Aller au contenu
Epopia/ Politique de confidentialité

Politique de confidentialité

RGPD (UE) 2016/679Loi belge 30/07/2018ePrivacy · Art. 129 LCE
Dernière mise à jour : 31 mai 2026 · En vigueur dès publication · Version 1.1
Notre engagement Privacy by Design

Epopia a été conçu dès l'origine avec la protection de la vie privée comme priorité. Les visiteurs de musées utilisent notre service sans créer de compte et de manière entièrement anonyme. Aucune donnée personnelle n'est requise pour accéder à l'assistant.

◉ CE QUE NOUS NE FAISONS JAMAIS
Vendre vos données à des tiers
Utiliser vos données pour entraîner des modèles d'IA
Établir des profils publicitaires ou comportementaux
Géolocaliser les visiteurs
Utiliser des cookies publicitaires ou de retargeting
Croiser vos données avec des bases tierces
01

Responsable du traitement

ChampInformation
DénominationEpopia
Siège socialBruxelles, Belgique
Email de contactepopiabxl@gmail.com
Droit applicableDroit belge — Loi du 30 juillet 2018 + RGPD

En sa qualité de responsable du traitement au sens de l'article 4.7 du RGPD, Epopia détermine les finalités et moyens du traitement des données personnelles collectées via ses services. Les informations légales complètes (forme juridique, numéro d'entreprise BCE, directeur de publication) figurent dans les mentions légales.

02

Périmètre d'application

Cette politique s'applique à l'ensemble des services proposés par Epopia :

2.1 — Service visiteur

Assistant accessible par QR code dans les espaces partenaires. Aucune inscription requise, sessions entièrement anonymes.

2.2 — Interface gestionnaire

Espace réservé aux musées partenaires, accessible par authentification sécurisée (email et mot de passe). Les gestionnaires sont des professionnels en relation contractuelle B2B avec Epopia.

2.3 — Site institutionnel et formulaire de contact

Site public destiné aux prospects, avec formulaire de contact soumis à consentement explicite.

03

Données collectées & finalités

3.1 — Visiteurs (anonymes)

◉ Aucune donnée personnelle collectée pour les visiteurs

Les visiteurs sont identifiés par un identifiant de session anonyme, généré aléatoirement, sans lien avec leur identité réelle. Aucune adresse IP, aucun email, aucun nom, aucune donnée biométrique ou de localisation ne sont collectés.

DonnéeNatureFinalité
Identifiant de sessionTechnique — anonymeContinuité de session, statistiques agrégées
Questions posées à l'assistantContenu — anonymeGénération de la réponse, amélioration du service
Langue détectéePréférence — anonymeRéponse dans la langue de l'utilisateur
Mode de visitePréférence — anonymeAdaptation du ton (enfant, curieux, expert)
Feedback (👍/👎)Comportement — anonymeAmélioration de la qualité des réponses

3.2 — Gestionnaires de musées (professionnels)

DonnéeFinalitéObligatoire
Email professionnelAuthentification, communications de serviceOui
Mot de passe (chiffré)Sécurité du compteOui
Journaux d'activitéTraçabilité, sécurité, auditOui
Documents téléversésAlimentation de l'assistant du musée concernéSelon usage

3.3 — Prospects (formulaire de contact)

DonnéeFinalitéBase légale
Nom, email, organisationTraitement de la demandeConsentement
Message libreRéponse contextualiséeConsentement
04

Base légale des traitements

TraitementBase légale (Art. 6 RGPD)Détail
Session visiteur anonymeIntérêt légitime (Art. 6.1.f)Service d'aide à la visite, sans impact sur les droits individuels
Mesure d'audience (anonymisée)Consentement (Art. 6.1.a)Activée uniquement après acceptation de la bannière cookies
Compte gestionnaireExécution du contrat (Art. 6.1.b)Nécessaire à la fourniture du service
Journaux techniquesIntérêt légitime (Art. 6.1.f)Sécurité, débogage, qualité de service
Formulaire de contactConsentement (Art. 6.1.a)Traitement de la demande commerciale
05

Durée de conservation

DonnéeDuréeJustification
Identifiant de session visiteurDurée de la visite (expiration auto)Continuité de la conversation en cours
Échanges anonymisés90 jours maximumAmélioration du service, puis suppression définitive
Journaux techniques30 joursDébogage et obligation de sécurité, puis suppression automatique
Mesures d'audience (si consenties)12 moisStatistiques d'usage agrégées
Compte gestionnaireDurée du contrat + 3 ansObligations comptables et légales
Documents téléversés par le muséeDurée du contrat + 6 moisSuppression sur demande ou en fin de contrat
Consentement cookies12 moisMaximum légal RGPD/ePrivacy
06

Droits des personnes concernées

Conformément au RGPD (UE) 2016/679, vous disposez des droits suivants. Pour les exercer : epopiabxl@gmail.com

COMMENT EXERCER VOS DROITS EN 3 ÉTAPES
1
Envoyez votre demande
Email à epopiabxl@gmail.com en précisant le droit invoqué
2
Nous vous identifions
Vérification simple par email — aucun document d'identité requis pour les visiteurs anonymes
3
Réponse sous 30 jours
Action effectuée + confirmation écrite (Art. 12 RGPD)
Droit d'accèsArt. 15 RGPD

Obtenir une copie de vos données personnelles. Pour les visiteurs anonymes, aucune donnée personnelle n'est stockée.

Droit de rectificationArt. 16 RGPD

Corriger des données inexactes ou incomplètes (applicable aux gestionnaires).

Droit à l'effacementArt. 17 RGPD

Demander la suppression de vos données. Les sessions visiteur expirent automatiquement.

Droit à la limitationArt. 18 RGPD

Suspendre temporairement le traitement de vos données pendant une contestation.

Droit à la portabilitéArt. 20 RGPD

Recevoir vos données dans un format structuré et lisible par machine.

Droit d'oppositionArt. 21 RGPD

Vous opposer au traitement basé sur l'intérêt légitime. Refus des cookies analytiques via la bannière.

Retrait du consentementArt. 7 RGPD

Retirer votre consentement à tout moment via le lien « Gérer mes cookies » dans le pied de page, sans conséquence sur les services.

Délai de réponse : Epopia s'engage à répondre à toute demande d'exercice de droits dans un délai de 30 jours (Art. 12 RGPD). En cas de demande complexe, ce délai peut être étendu de 2 mois avec notification préalable.

07

Cookies & traceurs

◉ CADRE LÉGAL APPLICABLE

L'utilisation de cookies sur Epopia est conforme à l'article 129 de la loi du 13 juin 2005 relative aux communications électroniques (LCE), qui transpose la directive ePrivacy 2002/58/CE en droit belge, ainsi qu'aux recommandations de l'Autorité de protection des données (APD/GBA).

7.1 — Catégories de cookies utilisés

CatégorieFinalitéDuréeConsentement (Art. 129 LCE)
Strictement nécessairesContinuité de la session visiteur, sécurité du formulaire de connexion, mémorisation du choix de consentementSession à 12 moisNon requis (exception légale)
Mesure d'audience anonymiséeStatistiques d'usage agrégées (pages, durée, parcours) — aucune donnée identifiante13 mois maximumRequis (opt-in)
PréférencesLangue choisie, mode de visite (Enfant/Curieux/Expert)12 moisNon requis (essentiel à l'usage)
Cookies publicitaires / tiersAucun cookie publicitaire ni de retargeting n'est déposéSans objet

7.2 — Détail des cookies déposés

Finalité du cookieÉmetteurTypeDurée
Mémorisation de votre choix de consentementEpopia (1ère partie)Essentiel12 mois
Continuité de votre session de visite (anonyme)Epopia (1ère partie)Essentiel30 minutes
Mémorisation de la langue d'affichageEpopia (1ère partie)Préférence12 mois
Mémorisation du mode de visite (Enfant / Curieux / Expert)Epopia (1ère partie)Préférence12 mois
Mémorisation de la langue de traduction automatiqueService de traductionPréférence12 mois
Mesure d'audience anonymisée — active uniquement après consentementOutil de mesure d'audience (UE)Audience13 mois
Maintien de la connexion des musées partenairesService d'authentificationEssentielLe temps de la session

Ce tableau est mis à jour à chaque ajout ou suppression de cookie. Aucun cookie n'identifie un visiteur de manière nominative.

7.3 — Comment gérer vos préférences

Vous disposez de plusieurs moyens pour gérer vos préférences à tout moment :

  • Via le lien « Gérer mes cookies » en pied de page (réaffiche la bannière)
  • Via les paramètres de votre navigateur (suppression, blocage par catégorie)
  • Via les modules complémentaires anti-traceurs de votre choix

Le refus des cookies d'audience n'affecte en rien votre accès au service ni les fonctionnalités proposées.

08

Transferts hors UE

Epopia privilégie systématiquement les sous-traitants hébergés dans l'Union européenne. Lorsque certains traitements ponctuels (notamment les modèles d'IA) impliquent un transfert hors UE, ils sont encadrés par les garanties prévues par le RGPD :

  • Clauses Contractuelles Types (SCCs) approuvées par la Commission européenne
  • Accords de traitement (DPA) signés avec chaque sous-traitant
  • Minimisation : seules les données strictement nécessaires sont transférées, sans stockage durable hors UE

Les données des visiteurs (identifiants anonymes, questions) ne contiennent aucune donnée à caractère personnel au sens du RGPD. Les transferts éventuels ne concernent donc pas les visiteurs.

09

Sécurité des données

🔐
Communications chiffrées
Protocole HTTPS sur l'intégralité des échanges
🔒
Isolation par client
Cloisonnement strict des données entre musées partenaires
🗝
Mots de passe chiffrés
Aucun mot de passe stocké en clair
📦
Sauvegardes régulières
Rétention conforme aux standards de l'industrie
🛡
Accès techniques protégés
Les clés d'accès aux services sont conservées côté serveur, jamais exposées au visiteur
👁
Supervision continue
Détection d'erreurs et d'anomalies en temps réel
10

Conformité AI Act 2024

◉ SYSTÈME IA À RISQUE LIMITÉ (Titre IV AI Act)

L'assistant Epopia est classé comme système d'intelligence artificielle à risque limitéselon le Règlement (UE) 2024/1689. Les utilisateurs sont clairement informés qu'ils interagissent avec une IA.

Garanties mises en place :

  • L'assistant répond uniquement à partir des documents officiels fournis par le musée concerné
  • En l'absence d'information dans la documentation : réponse standard « Je ne trouve pas cette information dans la documentation de ce musée »
  • Aucun profilage, aucune décision automatisée affectant les droits des visiteurs
  • Aucune donnée de visiteur n'est utilisée pour entraîner des modèles d'IA tiers
  • Voir la notice d'utilisation de l'IA pour plus de détails
11

Sous-traitants

Epopia fait appel à un nombre limité de sous-traitants techniques pour héberger, exploiter et sécuriser le service. Tous sont liés par un accord de traitement (DPA) conforme à l'article 28 du RGPD.

Catégorie de sous-traitanceLocalisation principaleGaranties
Hébergement applicatif et base de donnéesUnion européenneDPA + chiffrement au repos et en transit
Distribution de contenu (CDN)Réseau européenDPA + données techniques uniquement
Modèles d'intelligence artificielleUE et internationalDPA + SCCs + non-réutilisation pour entraînement
Envoi d'emails transactionnelsUE et internationalDPA + SCCs
Mesure d'audience anonymiséeUnion européenneDPA + données agrégées
Supervision techniqueUE et internationalDPA + données techniques uniquement

La liste nominative et détaillée des sous-traitants (registre Art. 30 RGPD) est disponible sur demande écrite à epopiabxl@gmail.com.

11.1 — Accord de traitement (DPA) pour musées clients

Pour les musées partenaires en relation contractuelle avec Epopia, un Accord de Traitement de Données (DPA)conforme à l'article 28 du RGPD est annexé à chaque contrat. Ce DPA contient :

  • La liste nominative et à jour de l'ensemble des sous-traitants ultérieurs
  • Les engagements de sécurité (Art. 32 RGPD) et de notification d'incident (Art. 33)
  • La procédure de coopération en cas d'exercice de droits par une personne concernée
  • Les conditions de restitution et de suppression des données en fin de contrat

Demande de DPA pour évaluation : epopiabxl@gmail.com

12

Violation de données

En cas de violation de données à caractère personnel, Epopia applique la procédure suivante, conforme aux articles 33 et 34 du RGPD :

  • Dans les 72 heures suivant la prise de connaissance : notification à l'Autorité de Protection des Données belge (APD/GBA) lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes (Art. 33 RGPD)
  • Sans délai injustifié : information directe des personnes concernées si la violation présente un risque élevé pour leurs droits et libertés (Art. 34 RGPD)
  • Documentation interne : tenue d'un registre des violations (Art. 33.5 RGPD) conservé pendant 5 ans
  • Pour les visiteurs anonymes : le risque de violation impactant des données personnelles est quasi-nul, aucune donnée identifiante n'étant stockée

Signalement d'un incident de sécurité : epopiabxl@gmail.com (objet : « INCIDENT SÉCURITÉ »)

13

Modifications de la politique

Epopia se réserve le droit de modifier cette politique pour refléter les évolutions légales ou les changements du service. La date de dernière mise à jour est actualisée en haut de page. En cas de changement substantiel affectant les droits des gestionnaires, une notification par email sera envoyée avec un préavis de 30 jours.

Si la politique change de manière significative, la bannière de consentement cookies est réaffichée pour recueillir un nouveau consentement.

14

Contact & droit de réclamation

📧
NOUS CONTACTER
epopiabxl@gmail.com

Exercice de droits RGPD, question sur cette politique, signalement d'incident de sécurité. Réponse garantie sous 30 jours (Art. 12 RGPD).

⚖️
AUTORITÉ DE CONTRÔLE BELGE
Autorité de Protection des Données (APD/GBA)

Rue de la Presse 35, 1000 Bruxelles
Téléphone : +32 (0)2 274 48 00
Email : contact@apd-gba.be

Introduire une plainte →

Droit de réclamation (Art. 77 RGPD & Art. 32 loi du 30/07/2018) : si vous estimez que le traitement de vos données personnelles n'est pas conforme à la réglementation, vous avez le droit d'introduire une réclamation auprès de l'Autorité de protection des données belge, sans préjudice de tout autre recours administratif ou juridictionnel.

Droit applicable : droit belge · Juridictions compétentes : tribunaux de Bruxelles