux Bibliothèques
    • d’accès à différents services accessoires (photocopie, impression, scan de documents) et la gestion des paiements y relatifs.
    • La gestion des accès à des ressources disponibles en ligne
    • La gestion des accès aux ressources informatiques disponibles dans les Bibliothèques

Base juridique du traitement. L’Université de Namur est investie de missions d’intérêt public en matière d’enseignement, de recherche et de services à la collectivité. Pour les besoins de l’exécution de ces missions, l’Université de Namur traite les données des membres de tous les membres du personnel et de tous les étudiants, ainsi que des personnes externes qui en font la demande pour ouvrir l’accès aux services des Bibliothèques (article 6, (1), e) du RGPD).

Personnes ayant accès à ces données. Les données ne sont accessibles qu’au personnel informatique et au personnel des Bibliothèques pour la délivrance et la création des accès et des cartes. Certaines données sont intégrées dans le SIGB comme expliqué sous le point 2.

Durée de conservation et effacement. Les données sont conservées tant que le lecteur est considéré comme actif et elles sont supprimées au plus tard 12 mois après la fin de l’activité de lecteur. 

La gestion de l’accès aux Bibliothèques de l’Université de Namur, l’UCLouvain et l’USL-B 

L’Université de Namur, l’Université Catholique de Louvain et l’Université Saint-Louis Bruxelles collaborent pour offrir aux usagers bibliothèques des trois institutions l’accès aux locaux de bibliothèques et à la consultation et/ou au prêt des ouvrages de leurs bibliothèques.   

Pour ce qui concerne la gestion technique de l’identification des utilisateurs des ressources, les trois institutions utilisent un système intégré de gestion de bibliothèque (SIGB) commun. Des données des lecteurs de ces trois Universités sont stockées dans ce SIGB. Chacune des Universités peut y accéder et les utiliser lorsqu’un lecteur d’une des deux autres Universités sollicite une carte d’accès ou un prêt.

L’exploitation opérationnelle des données se fait toutefois sous la responsabilité propre de chaque Université (définition de la qualité de lecteur et octroi de ce statut, encodage des prêts et retours, définition des règles du prêt, des procédures de notification des échéances de prêts, gestion de non-restitution des ouvrages et de l’imposition des amendes de retard).

Finalités et catégories de données traitées. Les trois institutions gèrent en commun le SIGB dans ses aspects techniques, en particulier pour ce qui concerne le système de connexion et de sécurisation.

La finalité première du système est la création et la gestion de comptes lecteurs valables dans les trois institutions.

Chacune des universités utilise les données contenues dans le SIGB sous sa propre responsabilité et selon leurs propres règles opérationnelles pour :

  • La gestion des prêts et restitutions d’ouvrages des trois Universités
  • La gestion des amendes de retard

L’exploitation du SIGB par les Universités recouvre :

1. La création d’un compte lecteur. Cela implique l’importation de l’application interne de l’Université vers le SIGB des données suivantes des lecteurs :

  • Données d'identification générales (nom et prénom, coordonnées …) 
  • Identifiant octroyé par l’Université
  • Données caractéristiques personnelles (genre, date de naissance …)
  • Données associées à la carte de lecteur (numéro de carte, date de fin de validité) 
  • Catégorie de lecteur (extérieur, étudiant, membre du personnel)
  • Statut du lecteur
  • Données relatives à la carte de lecteur (numéro de la carte, date d’expiration de la carte)

Ces données peuvent être consultées par le personnel des bibliothèques des trois institutions pour la gestion de l’accès aux ressources de leurs bibliothèques.

La désactivation ou le blocage d’accès d’un lecteur implique la suspension de tout le service bibliothèque dans les trois Universités liées.

A ces données sont associées les données d’emprunt. Le système permet le traitement des données suivantes :

  • La fiche de l’exemplaire de l’ouvrage emprunté
  • La date de début de l’emprunt
  • La date de retour
  • Le delta de retard
  • Le montant de l’amende
  • Le montant de l’amende payé
  • La date du paiement

Ces données peuvent être encodées et consultées par le personnel des bibliothèques des trois institutions pour la gestion des emprunts et de la restitution des ouvrages.

Certaines des données du compte de lecteur sont également accessibles en ligne par le lecteur via des codes d’identification personnels.

Le compte contient les données signalétiques du lecteur suivantes :

  • Le nom et prénom
  • Le genre
  • La date de naissance
  • L’adresse mail principale
  • L’adresse légale (sauf pour les membres du personnel : adresse de l’Université qui est leur employeur)
  • Le numéro de la carte
  • La date d’expiration de la carte
  • Identifiant attribué par l’Université
  • Catégorie (extérieur, étudiant, membre du personnel)

Les données d’emprunts (l’« historique des emprunts ») suivantes :

  • La fiche de l’exemplaire de l’ouvrage emprunté
  • La fiche de l’exemplaire de l’ouvrage réservé
  • La date de début de l’emprunt
  • La date de retour
  • Le montant de l’amende non payé (calculé par le système)
  • La date de retour attendu

2. La création d’un historique des emprunts. Un processus de création d’un historique des emprunts dans lequel les données des lecteurs associées aux emprunts ne sont pas reprises est mis en place automatiquement. Cet historique des emprunts est mis à jour tous les jours et conservé indéfiniment, indépendamment de la conservation ou non d’un historique des emprunts liés à un compte lecteur. Ces données rendues anonymes sont utilisables par les Universités pour la gestion des emprunts (support d’information pour l’adaptation du contenu de l’offre d’exemplaires).

3. La gestion de la sécurité et des connexions au SIGB et comptes lecteurs par ces derniers. La connexion via le web au SIGB se fait via le système d’authentification de chaque Université et moyennant les codes de connexion octroyés au lecteur par celle-ci.

Le SIGB est hébergé sur le territoire européen par l’UCLouvain qui en assure la sécurisation.

Dans ce contexte, les données d’identifications électroniques sont conservées à des fins de gestion de la sécurisation des accès aux données.

Bases juridiques de traitements. Les Etablissements d’enseignement supérieur sont investis d’une mission d’intérêt public de soutien à l’enseignement, à la recherche et aux services à la collectivité (article 6, (1), e du RGPD) C’est dans ce contexte et pour les besoins de l’exécution de cette mission qu’un service bibliothèque est proposé.

Pour les besoins de ces missions interviennent :

  • L’activité de traitement lié à la création des profils de lecteurs et des comptes lecteurs (création et de gestion d’un SIGB)
  • L’activité de traitement des données liées à la gestion des prêts (restitution et imposition des amendes) sous la responsabilité opérationnelle de chacune des Universités

Personnes ayant accès aux données. Les données sont traitées en interne par le personnel des bibliothèques et des services informatiques des universités. 

Délais de conservation et d’effacement. Les périodes de rétention minimum sont définies selon les critères suivants :

  • Les données signalétiques sont conservées tant que le lecteur dispose d’une carte active dans au moins une des Universités
  • Par défaut, l’historique des emprunts est conservé 1 an à partir de la date d’emprunt. Le lecteur peut toutefois, via son compte, activer la suppression de l’historique à tout moment
  • Les données d’emprunts sont conservées tant que l’emprunt n’est pas clôturé par la restitution d’un ouvrage et le paiement du ou des amendes comptabilisées en cas de retard de restitution
  • Un nettoyage du SIGB avec suppression des données est mis en œuvre au moins une fois par an et sont effacées de la base de données, toutes les données des lecteurs : 
    • Pour lesquels il n’y a plus de carte d’accès active et pour lesquels il n’y a pas de prêt non clôturé
    • Pour lesquels il n’y a plus de carte est active et pour lesquels il y a un prêt non clôturé depuis plus de 5 ans à la date où le nettoyage est effectué
    • Les logs d’accès au SIGB sont conservés pendant un an

La gestion du respect du règlement des bibliothèques 

Finalités et catégories de données. L’accès aux locaux et l’utilisation des ressources y associées sont soumis au respect d’un règlement des bibliothèques.

L’Université de Namur est susceptible de traiter les données du lecteur pour acter et faire appliquer les sanctions prévues par ce règlement en cas de manquement à celui-ci.

Les catégories de données traitées dans ce cadre sont les suivantes :

  • Données d’identification personnelle (nom, prénom) 
  • Informations circonstanciées sur la violation constatée (nature des faits, date …)
  • Date et auteur du commentaire relatant l’incident
  • Données relatives à la sanction
  • Statut du lecteur (bloqué ou désactivé)

Base juridique de traitement. L’Université de Namur est investie de missions d’intérêt public en matière d’enseignement, de recherche et de services à la collectivité. Pour les besoins de l’exécution de ces missions, l’Université de Namur traite les données des lecteurs pour gérer le respect du règlement des bibliothèques qui régit les conditions d’accès et d’utilisation des services des Bibliothèques (article 6, (1), e) du RGPD).

Personnes ayant accès aux données. Les données peuvent être accédées par les membres du personnel des Bibliothèques de l’Université de Namur. Lorsque le lecteur est un étudiant de l’Université de Namur, le règlement des bibliothèques prévoit que des comportements contrevenant à ce règlement peuvent être transmis à la Commission de discipline pour une éventuelle sanction.

Délai de conservation et d’effacement. Les données sont conservées un an après leur encodage et sont automatiquement effacées à l’expiration de ce délai. 

La gestion de l’utilisation des ressources informatiques des Bibliothèques

Finalités et catégories de données. L’accès à des ressources, le cas échéant en ligne, peut impliquer le traitement de données des lecteurs lorsqu’ils utilisent les connexions au réseau internet de l’Université ainsi que les équipements informatiques mis à disposition des lecteurs des Bibliothèques. En particulier, l’accès à des ressources de tiers (bases de données de documentation) peut être subordonné à l’utilisation du réseau internet de l’Université de Namur ou d’un serveur Proxy, ce qui peut impliquer le traitement des données par l’Université de Namur dans le processus d’accès à ces services.

L’Université de Namur traite des données pour permettre l’accès à ces ressources et à des fins de vérification des conditions d’utilisation des ressources, d’intervention technique, ainsi que pour faire respecter les Principes déontologiques relatifs à l'utilisation de l'outil informatique à l'Université de Namur.

Les catégories de données traitées dans le cadre sont :

  • Données d’identification personnelle (Nom, prénom)
  • Identifiants attribués par l’Université de Namur (eId)
  • Accès octroyés (Date de l’accès et de la révocation, ressources concernées …) 
  • Données de connexion (Logs …)
  • Données d’authentification (Log in, mots de passe, date de modification de mot de passe, token, …)
  • Adresses IP
  • Données relatives à un incident informatique (Données relatives à des incidents liés à l’utilisation de ces ressources)

Il est à noter que le lecteur se connecte à des services de tiers (bases de données de ressources documentaires) pour lesquels l’Université de Namur a obtenu une licence d’utilisation au bénéfice de ses lecteurs, les exploitants de ces bases de données traitent les données des utilisateurs de leurs services sous leur propre responsabilité et selon leurs propres politiques de traitements de données à caractère personnel.

Base juridique de traitement. L’Université de Namur a un intérêt légitime à pouvoir gérer les accès à ses ressources informatiques et à ses équipements et à pouvoir assurer la sécurité des données qui résultent de l’application des principes de sécurité et de responsabilité prévus par le RGPD (article 6, (1), f du RGPD).

Personnes ayant accès aux données. Les données peuvent être accédées les membres des équipes de support (cellule informatique de la BUMP et Service Informatique Universitaire).

Durées de conservation. Les durées de conservation sont fonction de considérations organisationnelles (pour la gestion des droits d’accès selon le statut du lecteur (membre du personnel, étudiant, externe)), sécuritaires (la détection et remédiation à des incidents) et juridiques (période pendant laquelle l’Université de Namur peut être tenue de rendre des comptes concernant l’accès à des données).

Le contrôle d’accès et de la fréquentation des locaux

Finalités et catégories de données. L’Université de Namur contrôle l’accès des usagers des locaux des Bibliothèques pour gérer l’accès aux locaux et aux ressources des Bibliothèques, d’une part, et assurer la sécurité des biens, des personnes et les lieux, d’autre part. L’Université de Namur utilise également les données d’accès pour communiquer après anonymisation, des indicateurs d’affluence de la fréquentation de ses locaux à Affluences (www.affluences.com).

 Les catégories de données traitées dans le cadre sont :

  • Identifiant de la carte 
  • Date et heure d'entrée et de sortie 
  • Lieu (bibliothèque concernée) 
  • Portique utilisé et type de portique.

Base juridique de traitement. L’Université de Namur a un intérêt légitime à pouvoir gérer les accès à ses locaux et ressources des Bibliothèques et à œuvrer à la sécurité des personnes, des biens et de lieux (article 6, (1), f du RGPD).

Personnes ayant accès aux données. Les données peuvent être accédées par les membres des équipes de support (cellule informatique de la BUMP). Ces données peuvent également être communiquées à des responsables de la sécurité de l’Université de Namur ou des membres du service de gardiennage, aux intervenants (police, autorités judiciaires, …) en cas d’incident impactant la sécurité des personnes (identification de personnes restées dans le bâtiment (en cas d’incendie par exemple) ou en cas d’infraction.

Durée de conservation. Les données sont rendues anonymes 31 jours après la collecte (suppression du lien vers la personne, mais conservation du groupe, cursus et entité).

La réalisation de statistiques

Finalités et catégories de données. L’Université de Namur réalise des statistiques en lien avec l’usage qui est fait de ses infrastructures et ressources. Ces statistiques visent à pouvoir identifier les améliorations qui peuvent être apportées en termes d’offre de services dans tous ses aspects (accessibilité des ressources et locaux, nombre d’exemplaires d’ouvrages, …) ainsi que d’évaluer les besoins en termes d’allocation de ressources (personnel, investissement, …).

Les catégories de données traitées dans ce cadre sont toutes celles traitées par l’Université de Namur. Deux processus d’anonymisation des données sont toutefois mis en place de manière pérenne : les données relatives aux emprunts (historique des emprunts) et les logs d’accès aux locaux.

Base juridique de traitement. L’Université de Namur a, dans le cadre de l’exercice de ses missions, une obligation de mettre en œuvre une démarche qualité (article 6, (1), e du RGPD). C’est dans ce contexte que s’inscrit l’analyse de données pour acquérir une meilleure connaissance de l’activité et des besoins liés aux infrastructures de ses bibliothèques.

Dans certains cas, la réalisation de statistiques s’inscrit dans le cadre d’une coopération entre établissements de l’enseignement supérieur au sein de la Commission des Bibliothèques et Services académiques collectifs de l’ARES (Académie de Recherche et d’Enseignement Supérieur) et au sein de la Bibliothèque Interuniversitaire de la Communauté française de Belgique sous l’égide du Conseil des Recteurs des universités francophones de Belgique (CRef).

Le traitement de données à des fins statistiques repose sur un intérêt légitime de l'Université de Namur à pouvoir remplir ses engagements vis-à-vis de ces organes et, le cas échéant, à permettre la mise en oeuvre de missions et travaux interuniversitaires liés à l'offre de services des bibliothèques des établissements d'enseignement supérieur (article 6, (1), f du RGPD).

Personnes ayant accès aux données. Pour les besoins du processus d’anonymisation, les données sont traitées par le gestionnaire des statistiques de la BUMP.

Le point de contact pour l’exercice des droits des usagers est l’Université qui leur a délivré la carte d’accès ou ouvert un droit d’accès aux ressources documentaires des autres universités.  

La gestion des litiges, plaintes et recouvrements de créances

Finalités et catégories de données. En cas de litiges, de plaintes ou de sommes non réglées, l’Université de Namur est susceptible de traiter les données des lecteurs pour la gestion de son contentieux et le recouvrement de ses créances. 

Les catégories de données traitées sont potentiellement toutes les catégories de données susmentionnées, selon la nature du litige, de la plainte ou la nécessité d’établir l’identité du débiteur et les composantes de sa dette.

Base juridique du traitement. L’Université de Namur a un intérêt légitime à pouvoir gérer son contentieux et le cas échéant faire valoir des droits dans un cadre précontentieux ou contentieux (article 6, (1), f du RGPD).

Personnes ayant accès aux données. Selon le cas, les données peuvent être communiquées aux responsables des Bibliothèques, au service financier, à des conseils ou services de recouvrement externe, et plus généralement aux tiers intervenant dans une procédure judiciaire ou administrative en cas de litige (dégradation, vol, non-restitution d’ouvrages, …).

Durée de conservation. Les données sont conservées jusqu’à la fin de la procédure ou que le contentieux soit clôturé. Dans la mesure où le litige implique des opérations comptables, ces données sont conservées pendant la durée légale de conservation.

Compte lecteur et accès aux données documentaires

Le lecteur qui dispose d’un compte de lecteur actif peut se connecter à celui-ci et accéder à ses données signalétiques et à ses données d’utilisation de ressources documentaires via l’outil Catalogue Université de Namur.

Point de contact avec les Bibliothèques

Le point de contact des lecteurs pour ce qui concerne les droits prévus par le RGPD ou pour toute autre question relative au traitement des données est l’Université qui a délivré la carte de lecteur.

En ce qui concerne l’Université de Namur : 

Pour la BUMP : direction.bump@unamur.be

Pour la bibliothèque de la faculté de droit : virginie.marot@unamur.be

Délégué à la protection des données de l’Université de Namur : dpo@unamur.be