Italiano
English
Español
Deutsch
Nederlands
Polski
Português
Português do Brasil
Pусский
日本語
简体中文
한국어
Bahasa IndonesiaIl s'agit d'un guide touristique indépendant. Nous ne sommes ni affiliés aux Musées du Vatican, ni soutenus par ceux-ci.
Politique de confidentialité
conformément aux articles 13 et 14 du règlement (UE) 2016/679 (RGPD)
Dernière mise à jour : 07/02/2026
1. Responsable du traitement
Culturae Heritage Services srls (ci-après également dénommé le « Responsable du traitement »), dont le siège social est situé Via dei Banchi 6, 50123 Florence (FI), Italie, n° de TVA IT07519170489, code fiscal 07519170489, REA FI-709102.
Contact pour la protection des données : legal@vatican.museum
Le Responsable du traitement n'a pas désigné de délégué à la protection des données (DPO) car il ne relève pas des cas obligatoires prévus à l'article 37 du RGPD (le Responsable du traitement n'effectue pas de traitement à grande échelle de catégories particulières de données, ni de surveillance régulière et systématique à grande échelle). Pour toute demande concernant la protection des données à caractère personnel, veuillez écrire à l'adresse indiquée ci-dessus.
2. Champ d'application
La présente déclaration de confidentialité décrit la manière dont le responsable du traitement traite les données à caractère personnel des utilisateurs (ci-après dénommés « utilisateur » ou « personne concernée ») qui visitent et interagissent avec le site web vatican.museum (ci-après dénommé « site web ») et avec les autres sites web détenus par le responsable du traitement.
La présente déclaration s'applique à tous les traitements effectués par le biais du Site, y compris les formulaires de contact, les systèmes d'inscription, les services d'analyse statistique (analytics), les outils de publicité et de mesure de conversion, les systèmes anti-spam et de sécurité, ainsi que les services de communication (newsletter, e-mails transactionnels), activés exclusivement avec le consentement préalable de l'Utilisateur lorsque la loi l'exige, par le biais de la Plateforme de gestion des consentements (CMP) intégrée au Site.
Le Site web est de nature éditoriale et informative. Le Responsable du traitement n’est pas un voyagiste, une agence de voyages ou un intermédiaire de voyages au sens de la législation applicable. Pour plus de détails sur la nature du service, veuillez vous reporter à la Clause de non-responsabilité et aux Conditions générales d’utilisation.
3. Types de données traitées
3.1 Données de navigation et données techniques
Lors de la navigation normale, les systèmes informatiques et les procédures logicielles utilisés pour faire fonctionner le Site Web acquièrent automatiquement certaines données, dont la transmission est implicite dans l'utilisation des protocoles de communication Internet. Ces données comprennent : l'adresse IP, le type et la version du navigateur, le système d'exploitation, la langue, les URL demandées, la date et l'heure des requêtes, la méthode HTTP, le code de réponse du serveur, les identifiants techniques de session, les événements de sécurité.
3.2 Données fournies volontairement par l'Utilisateur
Les données à caractère personnel que l'Utilisateur fournit volontairement via des formulaires de contact, des formulaires d'inscription ou par e-mail direct peuvent inclure :
- prénom et nom ;
- adresse e-mail ;
- numéro de téléphone ;
- pays d'origine ;
- le contenu des messages texte ;
- identifiants de connexion (adresse e-mail et mot de passe) en cas d'inscription ;
- toute autre information que l'Utilisateur choisit volontairement de fournir.
3.3 Données collectées par le biais de cookies et de technologies similaires
Le Site web utilise des cookies et des technologies similaires (stockage local, pixels, balises) pour collecter des identifiants en ligne et des informations sur l'utilisation du Site web, conformément aux préférences exprimées par l'Utilisateur via le CMP. Pour plus de détails, veuillez consulter la Politique en matière de cookies.
3.4 Données relatives aux campagnes publicitaires et aux affiliations
Dans le cadre des activités de marketing numérique, des paramètres de suivi des campagnes (par exemple, les paramètres gclid, fbclid, msclkid, ttclid, utm_*) et des mesures de conversion agrégées peuvent être collectés, toujours conformément aux consentements exprimés par l'Utilisateur.
3.5 Données relatives aux réservations
Lorsque l'Utilisateur réserve une visite ou une expérience via le Site web, les données relatives à la transaction (statut de la réservation, références du bon) peuvent être traitées par le Responsable du traitement uniquement dans le but d'envoyer des communications transactionnelles (par exemple, confirmation de réservation, changements de statut, disponibilité du bon). Les données de paiement (cartes de crédit, coordonnées bancaires, codes de sécurité) ne sont jamais collectées, traitées ou stockées par le Responsable du traitement, car elles sont gérées exclusivement par le partenaire tiers chargé du traitement des paiements (voir section 7).
3.6 Données relatives aux newsletters et aux communications commerciales
Si l'Utilisateur s'abonne à la newsletter, le Responsable du traitement collecte l'adresse e-mail de l'Utilisateur et ses éventuelles préférences thématiques. L'abonnement est facultatif et n'a lieu qu'avec le consentement préalable explicite de l'Utilisateur.
3.7 Caractère obligatoire ou facultatif de la fourniture des données
La fourniture des données de navigation est nécessaire au fonctionnement technique du Site web. La fourniture des données dans les formulaires de contact et d'inscription est facultative ; toutefois, le fait de ne pas fournir les données marquées comme obligatoires (par exemple, nom, adresse e-mail) peut empêcher le Responsable du traitement de répondre à la demande de l'Utilisateur, de créer le compte ou de fournir le service demandé.
Le consentement aux cookies et aux technologies d'analyse, de marketing et de profilage est entièrement facultatif, et le refus de donner ce consentement n'affecte en aucune manière la navigation sur le Site web ou l'accès à son contenu.
4. Finalités, bases juridiques et durées de conservation
Le Responsable du traitement traite les données à caractère personnel aux fins décrites dans le tableau ci-dessous. Lorsque cela est indiqué, le traitement a lieu exclusivement avec le consentement préalable et explicite de l'Utilisateur.
Les durées de conservation indiquées constituent des durées maximales raisonnables et peuvent être réduites en application du principe de limitation de la conservation (article 5, paragraphe 1, point e), du RGPD).
Lorsque le traitement est fondé sur l'intérêt légitime du Responsable du traitement (art. 6, paragraphe 1, point f) du RGPD), celui-ci a procédé à une évaluation des intérêts en présence (Legitimate Interest Assessment — LIA) afin de s'assurer que son intérêt légitime ne l'emporte pas sur les droits et libertés fondamentales des personnes concernées. L'Utilisateur peut demander une copie de cette évaluation en écrivant aux contacts indiqués à la section 1.
| Finalité | Données | Base juridique | Conservation | Remarques |
|---|---|---|---|---|
| Exploitation du site web, fonctionnement technique, sécurité, prévention de la fraude et des abus | Données de navigation, journaux techniques, adresse IP | Intérêt légitime (art. 6, par. 1, point f) du RGPD) — LIA a mené | Jusqu'à 12 mois | Prolongeable en cas d'enquêtes ou de litiges |
| Traitement des demandes via le formulaire de contact ou par e-mail | Données fournies par l'utilisateur | Exécution de mesures précontractuelles (art. 6, paragraphe 1, point b)) ou intérêt légitime (art. 6, paragraphe 1, point f)) — LIA effectuée | Jusqu'à 24 mois à compter de la dernière interaction | Sous réserve d'obligations légales ou de litiges en cours |
| Enregistrement du compte et gestion de l'espace réservé | Nom, prénom, e-mail, mot de passe, numéro de téléphone, pays | Exécution du contrat (art. 6, paragraphe 1, point b) du RGPD) | Pendant toute la durée du compte + 12 mois | Suppression à la demande de l'utilisateur |
| Communications transactionnelles liées aux réservations | E-mail, données de réservation, statut du bon | Exécution du contrat (art. 6, paragraphe 1, point b)) et intérêt légitime (art. 6, paragraphe 1, point f)) — LIA effectuée | Jusqu'à 24 mois à compter de la réservation | E-mails transactionnels uniquement, pas de marketing |
| Obligations légales et fiscales, gestion des litiges | Données nécessaires au respect des obligations légales et à la défense | Obligation légale (art. 6, paragraphe 1, point c)) et/ou intérêt légitime (art. 6, paragraphe 1, point f)) | Jusqu'à 10 ans ou délai de prescription applicable | |
| Analyse statistique et mesure (Google Analytics, Hotjar, Microsoft Clarity) — uniquement avec consentement | Cookies/identifiants, événements d'utilisation, données techniques | Consentement (art. 6, paragraphe 1, point a) du RGPD) | Conformément à la politique en matière de cookies (généralement 14 à 26 mois) | Révocable à tout moment |
| Publicité, remarketing, conversions (Google Ads, Bing Ads, Meta/Facebook, TikTok, Instagram) — uniquement avec consentement | Cookies/identifiants, événements, paramètres de campagne | Consentement (art. 6, paragraphe 1, point a) du RGPD) | Marketing : jusqu'à 24 mois ; profilage : jusqu'à 12 mois | Révocable à tout moment |
| Sécurité anti-spam et anti-bot (Google reCAPTCHA v3) | IP, données comportementales, cookie _GRECAPTCHA | Intérêt légitime (art. 6, par. 1, point f) du RGPD) — LIA effectuée | Durée de la session de vérification | À partir du 2 avril 2026, Google agit en tant que sous-traitant. Cookie technique/nécessaire. |
| Newsletter et communications commerciales — uniquement avec consentement | E-mail, préférences thématiques | Consentement (art. 6, paragraphe 1, point a) du RGPD) | Jusqu'au retrait du consentement | Nettoyage de la liste après 24 mois d'inactivité |
| Collecte et publication d'avis | Nom/pseudonyme, texte de l'avis, date | Consentement (art. 6, al. 1, let. a) et intérêt légitime (art. 6, al. 1, let. f) | Pendant toute la durée de publication sur le site web | Suppression à la demande de l'utilisateur |
5. Cookies et plateforme de gestion du consentement (CMP)
Le site Web utilise une plateforme de gestion du consentement (CMP) conforme au mode de consentement Google v2 (obligatoire depuis mars 2024 pour les annonceurs européens), qui permet à l'utilisateur de :
- d'accepter, de refuser ou de personnaliser les catégories de cookies non techniques et d'outils ;
- modifier ses préférences à tout moment via l'outil « Gérer les préférences en matière de cookies » accessible sur le site web ;
- être informé que les cookies et technologies d'analyse, de marketing et de profilage ne sont activés qu'après l'obtention d'un consentement valide.
Blocage préventif : aucun cookie ni aucune technologie non strictement nécessaire n'est installé sur l'appareil de l'Utilisateur avant que celui-ci n'ait exprimé son consentement via la CMP. En l'absence de consentement, seuls les cookies techniques/nécessaires sont actifs.
Retrait du consentement : l'Utilisateur peut retirer son consentement à tout moment aussi facilement qu'il l'a donné, via l'outil « Gérer les préférences en matière de cookies » accessible sur le Site web, sans que cela n'affecte la licéité du traitement fondé sur le consentement donné avant le retrait (art. 7, paragraphe 3, du RGPD).
Les cookies techniques/nécessaires (y compris le cookie _GRECAPTCHA de Google reCAPTCHA) ne nécessitent pas de consentement et sont actifs par défaut, car ils sont essentiels au fonctionnement et à la sécurité du site web.
Pour plus de détails, y compris la liste complète des cookies utilisés, veuillez consulter la Politique en matière de cookies.
6. Destinataires des données
Les données à caractère personnel peuvent être communiquées aux parties suivantes, agissant en tant que sous-traitants (art. 28 du RGPD), responsables du traitement indépendants ou personnes autorisées :
Prestataires de services informatiques et d'hébergement
- OVH SAS (OVHcloud) : hébergement, serveurs dédiés, infrastructure — centre de données situé à Limburg, en Allemagne (EEE). Agit en tant que sous-traitant conformément à l'art. 28 du RGPD.
Fournisseurs de services d'analyse, de publicité et de sécurité (activés selon les consentements CMP)
- Google Ireland Ltd / Google LLC : Google Tag Manager, Google Analytics 4, Google Ads (conversions/remarketing), Google reCAPTCHA v3.
- Microsoft Corporation / Microsoft Ireland Operations Ltd : Bing Ads (UET), Microsoft Clarity.
- Meta Platforms Ireland Ltd / Meta Platforms Inc. : Facebook Pixel, Instagram Ads.
- TikTok Technology Ltd / ByteDance Ltd : TikTok Pixel.
- Hotjar Ltd : analyse comportementale et cartes thermiques.
Fournisseurs de services de communication
- Amazon Web Services EMEA SARL (AWS) : Amazon SES et SNS pour les e-mails transactionnels et la newsletter — région eu-west-1 (Irlande, EEE). Agit en tant que sous-traitant conformément à l'art. 28 du RGPD.
Partenaires commerciaux (responsables du traitement indépendants)
- Viator Inc. (groupe Tripadvisor) : partenaire pour la réservation et le paiement de visites et d'expériences via l'intégration d'iframe. Viator agit en tant que responsable du traitement indépendant pour les données de paiement et pour la fourniture du service touristique.
- GetYourGuide Deutschland GmbH : partenaire affilié pour les visites guidées et les expériences.
- LivTours : partenaire affilié pour les visites et les expériences.
Lorsque l'utilisateur est redirigé vers des sites web de partenaires tiers (marketing d'affiliation), le traitement des données à caractère personnel de l'utilisateur est régi par la politique de confidentialité du partenaire concerné.
Autres destinataires
- Conseillers juridiques, fiscaux et commerciaux, en tant que sous-traitants ou personnes autorisées.
- Autorités compétentes, lorsque la loi l'exige.
Le responsable du traitement ne vend pas les données personnelles des utilisateurs.
7. Paiements via un partenaire tiers (Viator)
Le site Web offre la possibilité d'acheter des visites et des expériences directement depuis ses pages. Le processus de paiement s'effectue entièrement via un module intégré (iframe) fourni par Viator Inc. (groupe Tripadvisor).
Le Responsable du traitement ne collecte, ne traite ni ne stocke en aucune manière les données de paiement de l'Utilisateur (numéros de carte de crédit, coordonnées bancaires, codes de sécurité). Ces données sont acquises, traitées et stockées exclusivement par Viator, qui agit en tant que Responsable du traitement indépendant pour les données de paiement et pour la fourniture du service touristique.
Le Responsable du traitement reçoit exclusivement de Viator :
- des données agrégées et statistiques sur les conversions ;
- des informations sur le statut des réservations (pour l'envoi de communications transactionnelles à l'Utilisateur) ;
- des commissions commerciales.
La facture et le bon d'échange pour le circuit acheté sont émis directement par Viator.
Pour le traitement des données de paiement, veuillez vous reporter à la Politique de confidentialité de Viator.
8. Transferts de données en dehors de l'EEE
Certains prestataires (en particulier les groupes dont le siège social est situé aux États-Unis) peuvent impliquer le transfert de données à caractère personnel vers des pays situés en dehors de l'Espace économique européen (EEE). Dans de tels cas, le Responsable du traitement adopte des garanties adéquates conformément aux articles 44 et suivants du RGPD, notamment :
- les clauses contractuelles types (CCT) de la Commission européenne (art. 46, paragraphe 2, point c) du RGPD), dans leur version mise à jour (2e trimestre 2025), et, si nécessaire, des analyses d'impact relatives au transfert (AIT) et des mesures supplémentaires conformément aux recommandations 01/2020 du CEPD ;
- les décisions d'adéquation de la Commission européenne, lorsqu'elles sont disponibles (par exemple, le cadre de protection des données UE-États-Unis pour les entités certifiées aux États-Unis) ;
- des mesures techniques et organisationnelles supplémentaires (minimisation des données, pseudonymisation, chiffrement en transit et au repos, séparation des accès).
Les principaux fournisseurs soumis à des transferts hors EEE sont notamment : Google LLC, Meta Platforms Inc., Microsoft Corporation, TikTok/ByteDance, Amazon Web Services Inc., Viator Inc.
L'Utilisateur peut demander des informations sur les garanties spécifiques adoptées et une copie des CCT applicables en écrivant aux contacts indiqués à la section 1.
9. Droits des personnes concernées
L'Utilisateur peut exercer à tout moment les droits prévus aux articles 15 à 22 du RGPD :
- droit d'accès aux données à caractère personnel (art. 15) ;
- droit de rectification et de mise à jour (art. 16) ;
- droit à l'effacement (« droit à l'oubli »), le cas échéant (art. 17) ;
- droit à la limitation du traitement (art. 18) ;
- droit à la portabilité des données, le cas échéant (art. 20) ;
- droit d'opposition, notamment au traitement fondé sur un intérêt légitime (art. 21) ; en cas d'opposition, le responsable du traitement s'abstient de poursuivre le traitement des données, à moins qu'il ne démontre des motifs légitimes et impérieux ;
- droit de ne pas faire l'objet de décisions fondées uniquement sur un traitement automatisé, y compris le profilage (art. 22) ;
- droit de retirer son consentement à tout moment, aussi facilement qu'il a été donné, sans que cela n'affecte la licéité du traitement effectué avant le retrait (art. 7, paragraphe 3).
Pour exercer vos droits, veuillez écrire à : legal@vatican.museum
Le Responsable du traitement répondra en règle générale dans un délai d'un mois à compter de la demande, délai qui peut être prolongé jusqu'à trois mois en cas de complexité particulière ou de volume élevé de demandes (art. 12 du RGPD). En cas de prolongation, l'Utilisateur en sera informé dans un délai d'un mois. L'exercice des droits est gratuit, sauf si les demandes sont manifestement infondées ou excessives (art. 12, paragraphe 5, du RGPD).
9.1 Processus décisionnels automatisés
Le Responsable du traitement ne procède à aucun processus décisionnel entièrement automatisé, y compris le profilage, qui produit des effets juridiques à l'égard de l'Utilisateur ou qui l'affecte de manière significative de façon similaire (art. 22 du RGPD). Les outils d'analyse et de marketing utilisés par le Site web sont exclusivement destinés à des fins statistiques et publicitaires agrégées et ne donnent pas lieu à des décisions individuelles automatisées.
9.2 Réclamation auprès de l'autorité de contrôle
L'Utilisateur a le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente.
Pour l'Italie :
Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 — 00187 Rome (RM), Italie
Site web : www.garanteprivacy.it
PEC : protocollo@pec.gpdp.it
Téléphone : (+39) 06 696771
Il convient également de noter que le règlement (UE) 2025/2518, publié en novembre 2025 et applicable 15 mois après sa publication, introduit de nouvelles règles de procédure visant à améliorer la coopération entre les autorités européennes de protection des données dans les affaires transfrontalières, offrant ainsi des garanties supplémentaires pour les droits des personnes concernées.
10. Google reCAPTCHA v3 — Avis spécifique
Le site web utilise Google reCAPTCHA v3, un service de protection anti-spam et anti-bot fourni par Google Ireland Ltd / Google LLC, activé exclusivement sur les pages contenant des formulaires.
À compter du 2 avril 2026, conformément à l'annonce de Google, reCAPTCHA fonctionne selon un modèle dans lequel Google agit en tant que sous-traitant et le responsable du site web est le responsable du traitement des données collectées via reCAPTCHA.
Cela signifie que :
- les références à la Politique de confidentialité et aux Conditions d'utilisation de Google relatives à reCAPTCHA ne sont plus applicables et ont été supprimées du site web ;
- le traitement des données collectées par reCAPTCHA est régi par la présente Politique de confidentialité et par l'Addendum sur le traitement des données de Google Cloud ;
- reCAPTCHA installe un cookie nécessaire (_GRECAPTCHA) pour son analyse des risques, classé comme un cookie technique/nécessaire qui ne nécessite pas de consentement.
Les données collectées par reCAPTCHA peuvent inclure : l'adresse IP, les données comportementales (mouvements de la souris, schémas d'interaction), ainsi que des informations sur le navigateur et l'appareil. Ces données sont utilisées exclusivement à des fins de sécurité et de prévention de la fraude.
11. Mineurs
Le site web n'est pas destiné aux personnes âgées de moins de 16 ans (seuil fixé par l'article 2-quinquies du décret législatif 196/2003 pour l'Italie). Le responsable du traitement n'a pas l'intention de collecter sciemment des données à caractère personnel auprès de mineurs. Si un parent ou un tuteur estime que les données d'un mineur ont été collectées sans le consentement nécessaire, il peut contacter le responsable du traitement aux coordonnées indiquées à la section 1 pour demander leur suppression immédiate.
12. Mesures de sécurité
Le Responsable du traitement adopte des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre tout accès non autorisé, toute perte, toute destruction ou toute altération (art. 32 du RGPD), notamment : communications cryptées (HTTPS/TLS), accès authentifié avec des privilèges minimaux, sauvegardes périodiques, mises à jour de sécurité, surveillance des accès, procédures de gestion des incidents de sécurité.
13. Modifications de la présente politique de confidentialité
Le Responsable du traitement se réserve le droit de mettre à jour la présente Politique de confidentialité à tout moment. La date de la dernière mise à jour est indiquée en haut de la page. Les modifications importantes seront communiquées par le biais d'un avis sur le Site web et, dans la mesure du possible, par e-mail aux Utilisateurs enregistrés. L'Utilisateur est invité à consulter régulièrement cette page.
14. Droit applicable et juridiction compétente
La présente politique de confidentialité est régie par le règlement (UE) 2016/679 (RGPD), de la directive 2002/58/CE (ePrivacy), de la législation italienne sur la protection des données à caractère personnel (décret législatif 196/2003, tel que modifié par le décret législatif 101/2018), ainsi que des dispositions et lignes directrices applicables du Garante per la Protezione dei Dati Personali et du CEPD.
Pour tout litige relatif à l'interprétation ou à l'application de la présente politique, le tribunal de Florence est compétent, sauf disposition contraire prévue par les dispositions impératives en matière de protection des consommateurs.