Politique de confidentialité
Epopia a été conçu dès l'origine avec la protection de la vie privée comme priorité. Les visiteurs de musées utilisent notre service sans créer de compte et de manière entièrement anonyme. Aucune donnée personnelle n'est requise pour accéder à l'assistant.
Responsable du traitement
| Champ | Information |
|---|---|
| Dénomination | Epopia |
| Siège social | Bruxelles, Belgique |
| Email de contact | epopiabxl@gmail.com |
| Droit applicable | Droit belge — Loi du 30 juillet 2018 + RGPD |
En sa qualité de responsable du traitement au sens de l'article 4.7 du RGPD, Epopia détermine les finalités et moyens du traitement des données personnelles collectées via ses services. Les informations légales complètes (forme juridique, numéro d'entreprise BCE, directeur de publication) figurent dans les mentions légales.
Périmètre d'application
Cette politique s'applique à l'ensemble des services proposés par Epopia :
2.1 — Service visiteur
Assistant accessible par QR code dans les espaces partenaires. Aucune inscription requise, sessions entièrement anonymes.
2.2 — Interface gestionnaire
Espace réservé aux musées partenaires, accessible par authentification sécurisée (email et mot de passe). Les gestionnaires sont des professionnels en relation contractuelle B2B avec Epopia.
2.3 — Site institutionnel et formulaire de contact
Site public destiné aux prospects, avec formulaire de contact soumis à consentement explicite.
Données collectées & finalités
3.1 — Visiteurs (anonymes)
◉ Aucune donnée personnelle collectée pour les visiteurs
Les visiteurs sont identifiés par un identifiant de session anonyme, généré aléatoirement, sans lien avec leur identité réelle. Aucune adresse IP, aucun email, aucun nom, aucune donnée biométrique ou de localisation ne sont collectés.
| Donnée | Nature | Finalité |
|---|---|---|
| Identifiant de session | Technique — anonyme | Continuité de session, statistiques agrégées |
| Questions posées à l'assistant | Contenu — anonyme | Génération de la réponse, amélioration du service |
| Langue détectée | Préférence — anonyme | Réponse dans la langue de l'utilisateur |
| Mode de visite | Préférence — anonyme | Adaptation du ton (enfant, curieux, expert) |
| Feedback (👍/👎) | Comportement — anonyme | Amélioration de la qualité des réponses |
3.2 — Gestionnaires de musées (professionnels)
| Donnée | Finalité | Obligatoire |
|---|---|---|
| Email professionnel | Authentification, communications de service | Oui |
| Mot de passe (chiffré) | Sécurité du compte | Oui |
| Journaux d'activité | Traçabilité, sécurité, audit | Oui |
| Documents téléversés | Alimentation de l'assistant du musée concerné | Selon usage |
3.3 — Prospects (formulaire de contact)
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, email, organisation | Traitement de la demande | Consentement |
| Message libre | Réponse contextualisée | Consentement |
Base légale des traitements
| Traitement | Base légale (Art. 6 RGPD) | Détail |
|---|---|---|
| Session visiteur anonyme | Intérêt légitime (Art. 6.1.f) | Service d'aide à la visite, sans impact sur les droits individuels |
| Mesure d'audience (anonymisée) | Consentement (Art. 6.1.a) | Activée uniquement après acceptation de la bannière cookies |
| Compte gestionnaire | Exécution du contrat (Art. 6.1.b) | Nécessaire à la fourniture du service |
| Journaux techniques | Intérêt légitime (Art. 6.1.f) | Sécurité, débogage, qualité de service |
| Formulaire de contact | Consentement (Art. 6.1.a) | Traitement de la demande commerciale |
Durée de conservation
| Donnée | Durée | Justification |
|---|---|---|
| Identifiant de session visiteur | Durée de la visite (expiration auto) | Continuité de la conversation en cours |
| Échanges anonymisés | 90 jours maximum | Amélioration du service, puis suppression définitive |
| Journaux techniques | 30 jours | Débogage et obligation de sécurité, puis suppression automatique |
| Mesures d'audience (si consenties) | 12 mois | Statistiques d'usage agrégées |
| Compte gestionnaire | Durée du contrat + 3 ans | Obligations comptables et légales |
| Documents téléversés par le musée | Durée du contrat + 6 mois | Suppression sur demande ou en fin de contrat |
| Consentement cookies | 12 mois | Maximum légal RGPD/ePrivacy |
Droits des personnes concernées
Conformément au RGPD (UE) 2016/679, vous disposez des droits suivants. Pour les exercer : epopiabxl@gmail.com
Obtenir une copie de vos données personnelles. Pour les visiteurs anonymes, aucune donnée personnelle n'est stockée.
Corriger des données inexactes ou incomplètes (applicable aux gestionnaires).
Demander la suppression de vos données. Les sessions visiteur expirent automatiquement.
Suspendre temporairement le traitement de vos données pendant une contestation.
Recevoir vos données dans un format structuré et lisible par machine.
Vous opposer au traitement basé sur l'intérêt légitime. Refus des cookies analytiques via la bannière.
Retirer votre consentement à tout moment via le lien « Gérer mes cookies » dans le pied de page, sans conséquence sur les services.
Délai de réponse : Epopia s'engage à répondre à toute demande d'exercice de droits dans un délai de 30 jours (Art. 12 RGPD). En cas de demande complexe, ce délai peut être étendu de 2 mois avec notification préalable.
Transferts hors UE
Epopia privilégie systématiquement les sous-traitants hébergés dans l'Union européenne. Lorsque certains traitements ponctuels (notamment les modèles d'IA) impliquent un transfert hors UE, ils sont encadrés par les garanties prévues par le RGPD :
- Clauses Contractuelles Types (SCCs) approuvées par la Commission européenne
- Accords de traitement (DPA) signés avec chaque sous-traitant
- Minimisation : seules les données strictement nécessaires sont transférées, sans stockage durable hors UE
Les données des visiteurs (identifiants anonymes, questions) ne contiennent aucune donnée à caractère personnel au sens du RGPD. Les transferts éventuels ne concernent donc pas les visiteurs.
Sécurité des données
Conformité AI Act 2024
◉ SYSTÈME IA À RISQUE LIMITÉ (Titre IV AI Act)
L'assistant Epopia est classé comme système d'intelligence artificielle à risque limitéselon le Règlement (UE) 2024/1689. Les utilisateurs sont clairement informés qu'ils interagissent avec une IA.
Garanties mises en place :
- L'assistant répond uniquement à partir des documents officiels fournis par le musée concerné
- En l'absence d'information dans la documentation : réponse standard « Je ne trouve pas cette information dans la documentation de ce musée »
- Aucun profilage, aucune décision automatisée affectant les droits des visiteurs
- Aucune donnée de visiteur n'est utilisée pour entraîner des modèles d'IA tiers
- Voir la notice d'utilisation de l'IA pour plus de détails
Sous-traitants
Epopia fait appel à un nombre limité de sous-traitants techniques pour héberger, exploiter et sécuriser le service. Tous sont liés par un accord de traitement (DPA) conforme à l'article 28 du RGPD.
| Catégorie de sous-traitance | Localisation principale | Garanties |
|---|---|---|
| Hébergement applicatif et base de données | Union européenne | DPA + chiffrement au repos et en transit |
| Distribution de contenu (CDN) | Réseau européen | DPA + données techniques uniquement |
| Modèles d'intelligence artificielle | UE et international | DPA + SCCs + non-réutilisation pour entraînement |
| Envoi d'emails transactionnels | UE et international | DPA + SCCs |
| Mesure d'audience anonymisée | Union européenne | DPA + données agrégées |
| Supervision technique | UE et international | DPA + données techniques uniquement |
La liste nominative et détaillée des sous-traitants (registre Art. 30 RGPD) est disponible sur demande écrite à epopiabxl@gmail.com.
11.1 — Accord de traitement (DPA) pour musées clients
Pour les musées partenaires en relation contractuelle avec Epopia, un Accord de Traitement de Données (DPA)conforme à l'article 28 du RGPD est annexé à chaque contrat. Ce DPA contient :
- La liste nominative et à jour de l'ensemble des sous-traitants ultérieurs
- Les engagements de sécurité (Art. 32 RGPD) et de notification d'incident (Art. 33)
- La procédure de coopération en cas d'exercice de droits par une personne concernée
- Les conditions de restitution et de suppression des données en fin de contrat
Demande de DPA pour évaluation : epopiabxl@gmail.com
Violation de données
En cas de violation de données à caractère personnel, Epopia applique la procédure suivante, conforme aux articles 33 et 34 du RGPD :
- Dans les 72 heures suivant la prise de connaissance : notification à l'Autorité de Protection des Données belge (APD/GBA) lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes (Art. 33 RGPD)
- Sans délai injustifié : information directe des personnes concernées si la violation présente un risque élevé pour leurs droits et libertés (Art. 34 RGPD)
- Documentation interne : tenue d'un registre des violations (Art. 33.5 RGPD) conservé pendant 5 ans
- Pour les visiteurs anonymes : le risque de violation impactant des données personnelles est quasi-nul, aucune donnée identifiante n'étant stockée
Signalement d'un incident de sécurité : epopiabxl@gmail.com (objet : « INCIDENT SÉCURITÉ »)
Modifications de la politique
Epopia se réserve le droit de modifier cette politique pour refléter les évolutions légales ou les changements du service. La date de dernière mise à jour est actualisée en haut de page. En cas de changement substantiel affectant les droits des gestionnaires, une notification par email sera envoyée avec un préavis de 30 jours.
Si la politique change de manière significative, la bannière de consentement cookies est réaffichée pour recueillir un nouveau consentement.
Contact & droit de réclamation
Exercice de droits RGPD, question sur cette politique, signalement d'incident de sécurité. Réponse garantie sous 30 jours (Art. 12 RGPD).
Rue de la Presse 35, 1000 Bruxelles
Téléphone : +32 (0)2 274 48 00
Email : contact@apd-gba.be
Droit de réclamation (Art. 77 RGPD & Art. 32 loi du 30/07/2018) : si vous estimez que le traitement de vos données personnelles n'est pas conforme à la réglementation, vous avez le droit d'introduire une réclamation auprès de l'Autorité de protection des données belge, sans préjudice de tout autre recours administratif ou juridictionnel.
Droit applicable : droit belge · Juridictions compétentes : tribunaux de Bruxelles