Version 1.0 — applicable à toutes les souscriptions à compter du 01/01/1970. Cet accord fait partie intégrante des Conditions Générales de Vente et complète la politique de confidentialité.
Préambule — Parties
Le présent Accord de Sous-Traitance (« Accord » ou « DPA ») est conclu entre :
- La Commune abonnée au service Mairie.app, agissant en qualité de responsable de traitement au sens du Règlement (UE) 2016/679 (ci-après le « RGPD »), ci-après désignée le « Responsable » ;
- Wenovlab, SAS, dont le siège social est situé N/A, immatriculée au RCS sous le numéro 0, agissant en qualité de sous-traitant, ci-après désignée le « Sous-traitant ».
L'acceptation du présent Accord par un représentant habilité du Responsable, depuis l'espace d'administration Mairie.app, vaut signature électronique conformément à l'article 1366 du Code civil. Chaque acceptation est horodatée et archivée avec l'empreinte cryptographique du texte accepté.
Article 1 — Objet et durée
Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à traiter pour le compte du Responsable les données à caractère personnel nécessaires à la fourniture du service Mairie.app.
L'Accord est conclu pour la durée de l'abonnement du Responsable au service. Il prend fin automatiquement à la résiliation de l'abonnement, sans préjudice des obligations de restitution et de suppression prévues à l'article 10.
Article 2 — Description du traitement
Les traitements confiés au Sous-traitant sont les suivants :
- Nature : hébergement, stockage, transmission, consultation, modification, extraction et suppression de données à caractère personnel.
- Finalités :
- Publication et gestion du site officiel de la commune (articles, événements, pages statiques, alertes, annuaire, élus, page d'accueil, menus, footer) ;
- Gestion des communications entrantes avec les citoyens (formulaire de contact, portail citoyen, conversations, pièces jointes) ;
- Gestion des comptes des agents et élus (authentification, rôles, permissions) ;
- Notifications (emails transactionnels, notifications in-app) ;
- Traçabilité des actions sensibles (audit trail) ;
- Sauvegarde, supervision, maintenance et support technique de l'infrastructure.
- Catégories de données :
- Agents/élus : identité, coordonnées professionnelles, identifiants de connexion, facteurs d'authentification (TOTP, codes email, codes de récupération), rôles et permissions, journaux de connexion et d'action ;
- Citoyens : identité, coordonnées, contenu des messages, pièces jointes, éventuels éléments de vie privée volontairement transmis dans le cadre d'une demande à la commune ;
- Données techniques : adresse IP, agent utilisateur, journaux applicatifs nécessaires à la sécurité.
- Catégories de personnes concernées : agents et élus du Responsable, administrés et visiteurs du site, tiers contactant la commune.
Article 3 — Obligations du Responsable
Le Responsable s'engage à :
- Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ;
- Garantir, vis-à-vis du Sous-traitant, le respect de ses obligations prévues par le RGPD, notamment l'information des personnes concernées et la licéité des traitements ;
- Superviser les traitements effectués par ses propres agents via la plateforme (création et gestion des comptes, attribution des rôles) ;
- Fournir au Sous-traitant les informations nécessaires à l'exécution de l'Accord (point de contact, coordonnées du Délégué à la protection des données de la commune).
Article 4 — Obligations du Sous-traitant
4.1 — Instructions documentées
Le Sous-traitant traite les données uniquement sur instructions documentées du Responsable, y compris en ce qui concerne les transferts hors UE. Les présentes instructions générales sont formalisées par l'Accord ; des instructions particulières peuvent être transmises par email à [email protected].
4.2 — Confidentialité
Le Sous-traitant veille à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
4.3 — Sécurité (art. 32 RGPD)
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, détaillées en Annexe 1 du présent Accord.
4.4 — Assistance au Responsable
Le Sous-traitant assiste le Responsable dans :
- La mise en œuvre des demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition). Les outils nécessaires sont intégrés à l'espace d'administration ;
- La notification aux autorités de contrôle et aux personnes concernées en cas de violation de données ;
- La réalisation d'analyses d'impact relatives à la protection des données (AIPD) lorsque nécessaire, dans la mesure des informations à sa disposition ;
- Les consultations préalables avec l'autorité de contrôle.
4.5 — Notification des violations de données
En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable sans retard injustifié et, dans la mesure du possible, au plus tard 48 heures après en avoir pris connaissance, par email aux contacts désignés. La notification précise la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables et les mesures prises ou proposées pour y remédier, conformément à l'article 33.3 du RGPD.
Article 5 — Sous-traitants ultérieurs
Le Responsable autorise expressément le Sous-traitant à recourir aux sous-traitants ultérieurs listés en Annexe 2, aux fins exclusives de la fourniture du service.
Le Sous-traitant impose aux sous-traitants ultérieurs les mêmes obligations de protection des données que celles fixées dans le présent Accord, par contrat écrit. Il demeure pleinement responsable devant le Responsable de l'exécution par les sous-traitants ultérieurs de leurs obligations.
Le Sous-traitant informe le Responsable de toute modification envisagée concernant l'ajout ou le remplacement de sous-traitants ultérieurs avec un préavis raisonnable (minimum 30 jours). Le Responsable peut émettre des objections motivées dans ce délai ; à défaut d'accord, le Responsable peut résilier l'Accord sans pénalité.
Article 6 — Transferts hors Union Européenne
Les données applicatives (base de données, fichiers, sauvegardes) sont hébergées exclusivement en France. Les transferts hors UE concernent uniquement les services accessoires identifiés en Annexe 2 :
- Services strictement nécessaires à la sécurité (protection réseau, anti-spam) — déposés sans consentement sur le fondement de l'intérêt légitime, conformément à l'article 82 de la loi Informatique et Libertés ;
- Services optionnels (vidéos embarquées, cartographie tierce) — déposés uniquement après consentement explicite du visiteur via le bandeau de cookies.
Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914), complétées par des mesures techniques supplémentaires (chiffrement TLS 1.3, minimisation des données transmises).
Article 7 — Droits des personnes concernées
Lorsqu'une personne concernée adresse au Sous-traitant une demande d'exercice de ses droits, celui-ci transmet la demande au Responsable dans les meilleurs délais. Le Sous-traitant n'est pas autorisé à répondre directement à ces demandes sauf instruction écrite du Responsable.
Le Sous-traitant met à disposition du Responsable les fonctionnalités nécessaires à l'exercice de ces droits (export des données au format JSON, suppression de compte avec période de grâce, rectification depuis l'espace d'administration).
Article 8 — Analyses d'impact (AIPD)
Le Sous-traitant fournit au Responsable, sur simple demande, les informations techniques et organisationnelles nécessaires à la réalisation d'une AIPD (architecture, flux de données, mesures de sécurité, sous-traitants ultérieurs). Les informations figurant dans le présent Accord et son Annexe 1 constituent le socle de ces éléments.
Article 9 — Audit et contrôle
Le Responsable peut demander à auditer le respect par le Sous-traitant des obligations du présent Accord, au maximum une fois par an sauf en cas de violation avérée. L'audit est effectué avec un préavis raisonnable (minimum 30 jours), aux frais du Responsable, par lui-même ou par un tiers indépendant qu'il mandate, soumis à une obligation de confidentialité.
À la demande, le Sous-traitant met à disposition du Responsable les attestations, certifications et rapports d'audit pertinents de ses sous-traitants ultérieurs (par exemple : attestations ISO 27001 et HDS de Scalingo, prestataire d'hébergement PaaS). À ce stade, le Sous-traitant (Mairie.app) n'est pas lui-même certifié ISO 27001 ; il hérite indirectement des certifications de Scalingo, sous-traitant ultérieur en charge de l'hébergement de l'infrastructure.
Article 10 — Fin du contrat — Restitution et suppression
À la fin de l'Accord, au choix du Responsable exprimé par écrit :
- Restitution : le Sous-traitant met à disposition du Responsable, pendant une période de 30 jours, un export complet des données (format JSON structuré, pièces jointes incluses), téléchargeable depuis l'espace d'administration ou transmis sur support sécurisé ;
- Suppression : le Sous-traitant supprime les données au terme du délai ci-dessus, puis procède à la suppression des sauvegardes dans un délai maximal de 90 jours.
Le Sous-traitant atteste par écrit, sur demande, de la suppression effective des données.
Article 11 — Responsabilité
Chaque partie répond des dommages causés aux personnes concernées du fait d'un manquement à ses propres obligations. Le Sous-traitant répond en outre des dommages résultant spécifiquement des obligations qui lui incombent au titre du RGPD ou des présentes.
Article 12 — Évolution de l'Accord
Le Sous-traitant peut faire évoluer le présent Accord, notamment pour tenir compte de l'évolution du cadre légal, des technologies, des sous-traitants ultérieurs ou des fonctionnalités du service. Les évolutions substantielles font l'objet d'une information préalable au Responsable (email et bannière dans l'espace d'administration) avec un délai d'au moins 30 jours. L'acceptation de la nouvelle version est requise pour la poursuite du service.
Article 13 — Droit applicable et juridiction
Le présent Accord est soumis au droit français et, pour ce qui relève du traitement des données personnelles, au RGPD. Les litiges relèvent de la compétence exclusive des tribunaux français compétents.
Annexe 1 — Mesures techniques et organisationnelles de sécurité
- Chiffrement en transit : TLS 1.3 pour toutes les communications client-serveur et inter-services ;
- Chiffrement au repos : sauvegardes chiffrées, stockage objet chiffré, hachage fort des mots de passe ;
- Isolation multi-tenant : Row-Level Security PostgreSQL — étanchéité des données entre communes appliquée au niveau base de données ;
- Authentification forte : double facteur TOTP et email disponible ; politique de mots de passe forts ; obligatoire pour les superadministrateurs ;
- Gestion des accès : contrôle d'accès basé sur les rôles (RBAC) granulaire ; principe du moindre privilège ;
- Protection contre les abus : rate limiting sur authentification et formulaires publics, protection CSRF, captcha sur formulaires citoyens, protection DDoS et WAF en bordure ;
- Traçabilité : double journal d'audit (actions commune / actions plateforme) avec conservation contrôlée ;
- Sauvegardes : quotidiennes, chiffrées, stockées séparément des serveurs de production, conservation 14 jours ; restauration testée à la mise en place et lors de changements majeurs d'infrastructure ;
- Surveillance : supervision automatisée (métriques, logs, alertes sur anomalies) ; intervention humaine en heures ouvrées, couverture étoffée à mesure que l'équipe grandit ;
- Revue : tests automatisés (unitaires, fonctionnels, sécurité) ; revues de code systématiques avant mise en production ;
- Continuité : procédure de gestion d'incident documentée ; engagement de disponibilité 99 % mensuel en première année, objectif relevé progressivement à mesure que l'infrastructure et l'équipe d'exploitation gagnent en maturité.
Annexe 2 — Liste des sous-traitants ultérieurs
La colonne Catégorie indique la classification du service au regard de l'article 82 de la loi Informatique et Libertés et de la politique de cookies applicable aux visiteurs du site public :
- Backend : sous-traitant interne au service, sans dépôt de cookie côté visiteur ;
- Strictement nécessaire : cookie déposé sans consentement, sur le fondement de l'intérêt légitime de sécurité (art. 82 LIL, lignes directrices CNIL) ;
- Optionnel : cookie déposé uniquement après consentement explicite du visiteur.
| Sous-traitant | Finalité | Catégorie | Localisation | Garanties transfert |
|---|---|---|---|---|
| Scalingo SAS | Hébergement PaaS (calcul, base, stockage, sauvegardes) | Backend | Strasbourg, France | UE — aucun transfert |
| Cloudflare, Inc. | CDN, protection DDoS, WAF | Strictement nécessaire (sécurité) | États-Unis / UE (Regional Services) | CCT + DPA |
| Resend | Emails transactionnels | Backend | Irlande, UE | UE — aucun transfert |
| Brevo (anciennement Sendinblue) | Envois d'emails de masse (campagnes, newsletters) | Backend | France, UE | UE pour l'envoi des emails. Certains ressources de tracking, pixels ou CDN tiers peuvent transiter par des sous-traitants hors UE selon la configuration retenue ; ces transferts sont encadrés par les Clauses Contractuelles Types incluses dans le DPA Brevo. |
| Chorus Pro — AIFE | Facturation électronique B2G obligatoire | Backend | France (opérateur étatique) | UE — aucun transfert |
| hCaptcha — Intuition Machines, Inc. | Protection anti-spam des formulaires publics (contact, RDV, signalement, réservation, newsletter) | Strictement nécessaire (sécurité) | États-Unis | CCT |
| Umami (auto-hébergé) | Mesure d'audience sans cookie | Exempt CNIL (cf. note ci-dessous) | France | UE — aucun transfert |
| OpenStreetMap Foundation | Tuiles cartographiques (annuaire, plans) | Optionnel (consentement) | Royaume-Uni / UE | Pays reconnu adéquat |
| Google LLC (Google Fonts) | Distribution des polices typographiques utilisées par l'interface (Bricolage Grotesque, Newsreader, Public Sans) via les domaines fonts.googleapis.com et fonts.gstatic.com | Backend (chargement de ressources statiques, aucun cookie) | États-Unis | CCT |
| Google LLC (YouTube) / Vimeo, Inc. | Lecture de vidéos embarquées | Optionnel (consentement) | États-Unis | CCT |
La liste est susceptible d'évoluer conformément à l'article 5 du présent Accord. Sa dernière version fait foi ; elle est accessible publiquement à l'URL /dpa.
Note sur Umami — exemption CNIL
L'instance Umami que nous opérons respecte les cinq critères cumulatifs posés par la CNIL (délibération n° 2020-091 et lignes directrices ultérieures) pour qu'un outil de mesure d'audience soit dispensé du recueil du consentement :
- Finalité strictement limitée à la mesure d'audience pour le compte exclusif de l'éditeur — aucune jonction avec d'autres traitements ni transmission à des tiers ;
- Production de statistiques anonymes uniquement (pas de profilage individuel, pas de ciblage publicitaire) ;
- Aucune donnée à caractère personnel conservée au-delà de la durée nécessaire à l'élaboration des statistiques — adresses IP tronquées immédiatement, aucun identifiant persistant côté navigateur ;
- Données non recoupées avec d'autres traitements ni transmises à des tiers ;
- Pas de traçage de la navigation sur d'autres sites — l'outil est auto-hébergé et limité au périmètre du site éditeur.
Cette configuration est documentée dans notre registre des traitements et auditable sur demande.
Annexe 3 — Contacts
Côté Sous-traitant :
Référent RGPD ("Théo Dulieu") : "[email protected]"
Mairie.app n'a pas désigné de DPO au sens de l'article 37 du RGPD : cette désignation n'est pas requise compte tenu de la nature et de l'échelle des activités.
Urgence sécurité / violation de données : même adresse, avec la mention [SECURITE] en objet.
Côté Responsable : le point de contact est la personne ayant accepté le présent Accord au nom de la commune, ou toute personne désignée ultérieurement via l'espace d'administration.