PRISME France 2030 · Culture & IA

§14 — RGPD et gouvernance des données

Construire le dossierAxe projetDossier

Statut : v1 — juillet 2026

Sources : Vision module webmail §5 · IA fédérée Marty · Souveraineté · Objectif 3 — droits · SPEC webmail RGPD

1. Enjeu

La Plateforme de Ressources et d'Innovation pour les Structures culturelles, la Mutualisation et l'Écosystème (PRISME) traite des données personnelles à chaque étape : adhérent·es en entraînement, artistes en résidence, équipes techniques (CDDU), contacts structures, billetterie, courriels métier, journaux d'audit.

Le Règlement général sur la protection des données (RGPD) n'est pas un appendice technique : c'est la condition de confiance des structures pilotes et du consortium. PRISME combine privacy by design (minimisation, hébergement UE, consentements explicites) et outils opérationnels (registre, export, suppression, DPIA).

2. Responsabilités

RôlePorteurMissions
Responsable de traitementChaque structure utilisatrice (dont La Grainerie pour le site pilote)Finalités · bases légales · information des personnes
Sous-traitant techniqueLa Grainerie / Centre PRISME pour l'hébergement et la maintenance des communsInstructions documentées · sécurité · aide aux droits
Coordination RGPD projetRéférent·e F2030 + appui juriste externe (budget études)Registre modèle · DPIA · clauses sous-traitance
DPOÀ identifier / mutualiser — association sans DPO dédié aujourd'huiAvis sur traitements à risque · lien CNIL

3. Cartographie des traitements PRISME

TraitementDonnéesBase légale (indicatif)OutilMesures
Gestion adhérent·es / entraînementIdentité · contact · cotisationsExécution contrat / intérêt légitimeBilletterie · BaserowAccès restreint · export
Résidences & productionArtistes · technicien·nes · roomingContrat · obligation légale (sécurité)Calendrier · BaserowRétention limitée · archivage
CDDU & paie indirecteHeures · identité proObligation légale · contratFeuille de temps CDDUSéparation des rôles
CRM structuresContacts pro · SIRENIntérêt légitimeBaserow annuaireOpt-out prospection
Billetterie & fréquentationSpectateurs · statsContrat / consentement marketingBIL · fréquentationAnonymisation stats
Webmail métierCourriels · PJExécution missionModule webmailChiffrement · quotas · export RGPD
Assistant MartyRequêtes · signaux usageConsentement / intérêt légitimeEdge + logsPas de corps mail en fédération
Apprentissage fédéréAgrégats de modèle uniquementConsentement explicite federatedTrainingMarty fédéréIA fédérée
Observatoire PRISMEDonnées agrégées filièreIntérêt légitime · anonymisationBaserow ObserverPas de ré-identification
Donnée Peut-elle quitter le site / structure ? Règle PRISME
Données identifiantes (nom, mail, tél.) Non sans base légale Hébergement UE · chiffrement · contrat sous-traitance
Corps des courriels / PJ Non en fédération IA Edge local · export RGPD · suppression sur demande
Métriques agrégées observatoire Oui si anonymisées Seuils k-anonymat · pas de croisement re-identifiant

4. Principes RGPD appliqués

PrincipeMise en œuvre PRISME
Licéité & transparenceInformation personnes (adhérent·es, résidences) · politique confidentialité par outil
Limitation des finalitésPas de réutilisation commerciale des données filière
MinimisationChamps Baserow nécessaires · masquage par rôle · pas de copie vers GPAI cloud
ExactitudeWorkflows sync contrôlés · droit de rectification via Calendrier / CRM
Limitation conservationGrille de rétention par type (contrats, logs, mails) — CYB/RGPD-2 M12
Intégrité & confidentialitéCybersécurité · chiffrement · sauvegardes
Responsabilité proactiveRegistre · DPIA · audits

5. Droits des personnes

DroitCanalDélai cibleOutil
Accèscontact@la-grainerie.net · référent structure pilote1 moisExport Baserow · Calendrier
RectificationIdem1 moisInterfaces métier
EffacementDemande écrite · vérification contrats en cours1 moisWorkflow suppression · webmail export-rgpd
Limitation / oppositionCas par cas1 moisDésactivation compte · flags Baserow
PortabilitéFormat structuré (JSON/CSV)1 moisExport RGPD webmail · export tables autorisées
Retrait consentement IA fédéréePanneau consentement MartyImmédiatFlag federatedTraining

Module webmail : route export-rgpd · security rgpd — pas de corps brut dans l'export standard · enrichissement M12 (vision webmail).

6. Analyses d'impact (DPIA / AIPD)

TraitementDPIA requise ?Calendrier
Webmail + sync IMAP multi-comptesOui — volume · profilage limitéM9–M12
Marty assistant (logs + suggestions)OuiM12
Observatoire filière (agrégats)Évaluation M18Si croisement risqué
Fédération Marty (agrégats modèle)Oui (AIPD) — POC site pilote au dépôtM12 (après comité éthique M1)
Billetterie existanteRevueM6 (hors subvention si déjà couvert)

Livrable : modèle DPIA PRISME réutilisable par les structures pilotes (pôle Accompagner).

7. Sous-traitants & transferts

Sous-traitantRôleLocalisationGaranties
Hébergement Serveur OutilsInfra piloteUE (France)Contrat · sauvegardes
Le FilamentInfogérance CHATONS pilotesUEClauses RGPD · LOI
Xavier Schaeffer EIInfogérance actuelle piloteFranceConvention existante
GPAI cloud (si dernier recours F05)Inférence ponctuelleUE de préférencePas d'entraînement · pas de données résidences

Transferts hors UE : évités par défaut · si exception (outil tiers imposé), analyse préalable + clauses contractuelles · alignement déclaration contrôle hors UE.

8. Registre des traitements

ÉlémentContenuStatut
Registre La GrainerieTraitements site pilote + billetterie + RHExistant partiel → harmonisation M6
Registre type PRISMEModèle pour structures pilotes (Baserow + Calendrier + n8n)Livrable RGPD-1 M12
Registre IACas d'usage Marty · fédération · GPAICroisement F05 + AI Act
Mise à jourSemestrielle · comité techniqueDès M6

9. Livrables France 2030 (RGPD)

#LivrableÉchéanceIndicateur
RGPD-1Registre des traitements type PRISME + version GrainerieM121 modèle publié · 1 registre à jour
RGPD-2Grille de rétention des donnéesM12Document + champs Baserow
RGPD-3DPIA webmail + Marty (v1)M122 analyses validées
RGPD-4Clauses sous-traitance modèle (pilotes)M18Kit juridique Accompagner
RGPD-5≥ 3 structures pilotes avec registre actifM24Audit conformité interne
RGPD-6Module formation « RGPD & outils ICC » (1 j)M241 session · supports CC

10. Lien avec l'IA Act et les droits d'auteur

TextePage de référence
RGPDCe document
IA Act (UE) 2024/1689F05 — IA responsable · registre IA
Droits d'auteur & exploitationObjectif 3 — droits
Cybersécurité14 — Cybersécurité

11. Formulation dossier (copier-coller)