Traitement des données personnelles

Le présent contrat est conclu entre :

• Le sous-traitant: Eudelin Rolland, auto-entrepreneur, exploitant le service AiderMaVille, SIRET 845 123 033 00019, Lyon, ci-après « AiderMaVille ».
• Le responsable du traitement: la commune ayant souscrit au service AiderMaVille, ci-après « la Commune ».

Il complète les conditions générales de vente (CGV) et prend effet à la date d'activation du service. En cas de contradiction, le présent contrat prévaut pour tout ce qui concerne la protection des données personnelles.

❧Article 1 – Objet et durée du contrat

Le présent contrat a pour objet de définir les conditions dans lesquelles AiderMaVille, agissant en qualité de sous-traitant au sens de l'article 4(8) du RGPD, traite des données personnelles pour le compte de la Commune, responsable du traitement.

Le traitement est effectué dans le cadre de la fourniture du service AiderMaVille : plateforme de partage d'observations citoyennes accessible aux citoyens de la Commune.

Le contrat entre en vigueur à la date de souscription au service et prend fin à l'expiration ou à la résiliation de l'abonnement souscrit par la Commune, sans préjudice des obligations qui subsistent après la cessation (article 9).

❧Article 2 – Nature et finalité du traitement

Les opérations de traitement réalisées par AiderMaVille sont les suivantes :

• Collecte des données saisies lors de la soumission d'une observation
• Stockage des données en base de données et stockage objet (photos)
• Affichage des observations sur la carte publique et dans le tableau de bord mairie
• Envoi de notifications par email aux citoyens ayant renseigné leur adresse
• Archivage et suppression automatique des données selon les règles de conservation
• Pseudonymisation des adresses email après 90 jours d'inactivité

Ces opérations sont réalisées aux fins suivantes :

• Permettre aux citoyens de partager des observations sur des sujets affectant l'espace public de leur commune (voirie, éclairage, propreté, mobilier urbain, etc.)
• Permettre à la Commune de recevoir, instruire et traiter ces observations via un tableau de bord dédié
• Informer les citoyens de l'évolution du traitement de leur observation

❧Article 3 – Type de données personnelles traitées

Les catégories de données personnelles traitées par AiderMaVille pour le compte de la Commune sont les suivantes :

• Adresse email des citoyens: fournie de manière optionnelle par le citoyen, utilisée exclusivement pour l'envoi de notifications de suivi relatives à l'observation concernée
• Localisation géographique: coordonnées GPS du point d'observation (latitude, longitude), affichées sur la carte publique
• Photos attachées aux observations : images soumises par le citoyen pouvant représenter des espaces publics et, occasionnellement, des personnes
• Commentaires textuels : description libre rédigée par le citoyen pour décrire la situation observée
• Adresse IP : collectée temporairement à des fins de limitation de débit (rate limiting) pour prévenir les abus ; non conservée au-delà de la session en cours
• Données des agents et administrateurs municipaux: nom, prénom, adresse email professionnelle et rôle au sein du service, nécessaires à l'authentification et à la traçabilité des actions dans le tableau de bord

Aucune donnée relevant de catégories particulières au sens de l'article 9 du RGPD (données de santé, données révélant l'origine raciale ou ethnique, opinions politiques, etc.) n'est collectée de manière volontaire par le service.

❧Article 4 – Catégories de personnes concernées

Les personnes dont les données sont traitées dans le cadre du service sont les suivantes :

• Citoyens de la Commune: toute personne qui soumet une observation, qu'elle soit anonyme (sans email) ou identifiable (avec email opt-in)
• Agents municipaux : personnels de la Commune ayant accès au tableau de bord mairie pour traiter les observations
• Administrateurs municipaux: responsables de la gestion du compte commune sur AiderMaVille (création d'agents, configuration du service)

❧Article 5 – Obligations du sous-traitant (AiderMaVille)

AiderMaVille s'engage à respecter les obligations suivantes :

5.1 Traitement sur instruction documentée

AiderMaVille ne traite les données personnelles que sur instruction documentée de la Commune, telle qu'exprimée dans les CGV, le présent contrat et les paramètres de configuration du service. Si AiderMaVille est tenu, en vertu du droit de l'Union ou du droit national, d'effectuer un traitement non couvert par ces instructions, il en informe la Commune préalablement, sauf si la loi interdit une telle information.

5.2 Confidentialité

AiderMaVille veille à ce que les personnes autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité ou soient astreintes par une obligation légale appropriée de confidentialité. L'accès aux données est restreint aux personnels ayant besoin d'y accéder dans le cadre de leurs fonctions.

5.3 Sécurité des traitements

AiderMaVille met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques, notamment :

• Chiffrement des communications (HTTPS/TLS)
• Chiffrement des données au repos (assuré par les infrastructures Supabase/Vercel)
• Pseudonymisation des adresses email des citoyens après 90 jours d'inactivité
• Contrôle d'accès par rôles (RBAC) pour le tableau de bord mairie
• Authentification sécurisée des agents (mot de passe haché, session JWT)
• Limitation de débit (rate limiting) pour prévenir les soumissions abusives
• Journalisation des actions sensibles (audit log)

5.4 Gestion des sous-traitants ultérieurs

AiderMaVille informe la Commune des sous-traitants ultérieurs auxquels il recourt (voir article 7). AiderMaVille impose à ces sous-traitants des obligations de protection des données équivalentes à celles du présent contrat et demeure responsable de leur respect.

5.5 Assistance au responsable du traitement

AiderMaVille assiste la Commune, dans la mesure du possible compte tenu de la nature du traitement, pour satisfaire à son obligation de donner suite aux demandes d'exercice des droits des personnes concernées. Il notifie également sans délai la Commune de toute violation de données personnelles susceptible d'avoir des conséquences sur les traitements réalisés pour son compte, afin de permettre à la Commune de remplir ses obligations de notification à la CNIL (article 33 RGPD) dans le délai de 72 heures.

5.6 Aide à l'analyse d'impact (AIPD)

AiderMaVille fournit à la Commune toute information nécessaire pour démontrer le respect des obligations prévues à l'article 28 du RGPD et pour réaliser, le cas échéant, une analyse d'impact relative à la protection des données (AIPD). AiderMaVille permet et contribue aux audits, y compris les inspections, réalisés par la Commune ou un auditeur mandaté, après accord préalable sur les conditions d'audit.

❧Article 6 – Obligations du responsable du traitement (la Commune)

La Commune, en sa qualité de responsable du traitement, s'engage à :

• Informer les citoyens du traitement de leurs données personnelles, notamment en rendant accessible la politique de confidentialité d'AiderMaVille sur les canaux de communication de la Commune
• S'assurer de la licéité des traitements réalisés, notamment au regard de la base légale applicable (mission de service public, art. 6(1)(e) du RGPD)
• Gérer les demandes d'exercice des droits des personnes concernées (accès, rectification, suppression, opposition) et faire appel à AiderMaVille si nécessaire pour leur mise en œuvre technique
• Ne fournir à AiderMaVille que des instructions conformes au RGPD et au droit national applicable
• Informer AiderMaVille de toute modification de la durée de conservation ou des catégories de données traitées qui nécessiterait une adaptation du service
• Veiller à ce que les agents municipaux utilisant le tableau de bord aient reçu les formations nécessaires à l'usage conforme du service

❧Article 7 – Sous-traitants ultérieurs

La Commune autorise AiderMaVille à recourir aux sous-traitants ultérieurs suivants, dont l'intervention est indispensable au fonctionnement du service :

• Supabase Inc. : base de données PostgreSQL et stockage objet (photos). Données hébergées en région Europe (EU West). Site : supabase.com
• Vercel Inc.: hébergement de l'application web (edge network mondial, dont des nœuds situés aux États-Unis). Site : vercel.com
• Resend Inc.: envoi des emails transactionnels (notifications de suivi d'observation, invitations d'agents). Infrastructure basée aux États-Unis. Site : resend.com
• Cloudflare, Inc.: protection anti-bot via le service Turnstile (CAPTCHA). Données traitées : adresse IP, signaux navigateur (résolution d'écran, fingerprint léger). Rétention : moins de 24 heures sauf détection d'abus. Peut opérer depuis les États-Unis ou l'Union européenne selon configuration réseau. DPA : cloudflare.com/cloudflare-customer-dpa

La Commune est informée de ces sous-traitants ultérieurs par le présent contrat et consent à leur recours par l'acceptation des CGV. AiderMaVille notifiera la Commune de tout ajout ou remplacement prévu d'un sous-traitant ultérieur avec un préavis raisonnable, permettant à la Commune de s'y opposer.

❧Article 8 – Transferts de données hors Union européenne

Certains des sous-traitants ultérieurs mentionnés à l'article 7 sont établis hors de l'Union européenne. Ces transferts sont encadrés comme suit :

• Vercel Inc. (États-Unis) : Vercel est certifié au titre du Data Privacy Framework (DPF)UE-États-Unis, dont la décision d'adéquation a été adoptée par la Commission européenne le 10 juillet 2023 (base juridique : article 45 du RGPD). Les clauses contractuelles types (CCT) s'appliquent en complément conformément au DPA de Vercel.
• Supabase Inc.: les données sont hébergées dans la région Europe (Francfort, UE). Aucun transfert hors UE n'est effectué pour les données stockées. Supabase ne fait pas l'objet d'un transfert encadré par le DPF ni les CCT pour cette configuration.
• Resend Inc. (États-Unis) : Resend est certifié au titre du Data Privacy Framework (DPF)UE-États-Unis. Les CCT s'appliquent en complément conformément au DPA de Resend.
• Cloudflare, Inc. (États-Unis) : Cloudflare est certifié au titre du Data Privacy Framework (DPF)UE-États-Unis. Les CCT s'appliquent en complément conformément au DPA de Cloudflare disponible à cloudflare.com/cloudflare-customer-dpa.

AiderMaVille met à disposition de la Commune, sur demande, les documents contractuels relatifs à ces garanties.

❧Article 9 – Sort des données en fin de contrat

À l'expiration ou à la résiliation du contrat, pour quelque cause que ce soit :

• AiderMaVille conserve les données de la Commune pendant une période de 30 jourssuivant la date de fin d'abonnement, pour permettre un éventuel export ou réactivation.
• À l'issue de cette période, toutes les données personnelles associées au compte de la Commune (observations, comptes agents, fichiers stockés) sont supprimées de manière définitive et irréversible des systèmes d'AiderMaVille et de ses sous-traitants ultérieurs.
• La Commune peut demander l'export de ses données à tout moment pendant la période de conservation de 30 jours en contactant contact@aidermaville.fr. L'export est fourni dans un format structuré et lisible par machine (JSON ou CSV).
• AiderMaVille atteste par écrit, sur demande de la Commune, de la destruction effective des données.

Par exception, AiderMaVille peut conserver certaines données au-delà de cette période si une obligation légale en vigueur l'impose expressément, et dans la seule mesure de cette obligation.

❧Article 10 – Droit applicable et règlement des litiges

Le présent contrat est soumis au droit français et au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ainsi qu'à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

Tout différend relatif à l'interprétation ou à l'exécution du présent contrat sera soumis, à défaut d'accord amiable, à la compétence des tribunaux français.

Les parties peuvent saisir la Commission nationale de l'informatique et des libertés (CNIL), autorité de contrôle compétente, pour toute question relative au traitement des données personnelles : www.cnil.fr.