Vos bibliothèques universitaires vous proposent de nombreux services, pour lesquels elles collectent certaines de vos données personnelles, en conformité avec le RGPD-Règlement Général sur la Protection des Données, et la loi Informatique et Libertés.

La nécessité légale du traitement de vos données personnelles est une mission d’intérêt public ; le responsable du traitement est l’Université de Poitiers, représentée par sa Présidente.

Conformément au RGPD et à la loi Informatique et Libertés, cette page vous explique quelles données sont collectées, pour quel usage et combien de temps elles sont conservées. Vous pouvez télécharger les informations contenues sur cette page au format PDF.

Conformément aux articles 49, 50 et 56 de la loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, vous bénéficiez d’un droit individuel d’accès, de rectification et d’opposition, pour des raisons tenant à une situation particulière, sur les informations personnelles vous concernant. Vous disposez également des droits relatifs au sort des données après le décès, conformément à l’article 85 de la loi Informatique et Libertés.
Les demandes sont à transmettre à la déléguée à la protection des données (DPO – Data protection officer), à l’adresse dpo@univ-poitiers.fr.

Vous pouvez aussi demander des précisions sur le recueil et le traitement des données personnelles par l’Université de Poitiers, à cette même adresse.

Si vous estimez que les réponses apportées ne sont pas satisfaisantes, vous disposez du droit d’introduire une réclamation auprès de la CNIL – Commission Nationale de l’Informatique et des Libertés, autorité de contrôle.

Vos bibliothèques universitaires utilisent un logiciel de gestion de bibliothèque (SIGB) dans lequel sont versées l’ensemble des données nécessaires pour constituer les « comptes lecteurs » des étudiants, étudiantes et personnels de l’Université de Poitiers. Ce logiciel, dénommé Alma, est commercialisé par la société ExLibris (sous-traitant de l’Université de Poitiers), selon un modèle SaaS (Software as a Service), c’est-à-dire que les données personnelles des étudiant.e.s, personnels, usagers et usagères inscrit.e.s dans les BU listées ci-dessus sont transmises à la société ExLibris. Les clauses de sous-traitance conformes au RGPD – Règlement général sur la protection des données – sont appliquées. Les données sont hébergées dans l’Union européenne (Pays-Bas, Allemagne).  Les personnels des bibliothèques y ont accès par un accès sécurisé par login et mot de passe personnel. Pour en savoir plus sur la politique de la société ExLibris concernant le respect des données personnelles et le RGPD, veuillez visiter ce site (en anglais).
Les données concernées sont les suivantes: nom, prénom, genre, date de naissance, n° étudiant ou n° de personnel, adresse(s), numéro(s) de téléphone, mail universitaire et alternatif, UFR d’inscription ou service de rattachement, diplôme préparé, année d’étude, mails envoyés de façon automatique par le logiciel (notifications de retard ou de mise à disposition de documents), prêts effectués depuis 1 an, blocages éventuels appliqués et raison de ces blocages, notes d’information nécessaires à la délivrance des services rendus par les bibliothèques.
Les données conservées sont interrogeables par les étudiant.e.s et les personnels à partir du compte lecteur en ligne (odebuplus.univ-poitiers.fr). Il est nécessaire de s’authentifier avec son login et son mot de passe de compte de services en ligne (compte SEL) pour y avoir accès.

Quand un étudiant ou un personnel emprunte un document ou un matériel, cette information est stockée jusqu’au retour du document ou du matériel. Cette information n’est visible que par les personnels des bibliothèques, qui ont interdiction de la dévoiler à une tierce personne, sauf requête réglementaire. Après le retour des documents ou matériels, l’information selon laquelle telle personne a emprunté tel document ou tel matériel est conservée 1 an, et supprimée au bout de ce délai ; en revanche, les informations anonymes relatives au diplôme préparé, à l’UFR d’inscription ou au service de rattachement sont conservées à des fins statistiques, sans limite de durée. On sait par exemple, sans limite de durée, que tel document a été emprunté de telle date à telle date, par un.e étudiant.e de telle année dans tel diplôme, mais sans possibilité de connaître le nom de l’étudiant.e. Ceci est conforme aux préconisations de la CNIL (ex Norme simplifiée 009 relative aux bibliothèques).

Les lecteurs extérieurs à l’Université de Poitiers qui s’inscrivent dans les BU donnent ces mêmes informations aux bibliothécaires, qui les saisissent manuellement dans le logiciel. Ces informations sont envoyées au Système Informatique de l’Université de Poitiers pour activation d’un compte lecteur, qui permet la consultation en ligne de ses prêts et demandes en cours, l’accès aux services fournis par les bibliothèques (demandes en ligne, renouvellements…) ainsi que la connexion sur les ordinateurs publics des bibliothèques universitaires.

Les comptes lecteur stockés dans le logiciel de bibliothèque sont supprimés après 3 ans d’inactivité dans le logiciel, ou 3 ans après la date de sortie de l’Université de Poitiers.
L’emprunt des documents nécessite l’utilisation de la carte multiservice, étudiant.e ou personnel, qui est une carte à puce lue sur une platine. Les cartes et les platines sont fournies par la société Horoquartz.

Concernant les matériels empruntés susceptibles de contenir des documents appartenant aux usagers et usagères (tablettes, liseuses, clefs USB, disques durs externes, dictaphones…), ils sont réinitialisés à chaque retour par les bibliothécaires.

La réservation puis l’emprunt d’un ordinateur nécessitent l’utilisation d’une application développée et installée en local sur une machine de l’Université de Poitiers. La réservation nécessite une authentification avec le compte SEL.

L’application enregistre l’identité de l’emprunteur.se, le type de machine emprunté, le guichet d’emprunt et la durée de l’emprunt. L’application est en cours de mise à jour de façon à gérer automatiquement la durée de conservation, qui est de 3 ans. Par ailleurs, les bibliothécaires conservent au format papier une copie d’une pièce d’identité et d’une attestation d’assurance de la personne emprunteuse. Ces documents sont conservés 3 ans après le dernier emprunt, à titre de pièces justificatives en cas de procédure et pour simplifier les emprunts successifs durant l’ensemble des études.
Concernant les documents et informations qui auraient été laissés sur les ordinateurs par les étudiants, ils sont effacés à chaque retour par une réinitialisation effectuée par les bibliothécaires, à partir d’une procédure établie par le service commun informatique I-médias.

Les BU proposent plusieurs sites web:
– bu.univ-poitiers.fr 
– odebuplus.univ-poitiers.fr
– bivup.univ-poitiers.fr
– florilege.edel.univ-poitiers.fr 
– premierssocialismes.edel.univ-poitiers.fr
– coutumiers.edel.univ-poitiers.fr
– cordel.edel.univ-poitiers.fr 
– cibeles.edel.univ-poitiers.fr
– fondspdlc.edel.univ-poitiers.fr
– une-histoire-de-lutopie.edel.univ-poitiers.fr
– etat-irlande.edel.univ-poitiers.fr
– regards-enfance.edel.univ-poitiers.fr
– expo-recits-de-voyage.edel.univ-poitiers.fr
– la-rose-et-limprime.edel.univ-poitiers.fr
– livre-poitoucharentes.org/escales/index.php
– expo-animal-et-imaginaires.edel.univ-poitiers.fr
– theses.univ-poitiers.fr
– petille.univ-poitiers.fr
Les consultations sur ces sites Internet sont analysées statistiquement avec Google Analytics.
Cela signifie que dès que vous consultez l’un de ces sites web, votre adresse IP est enregistrée par Google, ainsi qu’un certain nombre d’informations relatives à votre activité sur le site.
Les bibliothécaires ne conservent aucune donnée personnelle, mais uniquement le nombre de consultations (sessions, téléchargements, vues uniques…) par jour.
Dans le cadre de la mise en application du RGPD, Google Analytics permet l’anonymisation de l’adresse IP, et une durée de conservation des données de 14 mois maximum. La mise à jour du paramétrage des sites web de l’Université de Poitiers selon ces critères est en cours.

Les téléchargement de fichiers effectués sur theses.univ-poitiers.fr et petille.univ-poitiers.fr sont analysés grâce à l’outil Kibana qui est hébergé en local par l’Université de Poitiers. Les logs recueillis qui sont traités dans Kibana, sont auparavant anonymisés également.

Tous les contenus sur ces sites web sont d’accès libre, sauf certains documents sur theses.univ-poitiers.fr et petille.univ-poitiers.fr, qui nécessitent une authentification avec un compte SEL.

Tous ces sites web sont hébergés en local par l’Université de Poitiers, sauf odebuplus.univ-poitiers.fr qui est hébergé par le fournisseur de l’outil de découverte Odébu+, la société Ex Libris. Odebu+ fonctionne grâce à un logiciel dénommé Primo VE.

L’outil de découverte Odébu+, en plus des statistiques fournies par Google Analytics, propose ses propres statistiques, qui contiennent l’adresse IP des usagers. Pour connaître la politique de la société ExLibris, vous pouvez consulter cette page.

Odébu+ est directement relié au système de gestion de bibliothèque Alma, également géré par la société ExLibris, qui contient certaines données personnelles des usagers et usagères des bibliothèques. Odébu+ permet l’authentification avec ses identifiants universitaires, et permet ainsi aux usagères de consulter une partie des données personnelles recueillies (leur compte lecteur: nom(s), informations de contact, prêts et demandes en cours, prêts rendus depuis 1 an, messages enregistrés sur leur compte par les bibliothécaires), et pour certaines d’entre elles, de les modifier (informations de contact). Odébu+ permet aussi la conservation de recherches documentaires ou de références bibliographiques personnelles. Ces recherches et références ne sont visibles que par l’usager ou l’usagère, les bibliothécaires n’y ont pas accès.

Les bases de données, revues en ligne, ebooks etc. payés par le SCD sont mis à la disposition des usagers sous authentification (compte SEL), ou dans les BU sans authentification pour les usagers extérieurs à la communauté universitaire. Cette authentification est gérée par un logiciel de reverse-proxy, EZProxy, fourni par la société OCLC et installé en local sur une machine de l’Université de Poitiers. Pour en savoir plus sur la politique d’OCLC vis-à-vis des données personnelles, vous pouvez consulter cette page.
Les connexions à la documentation en ligne sont enregistrées par les éditeurs de ressources en ligne pour fournir aux clients des statistiques de consultation. Pour en savoir plus sur la politique des éditeurs en matière de données personnelles, vous pouvez consulter leurs pages et conditions d’utilisation.
Par ailleurs, les logs de connexion à la documentation en ligne sont également analysés en local par l’Université de Poitiers grâce au logiciel EZPaarse. Les logs sont anonymisés avant traitement. Après traitement, les analyses issues d’EZPaarse sont injectées dans l’outil de visualisation statistique Kibana, installé en local sur une machine de l’Université de Poitiers. Ces logs anonymes sont conservés sans limite de temps.
Les informations conservées sont, pour chaque action de consultation : le document consulté et son « type » ; le statut de la personne qui le consulte ; son niveau d’étude ; son laboratoire de rattachement ; son UFR de rattachement ; si elle se trouve sur un site de l’Université de Poitiers ou à l’extérieur.
Une partie de ces logs anonymes sont envoyés à la plateforme EZMesure, pour comparaison avec les autres établissements utilisant EZPaarse.
Une fois par an, en fin d’année civile, la liste nominative des utilisateurs de la documentation en ligne payante est éditée afin de pouvoir connaître le nombre d’usagers actifs de la documentation en ligne sur une année. Ce traitement est enregistré au registre des activités de traitement de l’Université.

Une demande de PEB nécessite l’utilisation d’un formulaire en ligne (développé et hébergé en local sur une machine de l’Université), accessible sur authentification (compte SEL ou compte de lecteur extérieur). Ces informations (identité de la personne demandeuse et identification du ou des documents demandés) sont conservées 10 ans. Tout usager peut demander à tout moment un relevé de ses demandes.
Si la transaction est payante et prise en charge par le laboratoire de rattachement de la personne demandeuse, le laboratoire est destinataire des informations suivantes : nom de la personne demandeuse, date de la transaction, type de transaction et montant.
Les équipes du PEB conservent par ailleurs un fichier de type tableur, partagé entre l’ensemble des bibliothécaires traitant des demandes de PEB. Ce fichier contient les informations suivantes :
– nom, prénom et coordonnées postales, téléphoniques et mail de la personne demandeuse
– le cas échéant, laboratoire ou équipe de recherche de rattachement
– identification précise du ou des documents demandés
– prix acquitté pour la délivrance du ou des documents et moyen de paiement.
Ces informations sont conservées jusqu’à 10 ans après la dernière demande effectuée par une personne demandeuse. Ensuite les informations anonymes sont conservées sans limite de durée à des fins statistiques. Ceci est conforme aux préconisations de la CNIL (ex Norme simplifiée 009 relative aux bibliothèques).

Une demande de quitus nécessite l’utilisation d’un formulaire en ligne (développé et hébergé en local sur une machine de l’Université de Poitiers), accessible sur authentification (compte SEL). L’application est en cours de mise à jour de façon à gérer automatiquement la durée de conservation, qui est de 3 ans.

La prise de rendez-vous nécessite l’utilisation d’un formulaire en ligne (développé et hébergé en local sur une machine de l’Université de Poitiers). Les informations recueillies sont le nom, le prénom, la composante de rattachement, le niveau d’étude, le statut, la discipline et le sujet de la demande. Ces informations anonymisées sont conservées à des fins statistiques sans limite de durée, mais l’identité de la personne ayant bénéficié du service n’est pas conservée après la tenue du rendez-vous.

L’utilisation complète des postes informatiques publics des BU nécessite une authentification, avec le compte SEL ou avec le compte de lecteur extérieur.
L’utilisation du wifi « UP » ou « eduroam » au sein des BU nécessite l’authentification avec un compte SEL universitaire.
L’ensemble des données de connexion, sur les postes publics ou sur le wifi (sites visités, durée des consultations…) sont visibles par le service informatique du SCD et de l’Université. Ces données ne peuvent être transmises à des tiers, sauf sur demande explicite des services de police ou des services juridiques.
Ces données, une fois anonymisées, sont susceptibles d’être transmises à des équipes de recherche.
Les données de connexion sont conservées 1 an maximum. Elles sont exploitées pour contrôle de l’utilisation des moyens mis à disposition, détection d’anomalies, et statistiques, dans les trois premiers mois suivant l’enregistrement, conformément à la politique de gestion des traces informatiques de l’Université de Poitiers (pour les analyses nécessitant un historique, elles sont anonymisées). Elles peuvent être remises à des tiers autorisés émettant des requêtes réglementaires dans le cadre de procédures prévues et encadrées par la loi.
Ces informations sont valables également pour l’utilisation de la table tactile, matériel situé dans la Ruche, relié à un réseau wifi spécifique « Shariing », ainsi que pour l’utilisation de l’écran « Kramer » collaboratif disponible en salle de travail en groupe à la BU Sciences.

L’impression à partir des copieurs mis à la disposition du public des BU nécessite une authentification sur une platine fournie par la société Horoquartz, avec une carte multiservice également fournie par la société Horoquartz. Le paiement des photocopies et des impressions se fait, pour les étudiant.e.s et les personnels, avec un compte Izly. Les usagers des BU non membres de la communauté universitaire peuvent régler leurs photocopies et impressions par chèque. Ils s’authentifient sur la platine en tapant un login/mot de passe fourni par les bibliothécaires à l’accueil.
La gestion des impressions et photocopies se fait avec le logiciel Gespage, fourni par la société Cartadis. Le logiciel est installé en local sur une machine de l’Université de Poitiers. Pour en savoir plus sur Gespage et le RGPD, consultez cette page.
Gespage enregistre l’ensemble des photocopies et impressions réalisées par les utilisateurs, avec l’identité de ces derniers. Ces informations sont conservées 120 jours. Les impressions en attente non lancées sont supprimées au bout de 72 heures. Les copieurs publics sont fournis par la société Sfere.

Les BU sont présentes sur les réseaux sociaux et plateforme de blogs suivants : Facebook, Twitter, Flickr, Pinterest, Youtube, WordPress. L’utilisation des données personnelles des utilisateurs par ces plateformes ne dépend ni du SCD ni de l’Université. Pour en savoir plus sur l’utilisation de vos données personnelles, vous pouvez consulter les pages suivantes :
– Facebook
– Twitter
– Flickr
– Pinterest
– Youtube (qui appartient à Google)
– WordPress.

Selon le titre IV de l’arrêté du 25 mai 2016 le SCD est chargé d’assurer le signalement et la diffusion de toutes les thèses soutenues dans l’Université de Poitiers, qui doivent être déposées au format numérique. Ce signalement et cette diffusion se font dans le respect des droits et des obligations des doctorants, qui sont fixés par l’arrêté du 25 mai 2016.
En conséquence, le SCD et I-médias ont mis en place une chaîne de traitement des documents nécessaires à la soutenance, puis à la diffusion de la thèse. Cette chaîne utilise les logiciels libres Nuxeo et ORI-OAI, installés en local sur des serveurs de l’Université. Seuls les personnels habilités dans les scolarités, les écoles doctorales, à I-médias ou au SCD ont la possibilité de consulter les documents gérés par ces logiciels.

Le SCD assure la diffusion des thèses sur le web dans les outils locaux suivants :
– site internet theses.univ-poitiers.fr
– outil de découverte Odébu+

Le SCD assure la diffusion des thèses sur le web dans les outils nationaux suivants :
– catalogue collectif Sudoc sudoc.abes.fr
– moteur de recherche theses.fr
Pour la diffusion des thèses par le Sudoc et theses.fr, le SCD est amené à utiliser l’application Star, développée par l’Agence Bibliographique de l’Enseignement Supérieur (Abes) et installée sur ses serveurs.

D’autre part, les autorités auteur contenant des données personnelles (nom, prénom, dates de naissance, affectations ou responsabilités etc.) sont décrites et diffusées dans le logiciel WiniBW mis à disposition par l’Abes à l’ensemble des bibliothécaires intervenant dans le Sudoc, et diffusées sur le web par l’application IDRef. Pour en savoir plus, voir la page « Données personnelles » d’IDRef. Pour une bonne gestion des thèses et pour répondre aux exigence de l’arrêté du 25 mai 2016, les données et documents sont conservés sans limite de durée.