Politique de confidentialité
Mise à jour : juin 2026 · Conforme RGPD (UE) 2016/679
1. Responsable du traitement
Responsable : CRBR Group
DPO : dpo@vigiecity.fr
CRBR Group agit en qualité de responsable de traitement pour l'application VigieCity. Les collectivités clientes (communes, intercommunalités) agissent comme responsables de traitement pour leurs administrés.
2. Données collectées
Citoyens (utilisateurs de l'app)
- Adresse email et mot de passe (haché) pour l'authentification
- Prénom et nom (optionnel, pour la personnalisation)
- Commune de résidence (pour afficher les contenus locaux)
- Signalements soumis (description, photos, localisation approximative)
- Messages échangés avec la mairie
- Abonnement aux notifications push (token anonymisé)
- Données de navigation (pages visitées, via PostHog analytics EU)
Administrateurs de collectivités
- Adresse email professionnelle
- Nom et prénom
- Collectivité de rattachement
- Actions réalisées dans le panneau d'administration (audit trail)
Visiteurs du site vitrine
- Données de navigation anonymisées (PostHog, serveurs EU, sans IP complète)
- Aucune donnée nominative sans action explicite de votre part
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du service citoyen | Exécution du contrat (art. 6.1.b) |
| Authentification et sécurité | Intérêt légitime (art. 6.1.f) |
| Envoi de notifications push | Consentement (art. 6.1.a) |
| Messagerie citoyen ↔ mairie | Exécution du contrat (art. 6.1.b) |
| Analytics d'utilisation | Intérêt légitime (art. 6.1.f) |
| Envoi d'emails transactionnels | Exécution du contrat (art. 6.1.b) |
| Conformité légale / RGPD | Obligation légale (art. 6.1.c) |
4. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte citoyen actif | Durée d'utilisation du service |
| Compte citoyen inactif | 3 ans après dernière connexion, puis suppression |
| Signalements | 5 ans (archive légale communes) |
| Messages citoyen ↔ mairie | 3 ans |
| Logs de connexion | 12 mois |
| Données analytics (PostHog) | 12 mois |
| Abonnements push | Jusqu'à révocation ou expiration du token |
5. Sous-traitants
Supabase (AWS eu-west-3 — Paris)
Hébergement base de données et authentification
Localisation : UE
Vercel Inc.
Hébergement application web
Localisation : USA (décision d'adéquation / SCCs)
Resend Inc.
Envoi d'emails transactionnels
Localisation : USA (SCCs)
PostHog (EU Cloud)
Analytics d'utilisation (sans IP complète, anonymisé)
Localisation : UE (Francfort)
6. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
Droit d'accès
Obtenir une copie de vos données
Droit de rectification
Corriger des données inexactes
Droit à l'effacement
Demander la suppression de vos données
Droit à la portabilité
Recevoir vos données dans un format structuré
Droit d'opposition
Vous opposer à certains traitements
Droit de limitation
Restreindre temporairement un traitement
Pour exercer vos droits, contactez notre DPO : dpo@vigiecity.fr. Réponse sous 30 jours.
Vous avez également le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).
7. Sécurité
VigieCity met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS des communications, mots de passe hachés (bcrypt via Supabase Auth), accès aux données restreints par rôles (RLS Supabase), journalisation des accès. Les données sont hébergées exclusivement sur des serveurs situés dans l'Union européenne.
8. Contact
Pour toute question relative à cette politique ou à la protection de vos données : dpo@vigiecity.fr ou contact@vigiecity.fr.