Conformité RGPD, par défaut.
DPA signé dès l’ouverture, hébergement souverain en France, durées de conservation paramétrées, droits des personnes opérationnels : la conformité RGPD est une fondation, pas une option payante.
Ce qui est inclus, sans surcoût
DPA pré-rédigé et conforme article 28
Le contrat de sous-traitance suit le modèle de la CNIL avec les clauses obligatoires : objet, durée, finalité, instructions, sécurité, sous-traitants ultérieurs, audit, fin du traitement.
Hébergement France
Infrastructures situées en France, fournisseurs européens certifiés ISO 27001. Pas de soumission à des juridictions étrangères, pas de Cloud Act.
Purge automatique tracée
Les données dépassant leur durée de conservation sont purgées automatiquement chaque nuit. Chaque purge est journalisée — preuve d’exécution à présenter en cas d’audit.
Journal des accès aux données
Toute consultation de données sensibles par un agent est tracée (qui, quoi, quand). En cas de doute, vous pouvez retrouver précisément qui a accédé à quel dossier.
Comment nous prenons à notre charge la conformité
- 1
Étape 1 : Un DPA signé dès le provisionnement
Le contrat de sous-traitance RGPD (article 28) est pré-rédigé, fourni dès l’ouverture de votre site et accessible à tout moment depuis votre back-office. Il liste les sous-traitants ultérieurs et leurs garanties.
- 2
Étape 2 : Un hébergement souverain en France
Vos données (base, fichiers, médias, messages) sont hébergées sur des infrastructures situées en France, dans un cadre juridique européen — pas de transfert vers les États-Unis ou autre juridiction étrangère.
- 3
Étape 3 : Des durées de conservation paramétrables et appliquées
Chaque type de donnée (message, compte, alerte, audit) a sa durée de conservation par défaut, modifiable et appliquée automatiquement. La purge est exécutée chaque jour, tracée, irréversible.
Pourquoi le sujet est devenu critique
La CNIL a renforcé ses contrôles sur le secteur public, et la commune reste responsable du traitement même quand elle délègue la mise en œuvre technique.
Le DPA prestataire reste introuvable au moment de l’audit
Article 28 du RGPD oblige : sans contrat de sous-traitance signé avec votre prestataire site web, la commune est juridiquement exposée en cas de contrôle CNIL ou d’incident de sécurité.
Vous ne savez plus où sont vos données
Hébergement chez un GAFAM, sous-traitants en cascade, transferts hors UE : les chaînes de traitement deviennent opaques, alors que la commune reste responsable du traitement.
Les durées de conservation ne sont documentées nulle part
Combien de temps gardez-vous les messages citoyens ? Les comptes utilisateurs ? Les photos d’événements ? Sans politique formalisée, vous ne pouvez ni la respecter ni la prouver.
Cadre légal français et européen
Depuis le 25 mai 2018, le Règlement général sur la protection des données(RGPD, règlement UE 2016/679) impose à toute administration française des obligations précises sur le traitement des données personnelles, complétées par la loi Informatique et libertés du 6 janvier 1978 modifiée.
La commune est responsable du traitement au sens de l’article 4 du RGPD : elle décide des finalités et des moyens du traitement. Notre rôle est celui de sous-traitant (article 4 et 28) : nous traitons les données pour le compte de la commune, dans le strict respect de ses instructions.
Le contrat de sous-traitance (DPA) entre la commune et nous est obligatoire (article 28.3 du RGPD). Il définit l’objet, la durée, la nature, la finalité du traitement, les types de données, les obligations du sous-traitant, et la procédure en fin de prestation (restitution / suppression des données).
La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité de contrôle compétente. Elle peut prononcer des sanctions administratives en cas de non-conformité, pouvant atteindre, pour le secteur public, 20 millions d’euros ou un pourcentage du budget annuel (article 83 du RGPD).
À noter : les communes ont l’obligation de désigner un délégué à la protection des données (DPO), le cas échéant mutualisé avec d’autres collectivités. Notre plateforme facilite son travail mais ne se substitue pas à sa désignation.
Nos sous-traitants ultérieurs
La liste complète figure dans le DPA, mais nous la publions ici pour transparence. Tout ajout fait l’objet d’une notification préalable à la commune, qui peut s’y opposer.
Scalingo
Hébergement applicatif et base de données
Strasbourg, France
Datacenters en France, entreprise française, certifié ISO 27001 et HDS.
Brevo (ex-Sendinblue)
Envoi d’e-mails transactionnels
France (UE)
Entreprise française, infrastructure européenne.
Resend
Envoi d’e-mails transactionnels (redondance)
Union européenne
Utilisé en secondaire pour garantir la délivrabilité, opéré dans le cadre du RGPD.
hCaptcha
Protection anti-bot sur les formulaires publics
Union européenne
Aucune donnée personnelle stockée, alternative respectueuse de la vie privée à reCAPTCHA.
Umami (auto-hébergé)
Analytique web — le cas échéant
Hébergé chez Scalingo, France
Analytique sans cookies, sans transfert hors UE, auto-hébergé sur notre infrastructure.
Questions fréquentes sur la conformité RGPD
Le DPA (data processing agreement) est fourni en tant que document contractuel séparé, accessible à tout moment depuis votre back-office. Selon les pratiques de votre commune, il peut être signé manuellement par le maire et notre représentant, ou validé via signature électronique conforme eIDAS.
Une version horodatée et signée est conservée des deux côtés.
Vous pourriez aussi consulter
Fonctionnalités liées
Comparatifs
Sécurisez la conformité RGPD de votre commune
DPA, hébergement France et conformité par défaut sont inclus dans tous les plans. Essai gratuit 30 jours, sans carte bancaire.