Fondations

Conformité RGPD, par défaut.

DPA signé dès l’ouverture, hébergement souverain en France, durées de conservation paramétrées, droits des personnes opérationnels : la conformité RGPD est une fondation, pas une option payante.

Les bénéfices

Ce qui est inclus, sans surcoût

DPA pré-rédigé et conforme article 28

Le contrat de sous-traitance suit le modèle de la CNIL avec les clauses obligatoires : objet, durée, finalité, instructions, sécurité, sous-traitants ultérieurs, audit, fin du traitement.

Hébergement France

Infrastructures situées en France, fournisseurs européens certifiés ISO 27001. Pas de soumission à des juridictions étrangères, pas de Cloud Act.

Purge automatique tracée

Les données dépassant leur durée de conservation sont purgées automatiquement chaque nuit. Chaque purge est journalisée — preuve d’exécution à présenter en cas d’audit.

Journal des accès aux données

Toute consultation de données sensibles par un agent est tracée (qui, quoi, quand). En cas de doute, vous pouvez retrouver précisément qui a accédé à quel dossier.

Comment ça marche

Comment nous prenons à notre charge la conformité

  1. 1

    Étape 1 : Un DPA signé dès le provisionnement

    Le contrat de sous-traitance RGPD (article 28) est pré-rédigé, fourni dès l’ouverture de votre site et accessible à tout moment depuis votre back-office. Il liste les sous-traitants ultérieurs et leurs garanties.

  2. 2

    Étape 2 : Un hébergement souverain en France

    Vos données (base, fichiers, médias, messages) sont hébergées sur des infrastructures situées en France, dans un cadre juridique européen — pas de transfert vers les États-Unis ou autre juridiction étrangère.

  3. 3

    Étape 3 : Des durées de conservation paramétrables et appliquées

    Chaque type de donnée (message, compte, alerte, audit) a sa durée de conservation par défaut, modifiable et appliquée automatiquement. La purge est exécutée chaque jour, tracée, irréversible.

Le constat

Pourquoi le sujet est devenu critique

La CNIL a renforcé ses contrôles sur le secteur public, et la commune reste responsable du traitement même quand elle délègue la mise en œuvre technique.

Le DPA prestataire reste introuvable au moment de l’audit

Article 28 du RGPD oblige : sans contrat de sous-traitance signé avec votre prestataire site web, la commune est juridiquement exposée en cas de contrôle CNIL ou d’incident de sécurité.

Vous ne savez plus où sont vos données

Hébergement chez un GAFAM, sous-traitants en cascade, transferts hors UE : les chaînes de traitement deviennent opaques, alors que la commune reste responsable du traitement.

Les durées de conservation ne sont documentées nulle part

Combien de temps gardez-vous les messages citoyens ? Les comptes utilisateurs ? Les photos d’événements ? Sans politique formalisée, vous ne pouvez ni la respecter ni la prouver.

Cadre légal

Cadre légal français et européen

Depuis le 25 mai 2018, le Règlement général sur la protection des données(RGPD, règlement UE 2016/679) impose à toute administration française des obligations précises sur le traitement des données personnelles, complétées par la loi Informatique et libertés du 6 janvier 1978 modifiée.

La commune est responsable du traitement au sens de l’article 4 du RGPD : elle décide des finalités et des moyens du traitement. Notre rôle est celui de sous-traitant (article 4 et 28) : nous traitons les données pour le compte de la commune, dans le strict respect de ses instructions.

Le contrat de sous-traitance (DPA) entre la commune et nous est obligatoire (article 28.3 du RGPD). Il définit l’objet, la durée, la nature, la finalité du traitement, les types de données, les obligations du sous-traitant, et la procédure en fin de prestation (restitution / suppression des données).

La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité de contrôle compétente. Elle peut prononcer des sanctions administratives en cas de non-conformité, pouvant atteindre, pour le secteur public, 20 millions d’euros ou un pourcentage du budget annuel (article 83 du RGPD).

À noter : les communes ont l’obligation de désigner un délégué à la protection des données (DPO), le cas échéant mutualisé avec d’autres collectivités. Notre plateforme facilite son travail mais ne se substitue pas à sa désignation.

Transparence

Nos sous-traitants ultérieurs

La liste complète figure dans le DPA, mais nous la publions ici pour transparence. Tout ajout fait l’objet d’une notification préalable à la commune, qui peut s’y opposer.

Scalingo

Hébergement applicatif et base de données

Strasbourg, France

Datacenters en France, entreprise française, certifié ISO 27001 et HDS.

Brevo (ex-Sendinblue)

Envoi d’e-mails transactionnels

France (UE)

Entreprise française, infrastructure européenne.

Resend

Envoi d’e-mails transactionnels (redondance)

Union européenne

Utilisé en secondaire pour garantir la délivrabilité, opéré dans le cadre du RGPD.

hCaptcha

Protection anti-bot sur les formulaires publics

Union européenne

Aucune donnée personnelle stockée, alternative respectueuse de la vie privée à reCAPTCHA.

Umami (auto-hébergé)

Analytique web — le cas échéant

Hébergé chez Scalingo, France

Analytique sans cookies, sans transfert hors UE, auto-hébergé sur notre infrastructure.

Questions fréquentes sur la conformité RGPD

Le DPA (data processing agreement) est fourni en tant que document contractuel séparé, accessible à tout moment depuis votre back-office. Selon les pratiques de votre commune, il peut être signé manuellement par le maire et notre représentant, ou validé via signature électronique conforme eIDAS.

Une version horodatée et signée est conservée des deux côtés.

Sécurisez la conformité RGPD de votre commune

DPA, hébergement France et conformité par défaut sont inclus dans tous les plans. Essai gratuit 30 jours, sans carte bancaire.