Politique de confidentialité
Mise à jour le 10 décembre 2025
La plateforme POP décrit et diffuse des notices scientifiques de biens culturels étudiés ou conservés en France (œuvres d‘art, édifices ou sites, objets ou ensembles mobiliers, photographies).
Qui est le responsable de la plateforme POP ?
Le responsable de traitement est le ministère de la Culture, représenté par le secrétariat général du ministère. La plateforme est portée opérationnellement par l‘ensemble des services de l‘administration centrale qui administrent les bases de données de POP, avec la participation du service du numérique du ministère.
Pourquoi traitons-nous des données à caractère personnel ?
La plateforme POP traite des données à caractère personnel pour :
- Permettre aux utilisateurs d‘accéder et de mettre à jour les données des bases référencées dans POP via la création d‘un compte ;
- S‘assurer du respect des obligations relatives à la protection du droit moral des auteurs ;
- Animer la communauté d‘utilisateurs et améliorer l‘accès et la connaissance du public de la plateforme ouverte du patrimoine ;
- Suivre la politique publique.
Quelles sont les données à caractère personnel que nous traitons ?
La plateforme ouverte du patrimoine traite les données suivantes :
- état civil des auteurs (nom, prénom des auteurs)
- état civil des utilisateurs (nom, prénom)
- coordonnées des utilisateurs (courriel)
- informations d‘ordre professionnel (institution de rattachement des contributeurs)
Qui peut avoir accès aux données ?
Le responsable de traitement s‘engage à ce que les données à caractère personnel soient traitées par :
- Les seules personnes autorisées, pour l‘exercice de leur mission, au sein du ministère de la Culture ;
- Les seules personnes autorisées, pour l‘exercice de leur mission, chez OVH (hébergeur).
Qu‘est-ce qui nous autorise à traiter ces données ?
POP traite des données à caractère personnel pour l‘exécution d‘une mission d‘intérêt public ou relevant de l‘exercice de l‘autorité publique dont est investi le responsable de traitement conformément à l‘article 6-1 e) du RGPD.
Cette mission d‘intérêt public se traduit en pratique par le décret n° 2024-34 du 24 janvier 2024 relatif aux attributions du ministre de la Culture, notamment son article premier.
S‘agissant des données relatives aux auteurs, le responsable de traitement veille au respect d‘une obligation légale au sens de l‘article 6-1, c) du RGPD, posé par l‘article L.121-1 du code de la propriété intellectuelle.
Pendant combien de temps conservons-nous ces données ?
| Catégorie de données à caractère personnel | Durée de conservation |
|---|---|
| État civil des auteurs | Jusqu‘à l‘épuisement de leur droit d‘auteur |
| État civil des utilisateurs | Jusqu‘à la suppression de leur compte et au plus tard dans un délai de 2 ans à compter de la dernière activité |
| Informations d‘ordre professionnel (institution rattachement des utilisateurs professionnels) | Jusqu‘à la suppression de leur compte et au plus tard dans un délai de 2 ans à compter de la dernière activité |
| Coordonnées des utilisateurs (courriel) | Jusqu‘à 2 ans à compter du dernier contact avec la personne |
Droits des personnes concernées
Vous disposez des droits suivants concernant vos données à caractère personnel :
- Droit d‘information et droit d‘accès aux données ;
- Droit de rectification ;
- Droit d‘opposition ;
- Droit à la limitation du traitement de vos données.
Pour toute information ou exercice de vos droits sur les traitements de données personnelles gérés par le ministère, vous pouvez contacter son délégué à la protection des données (DPD) :
- par ce formulaire;
- ou, à l‘adresse mél suivante : delegue-protection-donnees@culture.gouv.fr;
- ou, par courrier à l‘adresse suivante : 182 rue Saint Honoré, 75001 Paris en justifiant de votre identité par tout moyen.
Pour vous aider dans votre démarche, la CNIL a élaboré un modèle de courrier.
Le responsable de traitement s‘engage à vous répondre dans un délai raisonnable qui ne saurait dépasser 1 mois à compter de la réception de votre demande.
Quelles mesures de sécurité mettons-nous en place ?
Nous mettons en place plusieurs mesures pour sécuriser les données :
- Stockage des données en base de données ;
- Cloisonnement des données ;
- Mesures de traçabilité ;
- Observabilité des serveurs ;
- Protection des réseaux ;
- Sauvegarde ;
- Mesures restrictives limitant l‘accès physiques aux données à caractère personnel.
La plateforme POP s‘appuie sur l‘infrastructure de données et l‘offre cloud du ministère de la Culture, jusqu‘en 2027, conformément à la politique SSI ministérielle. Cette homologation s‘appuie sur : une analyse de risque préalable de sécurité, une évaluation du périmètre comme adapté pour l‘hébergement de données publiques ou non sensibles, une validation formelle par le RSSI. L‘Offre s‘appuie directement ou indirectement sur les référentiels suivants : ISO/IEC 27001 (Sécurité de l‘information), ISO/IEC 27017/27018 (Bonnes pratiques cloud / données personnelles) et l‘hébergement en France, portés par OVHCloud.
Pour garantir la sécurité des accès, POP est protégé par un WAF (Web Application Firewall) qui est le point d‘entrée initial de tout trafic à destination de POP. Son rôle est de filtrer le trafic légitime en bloquant tout trafic dit « malveillant », que cela soit des tentatives d‘attaque (DDoS, intrusion, ...) ou indésirable (bot trop intrusif qui nuit aux performances de votre application). Pour des raisons de souveraineté, le choix s‘est porté sur la solution du prestateur Ubika (seul WAF reconnu par l‘ANSSI).
Qui nous aide à traiter vos données à caractère personnel ?
Certaines données sont envoyées à des sous-traitants pour réaliser certaines missions. Le responsable de traitement s‘est assuré de la mise en œuvre par ses sous-traitants de garanties adéquates et du respect de conditions strictes de confidentialité et de sécurité des données.
| Partenaire | Pays destinataire | Traitement réalisé | Garanties |
|---|---|---|---|
| OVH | France | Hébergement des données | https://us.ovhcloud.com/legal/data-processing-agreement/ |
Cookies et traceurs
Un cookie est un fichier déposé sur votre terminal lors de la visite d‘un site. Il a pour but de collecter des informations relatives à votre navigation et de vous adresser des services adaptés à votre terminal (ordinateur, mobile ou tablette).
En application de l‘article 5(3) de la directive 2002/58/CE modifiée concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, transposée à l‘article 82 de la loi n°78-17 du 6 janvier 1978 relative à l‘informatique, aux fichiers et aux libertés, les traceurs ou cookies suivent deux régimes distincts.
- Les cookies strictement nécessaires au service ou ayant pour finalité exclusive de faciliter la communication par voie électronique sont dispensés de consentement préalable au titre de l‘article 82 de la loi n°78-17 du 6 janvier 1978.
- Les cookies n‘étant pas strictement nécessaires au service ou n‘ayant pas pour finalité exclusive de faciliter la communication par voie électronique doivent être consentis par l‘utilisateur.
Ce consentement de la personne concernée pour une ou plusieurs finalités spécifiques constitue une base légale au sens du RGPD et doit être entendu au sens de l‘article 6-1 a) du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l‘égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La plateforme POP utilise audience.communication.gouv.fr, configuré en mode exempté et ne nécessitant pas le recueil de votre consentement, conformément aux recommandations de la CNIL.
Pour en savoir plus, vous pouvez consulter les fiches suivantes proposées par la CNIL :