Présentation détaillée PRISME — §14 Cybersécurité, RGPD et cadre juridique
Statut : brouillon v1 — à intégrer dans Présentation détaillée projet_PRISME_.docx
Sources : Cybersécurité PRISME · RGPD & gouvernance des données · F05 — IA responsable · Objectif 3 — droits · devis D01 (liste devis)
Ton : institutionnel — posture honnête sur les limites actuelles et le plan de durcissement
Longueur cible : 3–4 pages Word
14. Cybersécurité, RGPD et cadre juridique
14.1 Cybersécurité
Les structures de spectacle vivant manipulent des données sensibles (artistes, technicien·nes, contrats, billetterie, archives). La mutualisation numérique portée par PRISME — n8n, Baserow, Calendrier Grainerie v3, webmail, Marty — augmente la surface d'exposition et la responsabilité du porteur et des structures pilotes.
La Grainerie exploite déjà une stack en production (TRL 6–7) : 48 conteneurs Docker, authentification centralisée (Authentik), sauvegardes chiffrées (Borgmatic), reverse proxy Traefik. Le projet ne se contente pas d'une posture « open source = sécurisé » : il documente une stratégie de cybersécurité en quatre couches :
| Couche | Contenu |
|---|---|
| Réseau & périmètre | Segmentation Docker · TLS · pare-feu · PRISME-Mesh en mTLS |
| Identité & accès | OIDC · moindre privilège · MFA cible M12 |
| Applicatif & données | Validation webhooks · migration credentials n8n · audit log |
| Opérations | Sauvegardes testées · procédure incident · comité technique mensuel |
Menaces prioritaires adressées : accès non autorisé · fuite via webhooks/API · credentials en clair · ransomware · exposition Internet des services IA · supply chain.
Gouvernance : direction technique La Grainerie · référent·e cybersécurité F2030 · comité technique PRISME · infogérance cible Le Filament (CHATONS) pour les déploiements pilotes.
Audit indépendant : budget D01 (24 k€) — pentest et accessibilité des communs, S2 2026.
Livrables cybersécurité :
| # | Livrable | Échéance |
|---|---|---|
| CYB-1 | Politique de sécurité PRISME (v1) | M6 |
| CYB-2 | Rapport audit / pentest (D01) | M9–M12 |
| CYB-3 | Durcissement site pilote (0 credential en clair) | M12 |
| CYB-4 | Guide déploiement sécurisé edge | M18 |
| CYB-5 | Revue sécurité PRISME-Mesh | M24 |
Détail technique : 14 — Cybersécurité PRISME · Plan directeur n8n (Phase 1 Sécurité).
14.2 RGPD et gouvernance des données
Le Règlement général sur la protection des données (RGPD) conditionne la confiance des structures pilotes. PRISME applique le privacy by design : minimisation des données, hébergement en Union européenne, consentements explicites pour l'IA fédérée, registre des traitements et outils opérationnels (export, suppression, DPIA).
Responsabilités :
| Rôle | Mission |
|---|---|
| Responsable de traitement | Chaque structure utilisatrice (dont La Grainerie pour le site pilote) |
| Sous-traitant technique | La Grainerie / Centre PRISME pour hébergement et maintenance des communs |
| Coordination RGPD projet | Référent·e F2030 + juriste externe (budget études) |
| DPO | À identifier / mutualiser — association sans DPO dédié aujourd'hui |
Traitements principaux : adhérent·es et entraînement · résidences et production · CDDU · CRM structures · billetterie · webmail métier · assistant Marty · apprentissage fédéré (agrégats uniquement, consentement federatedTraining — POC site pilote au dépôt) · observatoire filière (données agrégées anonymisées).
Règle structurante : les données identifiantes et le contenu des courriels ne quittent pas le site sans base légale ; la fédération Marty n'échange jamais le corps brut des messages — uniquement des agrégats de modèle.
Droits des personnes : accès, rectification, effacement, portabilité — opérationnalisés dans Baserow, Calendrier et module webmail (route export-rgpd) · délai cible 1 mois.
Analyses d'impact (DPIA / AIPD) : webmail + sync IMAP · Marty assistant · fédération Marty (POC site pilote au dépôt — AIPD avant généralisation filière) — livrables M12 (après comité éthique à former M1).
Livrables RGPD :
| # | Livrable | Échéance |
|---|---|---|
| RGPD-1 | Registre des traitements type PRISME | M12 |
| RGPD-2 | Grille de rétention des données | M12 |
| RGPD-3 | DPIA webmail + Marty + fédération (v1) | M12 |
| RGPD-4 | Clauses sous-traitance modèle (pilotes) | M18 |
| RGPD-5 | ≥ 3 structures pilotes avec registre actif | M24 |
Détail : 14 — RGPD & gouvernance des données · Vision module webmail §5.
14.3 Cadre juridique — IA Act, droits d'auteur, éthique
Au-delà de la cybersécurité et du RGPD, PRISME s'inscrit dans un cadre juridique et éthique exigeant pour l'IA dans les industries culturelles et créatives (ICC).
| Texte / référentiel | Application PRISME |
|---|---|
| IA Act (UE) 2024/1689 | Classification des risques · transparence art. 50 · GPAI en dernier recours · registre IA — voir F05 |
| Recommandation UNESCO (2021) | Principes éthiques · domaine Culture |
| Droit d'auteur & exploitation | Registre consentements · pas d'exploitation sans licence — voir Objectif 3 |
| DNSH | Pas de préjudice via négligence sécurité sur infra énergivore — lien §13 |
| Comité IA générative | Référence méthodologique française |
Gouvernance IA : comité éthique IA (à former M1 — inexistant au dépôt) · référent·e IA · charte IA responsable ICC · distinction usage opérationnel / labo création pure (L'ÉCRIN).
Distinction opérationnel / labo : en production, relecture humaine, traçabilité, edge local ; en recherche-création, protocoles documentés, consentement artistes, aucun déploiement sans validation future du comité éthique à former.