§14 — RGPD et gouvernance des données
Construire le dossierAxe projetDossier
Glossaire : Glossaire PRISME — première apparition : Règlement général sur la protection des données (RGPD). Volet PICXEL : section 14. Cybersécurité, RGPD et cadre juridique — Cybersécurité PRISME · Brouillon Word §14.
Statut : v1 — juillet 2026
Sources : Vision module webmail §5 · IA fédérée Marty · Souveraineté · Objectif 3 — droits · SPEC webmail RGPD
1. Enjeu
La Plateforme de Ressources et d'Innovation pour les Structures culturelles, la Mutualisation et l'Écosystème (PRISME) traite des données personnelles à chaque étape : adhérent·es en entraînement, artistes en résidence, équipes techniques (CDDU), contacts structures, billetterie, courriels métier, journaux d'audit.
Le Règlement général sur la protection des données (RGPD) n'est pas un appendice technique : c'est la condition de confiance des structures pilotes et du consortium. PRISME combine privacy by design (minimisation, hébergement UE, consentements explicites) et outils opérationnels (registre, export, suppression, DPIA).
2. Responsabilités
| Rôle | Porteur | Missions |
|---|
| Responsable de traitement | Chaque structure utilisatrice (dont La Grainerie pour le site pilote) | Finalités · bases légales · information des personnes |
| Sous-traitant technique | La Grainerie / Centre PRISME pour l'hébergement et la maintenance des communs | Instructions documentées · sécurité · aide aux droits |
| Coordination RGPD projet | Référent·e F2030 + appui juriste externe (budget études) | Registre modèle · DPIA · clauses sous-traitance |
| DPO | À identifier / mutualiser — association sans DPO dédié aujourd'hui | Avis sur traitements à risque · lien CNIL |
Posture honnête : La Grainerie ne prétend pas disposer en interne de l'ensemble des compétences juridiques ; le projet budgéte audits et conseils RGPD (modèle économique — sous-traitance études).
3. Cartographie des traitements PRISME
| Traitement | Données | Base légale (indicatif) | Outil | Mesures |
|---|
| Gestion adhérent·es / entraînement | Identité · contact · cotisations | Exécution contrat / intérêt légitime | Billetterie · Baserow | Accès restreint · export |
| Résidences & production | Artistes · technicien·nes · rooming | Contrat · obligation légale (sécurité) | Calendrier · Baserow | Rétention limitée · archivage |
| CDDU & paie indirecte | Heures · identité pro | Obligation légale · contrat | Feuille de temps CDDU | Séparation des rôles |
| CRM structures | Contacts pro · SIREN | Intérêt légitime | Baserow annuaire | Opt-out prospection |
| Billetterie & fréquentation | Spectateurs · stats | Contrat / consentement marketing | BIL · fréquentation | Anonymisation stats |
| Webmail métier | Courriels · PJ | Exécution mission | Module webmail | Chiffrement · quotas · export RGPD |
| Assistant Marty | Requêtes · signaux usage | Consentement / intérêt légitime | Edge + logs | Pas de corps mail en fédération |
| Apprentissage fédéré | Agrégats de modèle uniquement | Consentement explicite federatedTraining | Marty fédéré | IA fédérée |
| Observatoire PRISME | Données agrégées filière | Intérêt légitime · anonymisation | Baserow Observer | Pas de ré-identification |
Donnée
Peut-elle quitter le site / structure ?
Règle PRISME
Données identifiantes (nom, mail, tél.)
Non sans base légale
Hébergement UE · chiffrement · contrat sous-traitance
Corps des courriels / PJ
Non en fédération IA
Edge local · export RGPD · suppression sur demande
Œuvres / archives numériques
Non sans consentement
Registre consentements · Objectif 3 — droits d'exploitation
Métriques agrégées observatoire
Oui si anonymisées
Seuils k-anonymat · pas de croisement re-identifiant
4. Principes RGPD appliqués
| Principe | Mise en œuvre PRISME |
|---|
| Licéité & transparence | Information personnes (adhérent·es, résidences) · politique confidentialité par outil |
| Limitation des finalités | Pas de réutilisation commerciale des données filière |
| Minimisation | Champs Baserow nécessaires · masquage par rôle · pas de copie vers GPAI cloud |
| Exactitude | Workflows sync contrôlés · droit de rectification via Calendrier / CRM |
| Limitation conservation | Grille de rétention par type (contrats, logs, mails) — CYB/RGPD-2 M12 |
| Intégrité & confidentialité | Cybersécurité · chiffrement · sauvegardes |
| Responsabilité proactive | Registre · DPIA · audits |
5. Droits des personnes
| Droit | Canal | Délai cible | Outil |
|---|
| Accès | contact@la-grainerie.net · référent structure pilote | 1 mois | Export Baserow · Calendrier |
| Rectification | Idem | 1 mois | Interfaces métier |
| Effacement | Demande écrite · vérification contrats en cours | 1 mois | Workflow suppression · webmail export-rgpd |
| Limitation / opposition | Cas par cas | 1 mois | Désactivation compte · flags Baserow |
| Portabilité | Format structuré (JSON/CSV) | 1 mois | Export RGPD webmail · export tables autorisées |
| Retrait consentement IA fédérée | Panneau consentement Marty | Immédiat | Flag federatedTraining |
Module webmail : route export-rgpd · security rgpd — pas de corps brut dans l'export standard · enrichissement M12 (vision webmail).
6. Analyses d'impact (DPIA / AIPD)
| Traitement | DPIA requise ? | Calendrier |
|---|
| Webmail + sync IMAP multi-comptes | Oui — volume · profilage limité | M9–M12 |
| Marty assistant (logs + suggestions) | Oui | M12 |
| Observatoire filière (agrégats) | Évaluation M18 | Si croisement risqué |
| Fédération Marty (agrégats modèle) | Oui (AIPD) — POC site pilote au dépôt | M12 (après comité éthique M1) |
| Billetterie existante | Revue | M6 (hors subvention si déjà couvert) |
Livrable : modèle DPIA PRISME réutilisable par les structures pilotes (pôle Accompagner).
7. Sous-traitants & transferts
| Sous-traitant | Rôle | Localisation | Garanties |
|---|
| Hébergement Serveur Outils | Infra pilote | UE (France) | Contrat · sauvegardes |
| Le Filament | Infogérance CHATONS pilotes | UE | Clauses RGPD · LOI |
| Xavier Schaeffer EI | Infogérance actuelle pilote | France | Convention existante |
| GPAI cloud (si dernier recours F05) | Inférence ponctuelle | UE de préférence | Pas d'entraînement · pas de données résidences |
Transferts hors UE : évités par défaut · si exception (outil tiers imposé), analyse préalable + clauses contractuelles · alignement déclaration contrôle hors UE.
8. Registre des traitements
| Élément | Contenu | Statut |
|---|
| Registre La Grainerie | Traitements site pilote + billetterie + RH | Existant partiel → harmonisation M6 |
| Registre type PRISME | Modèle pour structures pilotes (Baserow + Calendrier + n8n) | Livrable RGPD-1 M12 |
| Registre IA | Cas d'usage Marty · fédération · GPAI | Croisement F05 + AI Act |
| Mise à jour | Semestrielle · comité technique | Dès M6 |
9. Livrables France 2030 (RGPD)
| # | Livrable | Échéance | Indicateur |
|---|
| RGPD-1 | Registre des traitements type PRISME + version Grainerie | M12 | 1 modèle publié · 1 registre à jour |
| RGPD-2 | Grille de rétention des données | M12 | Document + champs Baserow |
| RGPD-3 | DPIA webmail + Marty (v1) | M12 | 2 analyses validées |
| RGPD-4 | Clauses sous-traitance modèle (pilotes) | M18 | Kit juridique Accompagner |
| RGPD-5 | ≥ 3 structures pilotes avec registre actif | M24 | Audit conformité interne |
| RGPD-6 | Module formation « RGPD & outils ICC » (1 j) | M24 | 1 session · supports CC |
10. Lien avec l'IA Act et les droits d'auteur
PRISME traite les données personnelles des équipes, artistes et publics dans une logique de minimisation et d'hébergement souverain (Union européenne). Un registre des traitements et des modèles DPIA sont livrés pour le site pilote et les structures accompagnées ; les droits d'accès, rectification et effacement sont opérationnalisés dans les outils (Baserow, Calendrier, webmail). L'apprentissage fédéré Marty n'utilise que des agrégats, avec consentement explicite — jamais le contenu brut des courriels. Le projet s'appuie sur un juriste externe et un audit sécurité pour tenir un niveau exigible par l'appel France 2030.