Notre engagement envers votre vie privée
Le Musée des Beaux-Arts et d'Archéologie de Besançon (MBAA) attache une importance fondamentale à la protection de vos données personnelles. La présente politique vous informe, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés modifiée, de la manière dont nous collectons, utilisons et protégeons vos données.
Cette politique s'applique à l'ensemble des traitements de données réalisés via le site internet du MBAA.
Responsable du traitement
Le responsable du traitement de vos données personnelles est :
Musée des Beaux-Arts et d'Archéologie de Besançon
1, place de la Révolution — 25000 Besançon, France
Tél. : +33 (0)3 81 87 80 49
DPO : dpo@besancon.fr
Le site a été conçu et développé par Nina Tonnaire — Creativ Dev, dans le respect des exigences du RGPD dès la conception (privacy by design).
Données personnelles collectées
Nous collectons uniquement les données strictement nécessaires à la finalité pour laquelle elles sont traitées (principe de minimisation — art. 5 RGPD).
| Finalité | Données | Base légale | Conservation |
|---|---|---|---|
| Newsletter | Consentement (art. 6.1.a) | Jusqu'au désabonnement + 3 ans | |
| Réservation | Nom, prénom, e-mail, tél. | Contrat (art. 6.1.b) | 5 ans après la dernière réservation |
| Compte visiteur | Nom, prénom, e-mail, mdp hashé | Contrat (art. 6.1.b) | 3 ans après la dernière connexion |
| Formulaire contact | Nom, e-mail, message | Intérêt légitime (art. 6.1.f) | 3 ans à compter de la demande |
| Statistiques (anonymisées) | Pages, durée, appareil | Intérêt légitime (art. 6.1.f) | 13 mois maximum |
Cookies et traceurs
Conformément aux recommandations de la CNIL, nous utilisons les cookies suivants :
- Cookies strictement nécessaires — session WordPress, sécurité. Aucun consentement requis.
- Cookies de mesure d'audience — statistiques anonymisées. Déposés uniquement après votre consentement.
- Cookies de préférences — mémorisation de vos choix d'accessibilité. Aucun consentement requis.
Vous pouvez modifier vos préférences à tout moment via le bandeau de gestion des cookies ou en configurant votre navigateur. Conformément à la délibération CNIL n°2020-091 du 17 septembre 2020, votre consentement est recueilli avant tout dépôt de cookie non essentiel.
Destinataires et partage des données
Vos données personnelles ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles peuvent être transmises aux seuls destinataires suivants :
- Les services internes du MBAA habilités (médiation, billetterie, communication)
- La Ville de Besançon, en sa qualité d'autorité de tutelle
- Les prestataires techniques sous-traitants, liés par un contrat conforme à l'art. 28 RGPD
Aucun transfert de données hors de l'Union Européenne n'est effectué sans garanties appropriées conformément au chapitre V du RGPD.
Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
- Droit d'accès — obtenir une copie des données vous concernant
- Droit de rectification — corriger des données inexactes ou incomplètes
- Droit à l'effacement — demander la suppression (« droit à l'oubli »)
- Droit à la limitation — restreindre temporairement un traitement
- Droit à la portabilité — recevoir vos données dans un format lisible par machine
- Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime
- Retrait du consentement — à tout moment, sans remettre en cause la licéité du traitement antérieur
Pour exercer ces droits :
DPO — Ville de Besançon
Email : dpo@besancon.fr
Courrier : DPO, Ville de Besançon, 2 rue Mégevand, 25000 Besançon
Vous pouvez également introduire une réclamation auprès de la CNIL — www.cnil.fr
Sécurité des données
Le MBAA met en œuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD :
- Chiffrement des communications via protocole HTTPS (TLS)
- Hashage des mots de passe (bcrypt)
- Accès aux données restreint aux seules personnes habilitées
- Sauvegardes régulières et sécurisées
- Mise à jour régulière des composants logiciels
En cas de violation de données, le MBAA s'engage à notifier la CNIL dans les 72 heures (art. 33 RGPD) et à vous en informer si le risque est élevé (art. 34 RGPD).
Modifications de la politique
Cette politique peut être mise à jour pour refléter les évolutions légales, réglementaires ou techniques. La date de dernière mise à jour est indiquée en haut de cette page. En cas de modification substantielle, nous vous en informerons par e-mail si vous êtes abonné à notre newsletter.