De quoi s’agit-il ?
Une « donnée à caractère personnel » (ci-après « DCP ») est toute information qui vous concerne et qui permet de vous identifier directement ou indirectement.
Ceci concerne par exemple votre identifiant, votre nom, votre sexe, votre date de naissance, votre adresse postale ou encore votre messagerie électronique.
En effet, pour garantir l’utilisation optimale de nos services et notamment de services personnalisés, vous communiquez au PBA certaines DCP. L’envoi de certaines données est même indispensable pour obtenir certains services (exemple l’achat de tickets).
Ceci peut ainsi porter également sur les données d’utilisation collectées automatiquement lors de vos connexions sur notre site web. En effet, nous stockons des informations concernant votre utilisation via un procédé de traçage, comme un cookie.
Notre engagement ?
Le Palais des Beaux-Arts (ci-après « PBA »), société anonyme de droit public à finalité sociale, est chargé de la programmation pluridisciplinaire de manifestations à caractère pédagogique, culturel et artistique.
Nous accordons une grande importance au respect et à la protection de vos DCP que nous traitons dans le cadre de l’exécution de notre mission publique et de nos services.
Nous nous engageons à traiter vos DCP de manière loyale, licite et transparente comme l’exige la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « la Loi ») et du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »).
La présente Charte s’inscrit dans notre souhait d’agir en toute transparence et de vous permettre d’améliorer votre expérience utilisateur.
Qui sommes-nous ?
Nous agissons comme responsable de traitement (ci-après « RT ») pour nos productions, responsable conjoint pour nos coproductions et en tant que nouveau responsable de traitement pour les évènements d'autres organisateurs externes et/ou preneurs de salles.
Coordonnées du RT
Le Palais des Beaux-Arts,
Société anonyme de droit public à finalité sociale
BCE 895.408.978
Rue Ravenstein 23,
1000 Bruxelles
Délégué à la protection des DCP
Pour toute question relative à vos DCP, vous pouvez contacter notre Délégué à la protection des DCP à l’adresse suivante : dpo@bozar.be
Quelles catégories de DCP traitons-nous ?
Vos données d’identification
Comme vos nom, prénom, adresse postale, numéros de téléphone, adresses électroniques, carte d’identité, photo, images captées,…
Date de naissance
Nous sommes dans l’obligation légale de recevoir une autorisation parentale pour les moins de 13 ans et cette donnée est également nécessaire pour la vérification de l’âge pour certains évènements et l’application de tarifs préférentiels.
Données de navigation
Comme l’adresse IP, les date et heure d’accès, le type de domaine avec lequel vous vous connectez à l'Internet, vos préférences…
Données de localisation ou autres données relatives à la communication ;
Spécifiquement pour l'application BOZAR
Lorsque vous utilisez l’application BOZAR, vos données de localisation (position GPS) dans le bâtiment peuvent être activées si votre Bluetooth est actif (popup pour activer Bluetooth). Les technologies utilisées à cette fin sont les balises situées dans les espaces publics, qui ne sont pas traçables. Ces données ne sont pas corrélées avec une identification personnelle (numéro de téléphone, nom, adresse, etc.)
Comme d'autres données liées à la communication, vous pouvez recevoir des notifications
Si en tant qu'utilisateur de l’application BOZAR, vous êtes à proximité d'une balise, une fenêtre contextuelle s'affiche sur votre appareil avec des informations supplémentaires.
Données professionnelles, sur les études et sur la formation
Titre/fonction, nom de l’employeur, curriculum vitae (notamment pour effectuer un stage, postuler à un emploi ou afin de remplir les exigences de sélection prévues pour certains marchés publics lancés par le PBA).
Pour plus d’information concernant le traitement de vos données professionnelles et DCP dans le cadre du recrutement – veuillez consulter la page Emplois, stages & bénévolat.
Données dite sensibles
En général nous ne traitons pas de données comme votre orientation sexuelle, vos croyances religieuses ou politiques, ou des données relatives à votre santé ou appartenance ethnique.
Données de paiement et de facturation
Ces données sont conservées pour pouvoir traiter la commande et respecter nos obligations légales comptables.
Données d'identification de l'appareil : Wifi clearpass
Si vous vous connectez à BozarWifi dans le bâtiment, vous devez enregistrer votre appareil pour y avoir accès et être relié au réseau en fonction du profil d’utilisateur qui vous correspond.
Quelles sont nos sources ?
Vous êtes notre principale source directe de collecte de DCP lorsque vous vous inscrivez à une newsletter par exemple ou encore à l’occasion de l’achat de tickets. Nous attendons donc de vous que vous nous transmettiez des DCP correctes et actuelles. Certaines de vos DCP comme par exemple les pages que vous avez consultées, la date et l’heure de votre accès à notre site ou vos données de localisation liées à l’application BOZAR, sont collectées automatiquement par le biais des serveurs consultés (lors de votre visite des pages de notre site web ou l’application) et des « cookies » placés sur notre site.
Pour des informations sur la notion de « cookie », son usage et les données exactes qu’il collecte, veuillez consulter notre page politique relative aux cookies.
Nous pouvons également recevoir vos DCP par nos partenaires, des parties louant les salles ou de tierces parties. Ceci n’est possible que si vous avez donné votre consentement explicite, auquel vous pouvez renoncer quand bon vous semble.
Que faisons-nous de vos données à caractère personnel ?
Achat de tickets ou inscription à un évènement gratuit ou réservation d’une visite guidée
Nous collectons vos DCP principalement pour établir, réaliser et conduire la relation contractuelle qui entoure votre commande de tickets pour un événement se déroulant au PBA (par exemple pour la gestion de votre réservation et vous tenir informé de l’évènement pour lequel vous avez acheté des tickets).
Orientation numérique
BOZAR utilise les informations de localisation Bluetooth pour l'orientation numérique dans les espaces de BOZAR, ce qui permet l’apparition de pop-ups à proximité de « pièces d'exposition ».
Gestion des accès
Il peut arriver que nous vous demandions votre carte d’identité lorsque vous vous présentez au palais pour vérifier votre date de naissance. Ceci nous permet de nous assurer que le bon tarif a été appliqué lors de l’achat de votre ticket.
Inscription à une ou plusieurs newsletter
Nous collectons vos DCP lors de votre inscription à une ou plusieurs de nos newsletters. Vous pouvez gérer votre inscription via notre formulaire en ligne. www.bozar.be/newsletter
Étude de marché
Sur base volontaire, une enquête de satisfaction ou une étude de marché peuvent être organisées. Vous pouvez naturellement choisir de ne pas y prendre part.
Marketing direct
Les données sont également utilisées à des fins de marketing direct pour des évènements similaires dans l’offre du PBA. Vous pouvez à tout moment vous opposer à ce marketing direct et demander que le PBA vous efface de cette liste. Ainsi, au bas de chaque mail, vous trouverez la possibilité de vous désabonner. En vous effaçant de cette liste, vous vous désinscrivez également de toutes les newsletters auxquelles vous auriez souscrites.
Envoi de brochures
En tant qu’abonnés vous pouvez recevoir plusieurs brochures par la poste.
Profilage
Le PBA combine les données que vous avez fournies et l’utilisation du site pour d’une part, pour vous fournir une expérience de navigation optimale, et de l’autre, vous tenir informé par e-mail d’une offre sur mesure.
Enregistrement vidéo
Certains de nos concerts ou de nos évènements peuvent faire l’objet d’un enregistrement qui sera diffusé ultérieurement. À cette occasion, vous pourriez être filmé(e).
Transmission à des tiers
Vos DCP peuvent être fournies à l’organisateur de l’évènement pour lequel vous avez acheté les tickets et ce uniquement pour assurer le bon déroulement de celui-ci.
Si vous avez donné votre autorisation expresse, il peut aussi utiliser vos DCP pour proposer d’autres évènements. Vous pouvez en savoir plus à ce sujet dans la déclaration de protection des données de l’organisateur – (voir rubrique « Hosted Event »).
Dans ce contexte, vos DCP sont également utilisées pour valider, corriger ou associer entre elles les données qui sont déjà présentes dans la base de données.
Nous pouvons partager vos DCP avec nos fournisseurs externes dans la mesure où cela s’avère nécessaire pour qu’ils puissent nous fournir leurs services. Nous concluons dans ce cas un accord contractuel pour garantir la conformité avec le GDPR.
Vérification de la légalité des opérations
Des DCP peuvent être traitées en vue d’éviter des infractions ou de les dépister, comme par exemple la revente illicite de tickets, la violation de droits de propriété intellectuelle, les fraudes en matière de paiement électronique ou d’autres infractions.
Traitement d’une candidature à un poste
Si vous vous portez candidat à un poste au sein du PBA, vos DCP sont conservées pour pouvoir satisfaire à la procédure de candidature. Voir page Emplois, stages & bénévolat.
Plainte ou objets perdus
Vos DCP peuvent être utilisées pour répondre à la plainte que vous nous avez adressée et le cas échéant pour vous dédommager. Lorsque votre plainte porte sur un évènement organisé par un organisateur externe « Hosted Event », nous lui transférons celle-ci afin qu’il puisse la traiter. Il en est de même lorsque vous égarez un de vos effets personnels lors d’une de vos visites au PBA.
Amélioration de nos services
Vos DCP nous permettent d’optimiser nos services (comme par exemple d’adapter et d’améliorer le contenu ou la navigation sur notre site web ou l’application BOZAR), d’améliorer l'efficacité de nos campagnes marketing ou publicitaires et d'effectuer des statistiques.
Toute autre finalité passe nécessairement par votre consentement explicite préalable, notamment pour des actions publicitaires de tiers ou l’envoi d’une nouvelle newsletter à laquelle vous n’auriez pas encore souscrite.
Qui traitent vos DCP ?
Dans le respect du principe de minimisation, seuls les membres agrées du personnel du PBA ont accès à vos DCP.
Nos sous-traitants et prestataires de services externes
Afin d’exécuter certaines tâches et d’assurer nos services, nous avons recours aux services de prestataires externes.
Il peut notamment s’agir de notre fournisseur d’application et de notre système de ticketing.
Nous exigeons de nos sous-traitants le même niveau de protection que le nôtre et qu’ils n'utilisent pas vos DCP à d'autres fins que celles précisées par nos soins.
Ils doivent en outre disposer de mesures de sécurité appropriées pour se prémunir contre le traitement non autorisé ou illégal de vos DCP et contre la perte accidentelle, la destruction ou encore la détérioration de vos DCP.
Ceci est garanti contractuellement et ils ne sont habilités à traiter vos DCP que pour le but autorisé, avec la discrétion et la sécurité requises.
Partageons-nous vos DCP ?
Avec nos partenaires culturels
Dans le cadre de notre mission publique, nous collaborons étroitement avec d'autres institutions comme le Belgian National Orchestra (BNO) et le Théâtre royal de la Monnaie (TRM).
Les concerts du BNO sont des coproductions. Ainsi, lorsque vous achetez un ticket de concert du BNO via notre billetterie, vous opérez un achat auprès de deux responsables de traitement conjoints, le PBA et le BNO. Dès lors, sur cette base contractuelle, le BNO a également accès à vos DCP et peut vous recontacter pour vous proposer des concerts similaires à celui pour lequel vous avez pris des tickets.
Pour toutes questions relatives à vos DCP traitées par le BNO, vous pouvez prendre contact via l’adresse https://www.nationalorchestra.be/en/privacy-declaration.
Avec nos clients – les « Hosted Events »
Lorsque vous achetez un ticket pour un événement organisé par un(des) producteur(s) externe(s) dans nos salles, nous ne transmettons que les DCP nécessaires à la pleine réalisation de votre commande (information quant à un éventuel changement de salle, d’heure, d’artiste, …).
Nous demandons à ces organisateurs externes de ne conserver vos DCP que pour la durée nécessaire à l’organisation de leur évènement. Au-delà, elles sont effacées, rendues anonymes ou conservées à des fins exclusivement statistiques et ne donnant lieu à aucune exploitation, de quelque nature que ce soit.
Lors de l’achat d’un ticket avec une formule package, nous fournirons également vos DCP à l’organisateur de l’évènement en question. Pour pouvoir effectuer le traitement de ces packages, il doit en effet disposer de vos données et de votre commande.
Dans les autres cas, votre consentement explicite est toujours requis.
Les « Hosted Events » sont repris sous l’onglet éponyme de notre site internet.
Avec les autorités publiques
Vos DCP pourront également être divulguées en application d'une loi, d'un règlement ou en vertu d'une décision d'une autorité réglementaire ou judiciaire compétente.
Avec la plateforme Meridian et les services Google Cloud
Lorsque vous utilisez l'application BOZAR, vos données seront conservées après leur anonymisation, afin de rapporter les informations relatives aux services de localisation (via la plateforme Meridian).
Quelle sécurité pour vos DCP ?
Nous nous engageons à tout mettre en œuvre pour protéger vos DCP, conformément à la loi et à l’état de la technique.
Nous avons ainsi mis en place des mesures techniques et organisationnelles appropriées pour protéger vos DCP. Ces mesures sont conçues pour fournir un niveau de sécurité approprié aux risques que présentent les traitements de vos DCP.
Notre infrastructure informatique est protégée par différents moyens techniques tels que des services de sécurité à l’aide de firewalls, mais également de systèmes de filtrages de mails. Plusieurs dispositifs mis en place permettent d’assurer la sauvegarde d’informations. De plus, les échanges de données entre les différentes interfaces sont cryptés et ainsi protégés.
Vos transactions sont également sécurisées via des dispositifs de cryptage.
Afin d’éviter autant que possible les accès ou modifications non autorisés aux données, les membres du personnel du PBA, partenaires ou sous-traitants traitent vos DCP uniquement selon la présente Charte.
Mais nous attirons votre attention sur le fait que nous ne pouvons garantir la sécurité de vos DCP pendant leur transmission via Internet.
Nous attirons votre attention sur ces risques particuliers liés aux spécificités d'Internet, des réseaux et au fait que des informations relatives à des DCP peuvent être captées et / ou transférées à votre insu notamment vers des pays n'assurant pas un niveau de protection adéquat.
Combien de temps gardons-nous vos DCP ?
Le PBA ne conserve vos données que pour la durée nécessaire aux finalités décrites ci-dessus ainsi que pour respecter les obligations légales de conservation qui nous sont imposées.
Le délai de conservation des DCP est en général fixé à 10 ans.
Ce délai a été défini pour des raisons pratiques et pour satisfaire nos obligations comptables visant à conserver les données pendant 10 ans, et pour des raisons de réalisabilité technique.
Si vous n’avez montré aucune activité pendant une période de 10 ans ou si vous n’avez cherché aucun contact avec le PBA, vous recevrez alors un e-mail vous demandant si nous pouvons désactiver votre compte.
Au-delà, elles sont effacées, rendues anonymes ou conservées à des fins exclusivement statistiques et ne donnant lieu à aucune exploitation, de quelque nature que ce soit.
Pour le WIFI, les données d'identification de l'appareil sont supprimées après 31 jours.
Les DCP de vos enfants ?
En tant que parents vous êtes invités à surveiller l'utilisation faite par vo(tre)s enfant(s) de ses (leurs) DCP et son (leurs) accès aux services online/hors ligne du PBA.
Sur la toile, la majorité est fixée à 13 ans ainsi le mineur de moins de 13 ans déclare et reconnaît avoir recueilli l’autorisation préalable de ses parents ou de la personne qui est titulaire de l’autorité parentale.
Quels sont vos droits ?
Vous disposez d'un droit d'accès, d’un droit de rectification (en cas de donnée inexacte) et d’un droit de suppression de vos données d’inscription.
Vous avez le droit de vous opposer, en invoquant des raisons sérieuses et légitimes, à ce que vos données d’inscription fassent l’objet d’un quelconque traitement.
Vous avez le droit de vous opposer à tout moment à l’utilisation de vos DCP à des fins de marketing direct.
Vous pouvez exercer votre demande d'accès, de modification, de suppression ou d’opposition auprès de notre DPO en lui adressant une demande précise par mail à dpo@bozar.be
Le DPO évaluera le bien-fondé de votre demande et déterminera la possibilité de répondre à votre demande dans les meilleurs délais et en tout état de cause, dans un délai d’un mois à compter de la réception de la demande.
Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
En outre, il est possible que suite à votre demande, le PBA doive vérifier votre identité et ce afin d’éviter tout abus ou usurpation d’identité. Cette vérification peut nécessiter la transmission de données supplémentaires, comme une copie de votre carte d’identité.
Vous pouvez par ailleurs vous opposer à l'enregistrement de vos données d’utilisation en configurant votre navigateur.
Quels recours auprès de quelle autorité de contrôle ?
En cas de contestation d’une décision du DPO ou pour toute autre réclamation au sujet du traitement de vos DCP, vous pouvez introduire gratuitement une plainte auprès de l’autorité de contrôle :
AUTORITÉ DE PROTECTION DES DONNÉES
Rue de la Presse, 35, 1000 Bruxelles
Téléphone : +32 (0)2 274 48 00
Fax : +32 (0)2 274 48 35
Email : commission@privacycommission.be
Site web: www.privacycommission.be
Modifications de la présente Charte
La présente Charte est susceptible d’être amendée à tout moment en raison du développement de nouveaux traitements mis en œuvre par le PBA ou de modifications de la législation applicable.
Toute modification entre immédiatement en vigueur. Nous vous invitons donc à vous rendre régulièrement sur cette page.
La dernière modification a eu lieu le 16.12.2020.