Préambule
La présente politique de confidentialité décrit la manière dont Cité des Arts (association loi 1901, dont le siège social est situé 622 chemin de Fabregas, 83500 La Seyne-sur-Mer, immatriculée sous le numéro SIRET 840 470 843 00011, représentée par Fabrice Lo Piccolo) collecte, utilise et protège vos données personnelles lorsque vous utilisez :
- le site internet accessible à l’adresse https://citedesarts.net ;
- l’application mobile Cité des Arts disponible sur l’App Store (iOS) et Google Play (Android).
Cité des Arts agit en qualité de responsable de traitement au sens du Règlement général sur la protection des données (Règlement UE 2016/679, ci-après « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».
1. Données collectées et finalités
1.1 Sur le site internet citedesarts.net
| Traitement | Données collectées | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|---|
| Formulaire de contact | Nom, prénom, email, message, IP, jeton reCAPTCHA | Intérêt légitime (répondre à la demande) | 3 ans à compter du dernier contact |
| Inscription à la newsletter | Email, date d’inscription, source | Consentement (art. L. 34-5 CPCE) | Jusqu’au retrait du consentement (désinscription) |
| Mesure d’audience (Google Analytics 4) | Identifiant pseudonyme, pages vues, durée, type d’appareil, IP tronquée | Consentement | 14 mois |
| Reciblage publicitaire (Google Ads) | Identifiant pseudonyme, événements de conversion | Consentement | 13 mois |
| Sécurisation anti-spam (reCAPTCHA Enterprise) | IP, signaux comportementaux | Intérêt légitime (sécurité) | 6 mois |
1.2 Sur l’application mobile
Création de compte et authentification
| Donnée | Origine | Finalité | Durée |
|---|---|---|---|
| Email, mot de passe (haché) | Saisie utilisateur | Authentification | Durée de vie du compte |
| Nom, prénom, avatar | Saisie utilisateur ou fournisseur d’identité (Apple, Google, Facebook) | Personnalisation | Durée de vie du compte |
| Jeton JWT (15 min) et refresh token (30 j) | Généré par le serveur, stocké dans expo-secure-store |
Maintien de session | 30 jours glissants |
| Magic link (lien à usage unique) | Généré à la demande | Connexion sans mot de passe | 15 minutes, puis invalidé |
Usage de l’application
| Donnée | Finalité | Base légale | Durée |
|---|---|---|---|
| Favoris d’événements | Personnalisation de l’agenda | Exécution du service | Durée de vie du compte |
| Préférences (langue, notifications) | Personnalisation | Exécution du service | Durée de vie du compte |
| Géolocalisation ponctuelle | Affichage des événements à proximité sur la carte | Consentement (au premier accès à la carte) | Non stockée — utilisée à la volée |
| Participations aux jeux-concours | Nom, prénom, email, téléphone (facultatif) | Exécution du règlement de jeu | 3 ans après tirage |
| Jeton push Expo | Envoi de notifications (événements, magazines, agenda, jeux-concours) | Consentement (opt-in dans Réglages) | Jusqu’au retrait |
| Abonnement newsletter Mailjet | Consentement | Jusqu’à désinscription |
Données techniques et de sécurité
| Donnée | Finalité | Base légale | Durée |
|---|---|---|---|
| Adresse IP + horodatage (rate limiting) | Prévention des abus, sécurité | Intérêt légitime | 24 heures (TTL DynamoDB) |
| Rapports d’erreurs (Sentry) — stack trace, version OS, modèle d’appareil, IP masquée | Diagnostic et correction de bugs | Intérêt légitime | 90 jours |
| Logs d’authentification | Sécurité, audit | Obligation légale / intérêt légitime | 12 mois |
Cité des Arts ne collecte aucune donnée de santé, donnée bancaire, ni donnée sensible au sens de l’article 9 du RGPD.
2. Authentification par fournisseurs tiers
Si vous choisissez de vous connecter via Apple, Google ou Facebook, ces fournisseurs nous transmettent uniquement les informations strictement nécessaires : adresse email (réelle ou relais privé pour Apple), nom, prénom, et photo de profil le cas échéant. Aucune autre donnée (contacts, publications, historique) n’est demandée.
Vous pouvez à tout moment révoquer cet accès depuis les réglages de votre compte Apple, Google ou Facebook.
3. Cookies et traceurs
Le site citedesarts.net utilise des cookies et traceurs assimilés. Lors de votre première visite, un bandeau de consentement conforme aux recommandations de la CNIL (délibération n° 2020-091) vous permet de :
- accepter l’ensemble des cookies ;
- refuser l’ensemble des cookies, avec la même facilité que pour les accepter ;
- personnaliser finalité par finalité.
Les cookies strictement nécessaires (session, sécurité, préférences de consentement) sont exemptés de consentement. Les cookies de mesure d’audience et publicitaires ne sont déposés qu’après votre consentement explicite. Vous pouvez modifier vos choix à tout moment via le lien « Gérer mes cookies » présent en pied de page.
L’application mobile n’utilise pas de cookies tiers à des fins publicitaires et ne participe à aucun réseau de tracking publicitaire (pas d’IDFA exploité à des fins commerciales).
4. Destinataires et sous-traitants
Vos données sont destinées aux personnels habilités de Cité des Arts et à ses sous-traitants techniques, liés par contrat conformément à l’article 28 du RGPD :
| Sous-traitant | Finalité | Localisation des données |
|---|---|---|
| Kinsta (hébergement WordPress) | Hébergement du site et du backend mobile | Paris, France (UE) |
| ISOMORPH | Développement, maintenance, support | France (UE) |
| Amazon Web Services — SES & DynamoDB | Envoi d’emails transactionnels, rate limiting | Paris, France (eu-west-3, UE) |
| Mailjet (Sinch France) | Envoi de la newsletter | France (UE) |
| Sentry (Functional Software Inc.) | Supervision technique des erreurs applicatives | États-Unis — transfert encadré par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) |
| Google LLC (Analytics, Ads, reCAPTCHA, Maps, Sign In) | Mesure d’audience, publicité, sécurité anti-spam, cartographie, authentification | États-Unis — Data Privacy Framework + CCT |
| Apple Inc. (Sign In with Apple) | Authentification iOS | États-Unis — CCT |
| Meta Platforms Ireland Ltd. (Facebook Login) | Authentification | Irlande (UE) avec transferts encadrés vers les États-Unis |
| Expo (Expo Push Service) | Routage des notifications push vers APNs (Apple) et FCM (Google) | États-Unis — CCT |
Les transferts hors Union européenne sont encadrés soit par une décision d’adéquation de la Commission européenne (Data Privacy Framework pour les opérateurs américains certifiés), soit par les Clauses Contractuelles Types adoptées par la Commission le 4 juin 2021.
Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales.
5. Vos droits
Conformément aux articles 12 à 22 du RGPD, vous disposez des droits suivants :
- Droit d’accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie ;
- Droit de rectification : faire corriger des données inexactes ou incomplètes ;
- Droit à l’effacement (« droit à l’oubli ») : demander la suppression de vos données dans les cas prévus par l’article 17 ;
- Droit à la limitation du traitement ;
- Droit d’opposition au traitement fondé sur l’intérêt légitime ou à des fins de prospection ;
- Droit à la portabilité de vos données dans un format structuré et lisible par machine ;
- Droit de retirer votre consentement à tout moment, sans porter atteinte à la licéité des traitements antérieurs ;
- Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 loi Informatique et Libertés).
Pour exercer ces droits, contactez-nous à contact@citedesarts.net en précisant la nature de votre demande et en joignant, si nécessaire, un justificatif d’identité. Nous nous engageons à répondre dans un délai d’un mois, prorogeable de deux mois en cas de demande complexe.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) : 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07 — www.cnil.fr.
6. Suppression de votre compte et de vos données
Vous pouvez à tout moment supprimer votre compte et l’ensemble des données associées.
6.1 Depuis l’application mobile
- Ouvrez l’application Cité des Arts.
- Touchez l’onglet Profil.
- Allez dans Réglages.
- Touchez Supprimer mon compte.
- Confirmez la suppression.
La suppression est immédiate côté application. Le traitement complet en base s’effectue sous 30 jours maximum, conformément à l’article 17 du RGPD.
6.2 Si vous n’avez plus accès à l’application
Si vous avez désinstallé l’application, perdu l’accès à votre email ou rencontré toute autre difficulté, envoyez votre demande à contact@citedesarts.net en précisant :
- l’adresse email associée au compte ;
- éventuellement votre nom et prénom ;
- l’objet de votre demande : « Suppression de compte Cité des Arts ».
Nous traiterons votre demande dans un délai maximum de 30 jours après vérification de votre identité.
6.3 Données effacées
La suppression entraîne l’effacement définitif :
- de votre compte (email, mot de passe haché, profil) ;
- de vos favoris d’événements et préférences ;
- de vos jetons d’authentification (JWT, refresh token, jeton push Expo) ;
- de votre éventuel abonnement à la newsletter Mailjet ;
- de votre lien d’authentification Apple / Google / Facebook le cas échéant.
6.4 Données conservées après suppression
Certaines données peuvent être conservées pour des durées limitées, pour répondre à des obligations légales ou à des intérêts légitimes :
- Participations aux jeux-concours : conservées en archivage 3 ans après le tirage, conformément aux règlements de jeu et aux obligations de preuve ;
- Logs de connexion et de sécurité : 12 mois, conformément à la LCEN ;
- Rapports d’erreurs Sentry : 90 jours, sous forme anonymisée (IP masquée, identifiant utilisateur supprimé) ;
- Pièces comptables éventuelles : 10 ans (art. L. 123-22 Code de commerce).
7. Sécurité
Cité des Arts et ISOMORPH mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données : chiffrement TLS 1.3 en transit, mots de passe hachés (bcrypt), tokens stockés dans le coffre sécurisé du système d’exploitation (expo-secure-store / Keychain iOS / Keystore Android), rate limiting anti-abus, séparation des environnements de production et de développement, audits de sécurité réguliers selon le référentiel OWASP Top 10.
En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, vous serez informé et la CNIL sera notifiée dans les 72 heures, conformément aux articles 33 et 34 du RGPD.
8. Mineurs
L’application est ouverte à tous les publics. Pour les utilisateurs de moins de 15 ans, le consentement aux traitements fondés sur cette base est recueilli conjointement avec le titulaire de l’autorité parentale, conformément à l’article 7-1 de la loi Informatique et Libertés. Aucune publicité comportementale n’est diffusée à destination des mineurs.
9. Modifications de la politique
La présente politique peut être mise à jour pour refléter des évolutions réglementaires ou techniques. Toute modification substantielle vous sera notifiée par email ou via un bandeau dans l’application avant son entrée en vigueur. La date de dernière mise à jour figure en tête du document.
10. Contact
Pour toute question relative à la présente politique ou au traitement de vos données :
Cité des Arts — contact@citedesarts.net
Cité des Arts n’a pas désigné de Délégué à la protection des données (DPO), la désignation n’étant pas obligatoire au regard de ses activités. Les demandes relatives aux données personnelles sont traitées par le référent désigné, joignable à l’adresse ci-dessus.