Politique de protection des données personnellesPolitique de protection des données personnelles

Le nouveau cadre réglementaire qui s’applique sur le territoire de l’Union européenne renforce les droits des personnes et les responsabilités des établissements qui mettent en œuvre des traitements de données à caractère personnel.

L’Etablissement Public du Musée du Louvre s’attache au respect des principes suivants dans le cadre de la collecte et l’exploitation des données personnelles.

Il a désigné le 13 mars 2019, auprès de la Commission nationale de l’informatique et des libertés (CNIL), le cabinet d’avocats Alain Bensoussan Selas en qualité de délégué à la protection des données (DPO) de l’Etablissement Public du Musée du Louvre.

La politique développée ci-après pourra être amenée à évoluer en fonction du contexte légal et réglementaire applicable.


Les principes applicables aux données personnelles

Une utilisation légitime et proportionnée

1. Les données personnelles sont collectées dans le cadre de ses activités par le Musée du Louvre. Cette collecte n’est réalisée que pour des finalités déterminées, explicites et légitimes.

2. La collecte de données personnelles au sein du Musée du Louvre a comme finalité notamment :

  • la gestion de ses missions de service public, l’accueil de ses visiteurs, la vente des billets d’entrée et activités ;
  • la gestion de la fidélisation de ses publics et  des  relations avec  ses mécènes ;
  • la gestion de ses collections, expositions et ressources scientifiques ;
  • la protection de son patrimoine ;
  • la gestion de ses relations commerciales et contractuelles ;
  • la gestion de ses évènements et de sa communication ;
  • la gestion de ses équipements techniques ;
  • la réalisation d’études, d’audit et statistiques ;
  • la gestion de ses ressources humaines et de ses opérations de recrutement  ;
  • la gestion de ses obligations financières et comptables ;
  • le respect des obligations juridiques qui lui incombent.

3. Ces données ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités.

4. Pour chaque traitement, le Musée du Louvre s’engage à ne collecter et traiter que des données strictement nécessaires à l’objectif poursuivi.

Une collecte loyale et transparente

5. Dans un souci de loyauté et de transparence vis-à-vis notamment de ses visiteurs, internautes, donateurs, partenaires, ses fournisseurs et prestataires, clients, ses agents, le Musée du Louvre prend soin d’informer les personnes concernées de chaque traitement qu’elle met en œuvre par des mentions d’information adéquates. Ces mentions d’informations sont communiquées aux personnes concernées mais peuvent également être obtenues auprès de cette adresse : donneespersonnelles@louvre.fr.

6. Ces données sont collectées loyalement ; aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles n’en soient informées.

7. Le Musée du Louvre se tient également disponible à l’adresse suivante pour apporter toute précision nécessaire concernant sa politique de protection des données personnelles : donneespersonnelles@louvre.fr

Une pertinence, adéquation et minimisation des données collectées

8. Le Musée du Louvre s’attache à minimiser les données en collectant des données adéquates, pertinentes et strictement nécessaires à l’objectif poursuivi par le traitement.

9. Les données personnelles collectées sont mises à jour régulièrement et stockées par le Musée du Louvre dans ses bases de données.

Une protection des données personnelles dès la conception et par défaut

10. Le Musée du Louvre a adopté des politiques et process internes et s’attache à mettre en œuvre des mesures qui respectent les principes de protection des données personnelles dès la conception et par défaut.

11. Le droit à la protection des données est ainsi pris en compte à tous les stades de la mise en œuvre d’une application (élaboration, sélection, utilisation), de services et de produits qui reposent sur le traitement de données personnelles.

12. Dans l’hypothèse d’un recours à des applications, services ou produits fournis par des tiers, le Musée du Louvre s’assure auprès de leurs éditeurs qu’ils répondent aux prescriptions légales et permettent d’assurer la protection des données qui y seront traitées.


La sécurité des données personnelles

13. Le Musée du Louvre accorde une importance particulière à la sécurité des données personnelles.

14. Il met en place des mesures techniques et organisationnelles adaptées au degré de sensibilité des données personnelles, en vue d’assurer l’intégrité et à la confidentialité des données et de les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés.

15. Le Musée du Louvre effectue régulièrement des audits afin de vérifier la bonne application opérationnelle des règles relatives à la sécurité des données.

16. Ainsi, il s’engage à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour :

  • protéger ses activités ;
  • préserver la sécurité des données personnelles de ses membres, partenaires, internautes, fournisseurs et prestataires ;
  • empêcher tout accès non autorisés aux données, toute modification, déformation, divulgation, destruction des données personnelles qu’il détient.

17. Néanmoins, la sécurité et la confidentialité des données personnelles reposent sur les bonnes pratiques de chacun et la personne concernée est invitée à rester elle-même vigilante sur les questions qui peuvent impliquer l’utilisation de ses données à caractère personnel.

18. Conformément à ses engagements, le Musée du Louvre choisit ses sous-traitants et prestataires avec soin et leur impose notamment :

  • un niveau de protection des données personnelles équivalent aux siens ;
  • une utilisation des données personnelles ou des informations uniquement pour assurer la gestion des services qu’ils doivent fournir ;
  • un respect strict de la législation et de la règlementation applicable en matière de confidentialité, de secret bancaire, et de données personnelles ;
  • la mise en œuvre de toutes les mesures adéquates pour assurer la protection des données personnelles qu’ils peuvent être amenés à traiter ;
  • la définition des mesures techniques, organisationnelles nécessaires pour assurer la sécurité.

19. Ainsi, le Musée du Louvre s’engage à conclure avec ses sous-traitants des contrats conformes aux obligations portées par la réglementation et qui définissent précisément les conditions et modalités de traitement des données personnelles.


Les traitements réalisés dans le cadre de l'animation du site internet

20. L’Établissement Public du Musée du Louvre (EPML), 75058 Paris CEDEX 01, en qualité de responsable de traitement, est amené à collecter, utiliser, transférer, conserver ou effectuer tout autre traitement de données à caractère personnel vous concernant dans le cadre de l’animation de son site internet.

21. Plus précisément, le site www.louvre.fr anime un écosystème de sites susceptibles de collecter des données à caractère personnel dans le cadre de :

  • Achat de billets d’entrée au Musée du Louvre (www.ticketlouvre.fr) ;
  • Inscription à la newsletter du Louvre (crm.e-deal.net/gerico/louvre_profile_edit.fl) ;
  • Page de contact (www.louvre.fr/contacts ; question sur la visite, réclamation, objet perdu) ;
  • Enquête de satisfaction (manager.e-questionnaire.com/questionnaire.asp?a=LBhJbRLDCW) ;
  • Soutien financier (don) (donate.louvre.fr).

22. Les données traitées par le site internet www.louvre.fr à l’exclusion de celles mentionnées ci-avant le sont exclusivement à des fins d’études statistiques via Google analytics ; ces données sont anonymisées.

Achat de billets d'entrée : ticketlouvre.fr

23. La collecte des données est nécessaire pour la conclusion de la vente des billets d’entrée au musée du Louvre.

24. Les traitements réalisés par le musée ont pour finalités :

  • la gestion des commandes ;
  • la finalisation des transactions commerciales ;
  • l’information des visiteurs et la gestion de leurs relations avec l’EPML ;
  • l’envoi d'informations et de sollicitations ;
  • la réalisation d’études statistiques.

25. Les données enregistrées sont réservées à l’usage du service exploitation billetterie de la  Direction de l’accueil du Public et de la Surveillance, du service développement des publics et fidélisation et du responsable des visites protocolaires de la  Direction des Relations extérieures, du service des systèmes de billetterie et gestion des publics de la Direction Juridique, Financière et des Moyens et du service de la caisse générale de l’Agence Comptable et peuvent être communiquées à ses prestataires sous-traitant pour le développement et la maintenance du système de billetterie et sa monétique.

26. Les données à caractère personnel ainsi collectées seront conservées pour les durées suivantes :

  • les données administratives relatives aux achats effectués sur le site sont conservées pour une durée de 15 mois à compter dudit achat ;
  • les données relatives aux paiements effectués dans le cadre des achats effectués sont conservées pendant une durée de 13 mois à compter du parfait paiement dudit achat, ou 15 mois en cas de cartes de paiement à débit différé, afin de permettre la gestion d’éventuelles réclamations.

27. Les données récoltées ne font l’objet d’aucun flux transfrontière.

Envois de newsletters

28. Les données personnelles sont collectées sur la base de votre consentement ou le cas échéant, sur la base de l'acceptation des Conditions générales de vente lors de l'achat de billet d'entrée (art. 9 CGV) pour l'envoi de prospection relative à des produits ou services similaires. 

29. Les traitements réalisés par le musée ont pour finalités :

  • l’envoi d'informations et de sollicitations ;
  • la réalisation d’études statistiques.

30. Les données enregistrées sont réservées à l’usage de la Direction de la Médiation et de la Programmation Culturelle (DMPC) et la Direction des Relations Extérieures (DRE) et peuvent être communiquées à ses prestataires sous-traitants.

31. Les données à caractère personnel ainsi collectées sont conservées pour une durée de 3 ans à compter de la dernière connexion.

32. Les données récoltées ne font l’objet d’aucun flux transfrontière.

Page de contacts (www.louvre.fr/contacts)

33. La collecte de ces données est basée sur votre consentement et permet le traitement de votre demande. Le traitement réalisé par l’EPML a pour finalité la gestion des relations avec les internautes et les visiteurs du musée (réponses aux questions, gestions des réclamations).

34. Les données enregistrées sont réservées à l’usage de la Direction de l’accueil du public et de la surveillance et de la direction financière juridique et des moyens de l’EPML.

35. Les données à caractère personnel ainsi collectées sont conservées pour une durée de 3 ans à compter du dernier échange.

Enquêtes de satisfaction

36. Les données personnelles sont traitées par l’EPML conformément à son intérêt légitime d’amélioration de ses activités et de satisfaction de ses publics. Le traitement réalisé par l’EPML a pour finalité la réalisation d’enquête de satisfaction en ligne.

37. Les données enregistrées sont réservées à l’usage de l’EPML et ne sont pas communiquées à des prestataires sous-traitant.

38. Les données à caractère personnel ainsi collectées sont conservées pour une durée de 3 ans à compter de la réalisation de l’enquête.

39. Les données récoltées ne font l’objet d’aucun flux transfrontière.

Soutien financier

40. Les données personnelles sont traitées par l’EPML conformément à son intérêt légitime de favoriser l’obtention de dons, dans le cadre des opérations de mécénat, aussi bien des particuliers que des entreprises et, en particulier, pour les finalités suivantes :

  • la gestion et le suivi des dons ;
  • l’établissement et envoi de reçus fiscaux ;
  • l’octroi de contrepartie et de remerciements aux donateurs ;
  • l’envoi d'informations et de sollicitations ;
  • la réalisation d’études et de statistiques.

41. Les données enregistrées sont réservées à l’usage de la Direction des relations extérieures et de l’agence comptable de l’EPML et peuvent être communiquées à ses prestataires sous-traitant la société Iraiser, prestataire en charge de la plateforme de dons ; la société B&C, la société Edeal pour les relations avec les mécènes.

42. Les données à caractère personnel ainsi collectées sont conservées pour une durée de 3 ans à compter du dernier contact avec le donateur.

43. Les données récoltées ne font l’objet d’aucun flux transfrontière.


Vos droits concernant vos données personnelles

44. Conformément à la loi du 6 janvier 1978 modifiée dite « Informatique et Libertés » et au règlement européen 2016/679 du 27 avril 2016 dit « Règlement Général sur la Protection des Données », vous disposez d’un droit d’accès, d’interrogation, de rectification, de modification et de suppression des données qui vous concernent. Vous pouvez ainsi exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations vous concernant qui sont inexactes, incomplètes, équivoques, ou périmées. Vous pouvez également exercer vos droits d’opposition et de limitation du traitement de vos données ainsi que votre droit à la portabilité des informations vous concernant.

45. Les données sur lesquelles peut s’exercer ce droit sont :

  • uniquement vos données personnelles, ce qui exclut les données personnelles anonymisées ou les données qui ne vous concernent pas ;
  • les données personnelles déclaratives ainsi que les données personnelles de fonctionnement ;
  • les données personnelles qui ne portent pas atteinte aux droits et libertés de tiers telles que celles protégées par le secret des affaires.

46. Ce droit est limité aux traitements basés sur le consentement ou sur un contrat ainsi qu’aux données personnelles que vous avez personnellement générées. Ce droit n’inclut ni les données dérivées ni les données inférées, qui sont des données personnelles créées par le Responsable du traitement.

47. Par ailleurs, vous disposez également du droit de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données à caractère personnel après votre décès.

48. La communication de directives spécifiques post-mortem et l’exercice des droits peuvent être exercés par courrier postal à l’adresse suivante musée du Louvre, 75058 Paris CEDEX 01 ou par courrier électronique à l’adresse suivante : donneespersonnelles@louvre.fr. Afin d’exercer vos droits, vous pouvez adresser une demande à l’adresse électronique suivante : donneespersonnelles@louvre.fr.

49. Dans le cadre de l’exercice de vos droits, vous devez justifier de votre identité par tout moyen. En cas de doute sur votre identité, l’EPML pourra possiblement demander des informations supplémentaires apparaissant nécessaires, y compris la photocopie d’un titre d’identité portant votre signature.

50. Vous avez la possibilité d’introduire une réclamation auprès de la Cnil à l’adresse suivante : 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.