PRISME France 2030 · Culture & IA

Présentation détaillée PRISME — §14 Cybersécurité, RGPD et cadre juridique

Construire le dossierAxe projetDossier

Statut : brouillon v1 — à intégrer dans Présentation détaillée projet_PRISME_.docx

Sources : Cybersécurité PRISME · RGPD & gouvernance des données · F05 — IA responsable · Objectif 3 — droits · devis D01 (liste devis)

Ton : institutionnel — posture honnête sur les limites actuelles et le plan de durcissement

Longueur cible : 3–4 pages Word

14. Cybersécurité, RGPD et cadre juridique

14.1 Cybersécurité

Les structures de spectacle vivant manipulent des données sensibles (artistes, technicien·nes, contrats, billetterie, archives). La mutualisation numérique portée par PRISME — n8n, Baserow, Calendrier Grainerie v3, webmail, Marty — augmente la surface d'exposition et la responsabilité du porteur et des structures pilotes.

La Grainerie exploite déjà une stack en production (TRL 6–7) : 48 conteneurs Docker, authentification centralisée (Authentik), sauvegardes chiffrées (Borgmatic), reverse proxy Traefik. Le projet ne se contente pas d'une posture « open source = sécurisé » : il documente une stratégie de cybersécurité en quatre couches :

CoucheContenu
Réseau & périmètreSegmentation Docker · TLS · pare-feu · PRISME-Mesh en mTLS
Identité & accèsOIDC · moindre privilège · MFA cible M12
Applicatif & donnéesValidation webhooks · migration credentials n8n · audit log
OpérationsSauvegardes testées · procédure incident · comité technique mensuel

Menaces prioritaires adressées : accès non autorisé · fuite via webhooks/API · credentials en clair · ransomware · exposition Internet des services IA · supply chain.

Gouvernance : direction technique La Grainerie · référent·e cybersécurité F2030 · comité technique PRISME · infogérance cible Le Filament (CHATONS) pour les déploiements pilotes.

Audit indépendant : budget D01 (24 k€) — pentest et accessibilité des communs, S2 2026.

Livrables cybersécurité :

#LivrableÉchéance
CYB-1Politique de sécurité PRISME (v1)M6
CYB-2Rapport audit / pentest (D01)M9–M12
CYB-3Durcissement site pilote (0 credential en clair)M12
CYB-4Guide déploiement sécurisé edgeM18
CYB-5Revue sécurité PRISME-MeshM24

Détail technique : 14 — Cybersécurité PRISME · Plan directeur n8n (Phase 1 Sécurité).

14.2 RGPD et gouvernance des données

Le Règlement général sur la protection des données (RGPD) conditionne la confiance des structures pilotes. PRISME applique le privacy by design : minimisation des données, hébergement en Union européenne, consentements explicites pour l'IA fédérée, registre des traitements et outils opérationnels (export, suppression, DPIA).

Responsabilités :

RôleMission
Responsable de traitementChaque structure utilisatrice (dont La Grainerie pour le site pilote)
Sous-traitant techniqueLa Grainerie / Centre PRISME pour hébergement et maintenance des communs
Coordination RGPD projetRéférent·e F2030 + juriste externe (budget études)
DPOÀ identifier / mutualiser — association sans DPO dédié aujourd'hui

Traitements principaux : adhérent·es et entraînement · résidences et production · CDDU · CRM structures · billetterie · webmail métier · assistant Marty · apprentissage fédéré (agrégats uniquement, consentement federatedTrainingPOC site pilote au dépôt) · observatoire filière (données agrégées anonymisées).

Règle structurante : les données identifiantes et le contenu des courriels ne quittent pas le site sans base légale ; la fédération Marty n'échange jamais le corps brut des messages — uniquement des agrégats de modèle.

Droits des personnes : accès, rectification, effacement, portabilité — opérationnalisés dans Baserow, Calendrier et module webmail (route export-rgpd) · délai cible 1 mois.

Analyses d'impact (DPIA / AIPD) : webmail + sync IMAP · Marty assistant · fédération Marty (POC site pilote au dépôt — AIPD avant généralisation filière) — livrables M12 (après comité éthique à former M1).

Livrables RGPD :

#LivrableÉchéance
RGPD-1Registre des traitements type PRISMEM12
RGPD-2Grille de rétention des donnéesM12
RGPD-3DPIA webmail + Marty + fédération (v1)M12
RGPD-4Clauses sous-traitance modèle (pilotes)M18
RGPD-5≥ 3 structures pilotes avec registre actifM24

Détail : 14 — RGPD & gouvernance des données · Vision module webmail §5.

14.3 Cadre juridique — IA Act, droits d'auteur, éthique

Au-delà de la cybersécurité et du RGPD, PRISME s'inscrit dans un cadre juridique et éthique exigeant pour l'IA dans les industries culturelles et créatives (ICC).

Texte / référentielApplication PRISME
IA Act (UE) 2024/1689Classification des risques · transparence art. 50 · GPAI en dernier recours · registre IA — voir F05
Recommandation UNESCO (2021)Principes éthiques · domaine Culture
Droit d'auteur & exploitationRegistre consentements · pas d'exploitation sans licence — voir Objectif 3
DNSHPas de préjudice via négligence sécurité sur infra énergivore — lien §13
Comité IA générativeRéférence méthodologique française

Gouvernance IA : comité éthique IA (à former M1 — inexistant au dépôt) · référent·e IA · charte IA responsable ICC · distinction usage opérationnel / labo création pure (L'ÉCRIN).

Distinction opérationnel / labo : en production, relecture humaine, traçabilité, edge local ; en recherche-création, protocoles documentés, consentement artistes, aucun déploiement sans validation future du comité éthique à former.

Bloc court — §14.1 Cybersécurité (espace limité)

Bloc court — §14.2 RGPD (espace limité)

Bloc court — §14.3 Cadre juridique (espace limité)

Bloc unifié — §14 complet (1 paragraphe)

Contrôles avant collage