OCLC et le Règlement général sur la protection des données

Article 1 : Objet et objectifs

L'Article 1 présente les objectifs du RGPD, qui incluent la protection des données à caractère personnel et la libre circulation de ces données.

OCLC respecte les libertés et les droits fondamentaux des personnes et a mis en place des protections pour le traitement des données à caractère personnel, y compris celles des membres du personnel et des usagers des bibliothèques. OCLC analyse les transferts de données à la fois à l'intérieur et à l'extérieur de l'UE.

Article 2 : Champ d'application matériel

Le traitement des données à caractère personnel, automatisé en tout ou en partie, peut entrer dans le champ d'application du RGPD en vertu de l'Article 2.

OCLC traite des données à caractère personnel qui peuvent faire partie du champ d'application du traitement décrit dans l'Article 2. Des produits d'OCLC sont utilisés par des bibliothèques pour gérer leurs activités. OCLC reçoit les données à caractère personnel de membres du personnel et d'usagers de bibliothèques.

Article 3 : Champ d'application territorial

L’Article 3 décrit des situations durant lesquelles le RGPD s’applique. Il s’applique aux entreprises possédant un établissement sur le territoire de l’UE et en dehors de l’UE dans le contexte d’activités d’établissements de l’UE. De plus, le RGPD peut s’appliquer à des entreprises ne possédant pas d’établissement dans l’Union européenne lorsqu’elles offrent des biens ou des services à des personnes résidant dans l’Union européenne ou contrôlent le comportement de ces personnes.

Le RGPD s'applique à OCLC. OCLC possède des établissements dans l'UE, notamment notre siège social dans l'UE aux Pays-Bas. OCLC a des activités en dehors de l'UE au service d'établissements de l'UE également soumis au RGPD.

Article 4 : Définitions

L'Article 4 définit 26 termes, notamment « données à caractère personnel », « traitement », « responsable du traitement » et « sous-traitant ».

En règle générale, dans le contexte de la relation entre OCLC et une bibliothèque, la bibliothèque est le responsable du traitement en vertu du RGPD pour le traitement des données à caractère personnel des membres de son personnel et de ses usagers. OCLC est ensuite un sous-traitant pour la bibliothèque en ce qui concerne la fourniture de produits.

Article 5 : Principes relatifs au traitement des données à caractère personnel

L'Article 5 définit les principes du traitement des données, y compris la licéité, la loyauté, la transparence, la limitation des finalités, la minimisation, l'exactitude, la limitation de la conservation, l'intégrité et la confidentialité, et la responsabilité des données.

Généralement, la bibliothèque sera en mesure de satisfaire à ces critères dans ses relations avec ses usagers et les membres de son personnel. Par exemple, la bibliothèque déterminera la nature des données à recueillir auprès de ses usagers afin d'offrir les services de bibliothèque, la base légale de traitement des données, ainsi que la manière de fournir un avis de confidentialité aux usagers afin de mettre en application la transparence concernant l'utilisation des données par la bibliothèque.

Dans de nombreuses situations, toutefois, les produits OCLC peuvent aider une bibliothèque à remplir ses obligations en vertu de ces principes. Par exemple, le produit OCLC applicable peut permettre à la bibliothèque d'afficher un avis de confidentialité rédigé par la bibliothèque.

Article 6 : Licéité du traitement

L'Article 6 fournit les diverses bases légales du traitement des données à caractère personnel, telles que le consentement de la personne concernée ou la nécessité aux fins des intérêts légitimes du responsable du traitement.

En tant que responsable du traitement, la bibliothèques détermine les bases légales du traitement des données à caractère personnel de ses usagers et des membres de son personnel. Le traitement d' OCLC, en tant que responsable du traitement pour la bibliothèque, sera effectué à la demande de la bibliothèque comme décrit dans le contrat en vigueur entre la bibliothèque et OCLC.

Articles 7 et 8 : Conditions applicables au consentement; Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

L'Article 7 décrit les conditions requises pour le consentement lorsque celui-ci constitue la base légale du traitement.

L'Article 8 développe les obligations de consentement présentées dans l'Article  7 en ce qui concerne les enfants.

En tant que responsable du traitement, la bibliothèque est tenue de respecter les dispositions définies aux Articles 7 et 8, le cas échéant, lorsque le consentement constitue la base légale du traitement des données des usagers et des membres du personnel.

Article 9 : Traitement portant sur des catégories particulières de données à caractère personnel

L’Article 9 décrit les données à caractère personnel qu’il est interdit de traiter, sauf exception.

Bien que les bibliothèques déterminent elles-mêmes si elles doivent ou non traiter des catégories spéciales de données à caractère personnel, et à quelles fins, OCLC décourage la collecte et la conservation de telles données dans les produits OCLC par ses clients. La collecte et la conservation de ces données n’est pas nécessaire pour l’utilisation des produits OCLC.

Article 10 : Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

L'Article 10 traite du traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions.

Comme les catégories spéciales de données à caractère personnel décrites dans l'Article 9, ces données à caractère personnel ne sont pas requises pour l'utilisation des produits d'OCLC. OCLC décourage la collecte et la conservation de ces données dans les produits OCLC.

Articles 11 et 12 : Traitement ne nécessitant pas l'identification; Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

L'Article 11 contient les lois relatives à l'identification par le responsable du traitement des personnes concernées, notamment s'agissant des personnes concernées exerçant des droits conférés en vertu du RGPD.

L'Article 12 contient les lois relatives à la fourniture par le responsable du traitement d'informations aux personnes concernées, notamment les délais pour répondre aux demandes des personnes concernées.

En tant que responsable du traitement, la bibliothèque est tenue de se conformer aux Articles 11 et 12 dans le cadre des ses relations avec ses usagers et les membres de son personnel.

OCLC reçoit des demandes des personnes concernées, demande des informations si nécessaire à des fins de validation d'identité et évalue le rôle d'OCLC vis-à-vis de la personne concernée.

Lorsque OCLC est un responsable du traitement, OCLC dispose de processus pour traiter les données conformément aux prescriptions de l'Article 12.

Si OCLC détermine qu'il est un sous-traitant, OCLC indique à la personne concernée de soumettre la demande au responsable au traitement.

Articles 13 et 14 : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée; Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

Les Articles 13 et 14 spécifient les informations à fournir aux personnes concernées.

Lorsqu'OCLC remplit la fonction de responsable du traitement vis-à-vis des personnes concernées, OCLC fournit l'avis approprié. Par exemple, OCLC publie un avis de confidentialité sur OCLC.org.

Vis-à-vis des usagers et des membres du personnel de la bibliothèque, la bibliothèque est le responsable du traitement et doit fournir des avis de confidentialité qui répondent aux exigences des Articles 13 ou 14, le cas échéant. Outre le traitement effectué par OCLC en tant que sous-traitant pour une bibliothèque, les avis d'une bibliothèque devront probablement décrire les autres traitements effectués par la bibliothèque et par d'autres sous-traitants pour la bibliothèque.

Articles 15 à 23 : Droit d'accès de la personne concernée; Droit de rectification; Droit à l'effacement («droit à l'oubli»); Droit à la limitation du traitement; Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement; Droit à la portabilité des données; Droit d'opposition; Décision individuelle automatisée, y compris le profilage

Les Articles 15 à 23 stipulent les lois associées à divers droits des personnes concernées.

En tant que responsable du traitement, la bibliothèque est tenue de respecter les Articles 15 à 23, le cas échéant, dans ses relations avec ses usagers et les membres de son personnel.

OCLC reçoit des demandes des personnes concernées, demande des informations si nécessaire à des fins de validation d'identité et évalue le rôle d'OCLC vis-à-vis de la personne concernée.

Lorsqu'OCLC est un responsable du traitement, OCLC dispose de processus pour traiter les demandes.

Si OCLC détermine qu'il est un sous-traitant, OCLC indique à la personne concernée de soumettre la demande au responsable au traitement.

Article 24 : Responsabilité du responsable du traitement

L'Article 24 répertorie les responsabilités du responsable du traitement des données, y compris l'établissement des mesures techniques et organisationnelles et des politiques appropriées en matière de protection des données.

En tant que responsable du traitement pour les données de ses usagers et des membres de son personnel, la bibliothèque est tenue responsable de la conformité avec l'Article 24.

Article 25 : Protection des données dès la conception et protection des données par défaut

L'Article 25 stipule que les responsables du traitement doivent mettre en œuvre la protection des données, par dessein et par défaut.

En tant que responsable du traitement pour les données de ses usagers et des membres de son personnel, la bibliothèque est tenue responsable de la conformité avec l’Article 24. OCLC a mis en place des fonctionnalités et des projets RGPD officiels et d’autres activités centrées sur ses produits pour aider les bibliothèques à remplir ces obligations. OCLC s’engage à continuer à évaluer ses produits, et à prendre des décisions quant à l’opportunité et la manière de les améliorer du point de vue de la protection des données par dessin et par défaut.

Article 26 : Responsables conjoints du traitement

L'Article 26 traite des dispositions entre responsables conjoints du traitement.

D'une manière générale, OCLC n'est pas un responsable conjoint du traitement avec des bibliothèques. Les bibliothèques sont les responsables du traitement et OCLC est un sous-traitant.

Article 27 : Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union

L'Article 27 traite du champ d'application territorial du RGPD lorsque le responsable du traitement ou le sous-traitant ne sont pas établis dans l'Union européenne. Lorsqu'ils ne sont pas établis dans l'Union européenne, le responsable du traitement ou le sous-traitant doivent désigner un représentant physiquement établi dans l'Union européenne.

OCLC possède plusieurs établissements dans l'Union européenne et notre siège social européen est situé aux Pays-Bas.

Article 28 : Sous-traitant

L'Article 28 stipule les obligations à la fois des responsables du traitement et des sous-traitants. L'Article 28 traite en détail de l'établissement de contrats pour régir le traitement par le responsable du traitement et l'établissement de contrats par le responsable du traitement lors de l'engagement d'autres responsables du traitement.

En tant que responsable du traitement pour des bibliothèques, OCLC a élaboré des contrats de traitement de données que les bibliothèques doivent exécuter pour répondre aux exigences de l'Article 28. Ces contrats sont disponibles en plusieurs langues. De plus, OCLC a élaboré des contrats de sous-traitants à signer lorsque des sous-traitants sont engagés par OCLC.

Article 29 : Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant

L'Article 29 traite du traitement par des sous-traitants. Les sous-traitants ne peuvent pas traiter les données à caractère personnel, excepté sur instruction du responsable du traitement.

Les contrats décrits ci-dessus dans l'Article 28 fournissent les instructions de la bibliothèque, en tant que responsable du traitement, à OCLC pour le traitement des données à caractère personnel.

Article  30 : Registre des activités de traitement

L'Article 30 stipule une exigence de tenue de registre en ce qui concerne le traitement des données à caractère personnel. Les responsables du traitement des données et les sous-traitants doivent tenir des registres et mettre ceux-ci à la disposition de l'autorité de contrôle sur demande.

OCLC a créé et tient à jour des registres des activités de traitement.

Article 31 : Coopération avec l'autorité de contrôle

L'Article 31 exige que les responsables du traitement et les sous-traitants coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions.

OCLC coopérera avec l'autorité de contrôle, à la demande de celle-ci.

Article 32 : Sécurité du traitement

L'Article 32 stipule les obligations pour les responsables du traitement et les sous-traitants de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité approprié.

OCLC a mis en œuvre des mesures techniques et organisationnelles. Ces mesures sont décrites dans les contrats requis par l'Article 28. Des informations supplémentaires sur la sécurité d'OCLC sont également disponibles sur notre site Web.

Articles 33 et 34 : Notification à l'autorité de contrôle d'une violation de données à caractère personnel; Communication à la personne concernée d'une violation de données à caractère personnel

Les Articles 33 et 34 contiennent les obligations des responsables du traitement et des sous-traitants en matière de communication d'une violation de données à caractère personnel.

En tant que responsable du traitement, OCLC communiquera à la bibliothèque concernée toute violation de données à caractères personnel la concernant en vertu de l'Article 33. Cette communication sera effectuée dans les meilleurs délais après qu'OCLC aura pris connaissance d'une telle violation de données à caractère personnel. OCLC examine les incidents rapidement et tient à jour une base de données des coordonnées des bibliothèques afin de garantir que les communications puissent être effectuées dans les meilleurs délais. En ce qui concerne l'indisponibilité, OCLC encourage également les bibliothèques à consulter nos Alertes système sur notre site Web.

Les bibliothèques, en tant que responsables du traitement, devront déterminer s'il convient de communiquer la violation de données à caractère personnel à l'autorité de contrôle et à la personne concernée.

Articles 35 et 36 : Analyse d'impact relative à la protection des données; Consultation préalable

Les articles 35 et 36 contiennent les obligations pour les responsables du traitement, dans certaines circonstances, d'effectuer une analyse d'impact relative à la protection des données et de demander conseil aux autorités de contrôle.

Ces obligations concernent les responsables du traitement; par conséquent elles s'appliquent aux bibliothèques. En règle générale, OCLC est un sous-traitant pour les bibliothèques.

Dans les cas où OCLC est tenu d'effectuer une analyse d'impact relative à la protection des données en vertu du RGPD, OCLC a établi des processus pour réaliser une telle analyse.

Article 37 : Désignation du délégué à la protection des données

L'Article 37 décrit les cas dans lesquels les responsables du traitement et les sous-traitants doivent désigner des délégués à la protection des données, notamment la possibilité pour un groupe d'entreprises de désigner un seul délégué à la protection des données. Le délégué à la protection des données doit être désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données.

OCLC a désigné un délégué à la protection des données pour ses divers affiliés, en tant que groupe d’entreprises.

Articles 38 et 39 : Fonction du délégué à la protection des données; Missions du délégué à la protection des données

Les Articles 38 et 39 décrivent les circonstances dans lesquelles le délégué à la protection des données est associé aux questions relatives à la protection des données à caractère personnel, l'indépendance de celui-ci et ses missions.

Le délégué à la protection des données d’OCLC a pour fonction de remplir les missions stipulées dans l’Article 39. De plus, OCLC a mis en place un programme international de protection de la vie privée qui assiste le délégué à la protection des données dans l’exercice de ces missions et aide au traitement des problèmes à l’échelle locale, selon les besoins. OCLC s’engage à garantir l’indépendance de son délégué à la protection des données.  

Articles 40 à 43 : Codes de conduite; Suivi des codes de conduite approuvés; Certification; Organismes de certification

Ces Articles traitent de l'encouragement d'associations et d'autres organismes à élaborer et adopter des codes de conduite en lien avec le RGPD.

Actuellement, OCLC n'est pas engagé dans l'élaboration de codes de conduite.

Articles 44 à 49 : Principe général applicable aux transferts; Transferts fondés sur une décision d'adéquation; Transferts moyennant des garanties appropriées; Règles d'entreprise contraignantes; Transferts ou divulgations non autorisés par le droit de l'Union; Dérogations pour des situations particulières

Les Articles 44 à 49 traitent de diverses exigences relatives aux transferts des données à caractère personnel.

Le siège social d’OCLC est situé aux États-Unis. OCLC a des bureaux répartis dans de nombreux pays, notamment des centres de données aux Pays-Bas, aux États-Unis, en Australie et au Canada. Des transferts de données à caractère personnel à partir de l’UE peuvent avoir lieu en fonction du service OCLC utilisé par les clients.

Concernant les transferts qui requièrent des garanties appropriées, ces transferts sont effectués conformément aux clauses standard de protection des données stipulées dans l'Article 46. OCLC exécute les clauses standard de protection des données avec les bibliothèques lors de la signature de contrats en vertu de l'Article 28.

Articles 50 à 78 : Coopération internationale dans le domaine de la protection des données à caractère personnel;Autorité de contrôle; Indépendance; Conditions générales applicables aux membres de l'autorité de contrôle; Règles relatives à l'établissement de l'autorité de contrôle; Compétence; Compétence de l'autorité de contrôle chef de file; Missions; Pouvoirs; Rapports d'activité; Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées; Assistance mutuelle; Opérations conjointes des autorités de contrôle; Mécanisme de contrôle de la cohérence; Avis du comité; Règlement des litiges par le comité; Procédure d'urgence; Échange d'informations; Comité européen de la protection des données; Indépendance; Missions du comité; Rapports; Procédure; Président; Missions du président; Secrétariat; Confidentialité; Droit d'introduire une réclamation auprès d'une autorité de contrôle; Droit à un recours juridictionnel effectif contre une autorité de contrôle

Les articles 50 à 78 contiennent les règles relatives aux États membres, leurs autorités de contrôle et le Comité européen de la protection des données.

Article 79 : Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

L'article 79 décrit le droit des personnes concernées à exercer un recours. Il peut s'agir d'actions judiciaires à l'encontre de responsables du traitement ou de sous-traitants dans la juridiction où ils disposent d'un établissement.

En tant que sous-traitant de bibliothèques, OCLC pourrait être soumis à l'article 79 pour ce qui concerne les membres du personnel et les utilisateurs de bibliothèque. OCLC dispose d'établissements au sein de l'Union européenne où une action judiciaire pourrait être intentée.

Articles 80 et 81 : Représentation des personnes concernées ; Suspension d'une action

Ces articles du RGPD abordent la manière dont les réclamations peuvent être introduites par les personnes concernées, et les conditions de suspension d'une action.

Article 82 : Droit à réparation et responsabilité

L'article 82 décrit la manière dont les personnes concernées peuvent obtenir des responsables du traitement et des sous-traitants réparation du préjudice subi.

Conformément à l'article 82, les membres du personnel et les utilisateurs de bibliothèque pourraient demander réparation directement à OCLC du fait de son statut de sous-traitant. Outre l'article 82, les contrats conclus entre OCLC et les bibliothèques répartissent également les responsabilités entre OCLC et chaque bibliothèque.

Articles 83 et 84 : Conditions générales pour imposer des amendes administratives ; Sanctions

Les articles 83 et 84 contiennent les clauses autorisant les autorités de contrôle et les États membres à évaluer le montant des amendes administratives et autres sanctions.

Si OCLC, en tant que sous-traitant de bibliothèques, venait à enfreindre les clauses du RGPD applicables aux sous-traitants, il pourrait être soumis à des amendes et autres sanctions.

Articles 85 à 90 : Traitement et liberté d'expression et d'information ; Traitement et accès du public aux documents officiels ; Traitement du numéro d'identification national ; Traitement de données dans le cadre des relations de travail ; Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ; Obligations de secret

Les articles 85 à 90 définissent diverses conditions relatives aux droits des États membres, telles que la conciliation du RGPD avec la liberté d'expression et la création par les États membres de règles plus spécifiques en ce qui concerne le traitement des données des employés.

Article 91 : Règles existantes des églises et associations religieuses en matière de protection des données

L'article 91 contient les règles applicables aux églises et associations religieuses.

Cet article ne s'applique pas à OCLC, dans la mesure où nous ne sommes pas une église, ni une association religieuse.

Articles 92 à 99 : Exercise de la délégation ; Comité ; Abrogation de la directive 95/46/CE ; Relation avec la directive 2002/58/CE ; Relation avec les accords conclus antérieurement ; Rapports de la Commission ; Réexamen d'autres actes juridiques de l'Union relatifs à la protection des données ; Entrée en vigueur et application