Sommaire
1. Responsable de traitement
Pour le site vitrine suivilocal.fr
Le responsable de traitement est :
JBI Solutions — SASU au capital de 1 000,00 €
SIREN : 893 227 868 — SIRET : 893 227 868 00039
RCS : 893 227 868 R.C.S. Béziers
N° TVA intracommunautaire : FR28893227868
Adresse : 2 Impasse du Malrec, 34420 Villeneuve-lès-Béziers
Email : contact@jbisolutions.fr
Pour l'application SuiviLocal (sous-domaine commune)
Le responsable de traitement est la commune cliente qui utilise l'application pour gérer les demandes de ses citoyens.
JBI Solutions intervient en qualité de sous-traitant au sens de l'article 28 du RGPD, dans le cadre du contrat SaaS signé avec la commune.
2. Délégué à la protection des données (DPO)
Le délégué à la protection des données de JBI Solutions est joignable à :
JBI Solutions — 2 Impasse du Malrec, 34420 Villeneuve-lès-Béziers
3. Données collectées
A. Site vitrine (suivilocal.fr)
Le site vitrine ne collecte aucune donnée personnelle automatiquement. Seules les données communiquées volontairement par email de contact sont traitées (nom, email, commune, fonction).
B. Application SuiviLocal
L'application collecte les données suivantes dans le cadre de la gestion des demandes citoyennes :
| Donnée | Obligatoire | Protection |
|---|---|---|
| Nom du demandeur (citoyen) | Oui | AES-256-GCM |
| Prénom du demandeur | Oui | AES-256-GCM |
| Email du demandeur | Non | AES-256-GCM |
| Téléphone du demandeur | Non | AES-256-GCM |
| Adresse du demandeur | Non | AES-256-GCM |
| Objet et contenu de la demande | Oui | Stockage sécurisé |
| Pièces jointes | Non | AES-256-GCM |
| Nom original des fichiers | — | AES-256-GCM |
| Nom / prénom des utilisateurs (agents) | Oui | Stockage sécurisé |
| Email des utilisateurs (agents) | Oui | Stockage sécurisé |
| Mot de passe des utilisateurs | Oui | bcrypt (hash irréversible) |
| Adresse IP (journal d'audit) | Auto. | Stockage sécurisé |
4. Finalités et base légale
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Enregistrement et suivi des demandes citoyennes | Mission d'intérêt public (art. 6.1.e) — Mission de service public de la commune |
| Envoi de notifications email au citoyen (avancement) | Intérêt légitime (art. 6.1.f) — Information du citoyen sur sa demande |
| Gestion des comptes utilisateurs (agents/élus) | Exécution du contrat (art. 6.1.b) — Contrat SaaS avec la commune |
| Journal d'audit et traçabilité | Obligation légale (art. 6.1.c) — Sécurité des traitements (art. 32 RGPD) |
| Statistiques et tableau de bord | Intérêt légitime (art. 6.1.f) — Pilotage du service public |
| Prospection commerciale (site vitrine) | Intérêt légitime (art. 6.1.f) — Avec droit d'opposition |
5. Destinataires des données
Les données personnelles des citoyens sont accessibles uniquement à :
- Les agents et élus de la commune ayant un compte utilisateur, selon leur rôle et leurs permissions
- JBI Solutions en tant que sous-traitant technique (hébergement, maintenance, support), dans le strict cadre du contrat SaaS
Les données ne sont jamais transmises, vendues ou cédées à des tiers, des partenaires commerciaux, des réseaux publicitaires ou tout autre organisme.
6. Durée de conservation
| Type de donnée | Durée de conservation |
|---|---|
| Demandes citoyennes et données associées | 36 mois après clôture (paramétrable par la commune) |
| Comptes utilisateurs (agents/élus) | Durée du contrat SaaS + 30 jours |
| Journal d'audit | 12 mois glissants |
| Logs de connexion | 12 mois (obligation légale — art. 6 LCEN) |
| Données de prospection (site vitrine) | 36 mois à compter du dernier contact |
| Données après résiliation du contrat | Export fourni sous 30 jours, suppression sous 60 jours |
La commune peut à tout moment demander l'anonymisation des données d'un citoyen via l'interface d'administration RGPD intégrée à SuiviLocal.
7. Mesures de sécurité
Conformément à l'article 32 du RGPD, JBI Solutions met en œuvre les mesures techniques et organisationnelles suivantes pour garantir la sécurité des données :
Chiffrement
- AES-256-GCM (OpenSSL) — Chiffrement de toutes les données personnelles en base de données
- AES-256-GCM — Chiffrement de toutes les pièces jointes sur le disque serveur
- HTTPS/TLS — Chiffrement de toutes les communications réseau
- bcrypt — Hachage irréversible des mots de passe avec sel aléatoire
Protection applicative
- Protection CSRF — Tokens générés et vérifiés sur chaque formulaire
- Protection XSS — Échappement systématique des sorties (htmlspecialchars)
- Protection injection SQL — Requêtes préparées PDO exclusivement
- Upload sécurisé — Validation extension, type MIME, taille ; noms aléatoires
- Sessions sécurisées — Cookie HttpOnly, régénération d'ID de session
Infrastructure
- Serveurs hébergés en France (Scaleway) dans des datacenters certifiés
- Sauvegardes quotidiennes automatisées
- Accès serveur restreint par clé SSH
- Mises à jour de sécurité régulières
- Monitoring de disponibilité
Contrôle d'accès
- Authentification obligatoire avec mot de passe fort
- 4 niveaux de rôles avec permissions granulaires (Admin, Maire, Agent, Élu)
- Journal d'audit de toutes les actions sensibles (connexions, exports, RGPD)
- Désactivation des comptes (et non suppression) pour conserver la traçabilité
8. Sous-traitance
JBI Solutions fait appel aux sous-traitants suivants dans le cadre de l'exploitation du service SuiviLocal :
| Sous-traitant | Prestation | Localisation | Garanties |
|---|---|---|---|
| Scaleway SAS (Groupe Iliad) | Hébergement serveur et stockage | 🇫🇷 France | ISO 27001, SOC 2 |
Aucun autre sous-traitant n'a accès aux données personnelles des citoyens. JBI Solutions ne fait appel à aucun service d'analyse, de publicité ou de tracking tiers.
9. Transferts de données hors UE
Aucun transfert de données personnelles hors de l'Union Européenne.
Toutes les données sont stockées et traitées exclusivement sur des serveurs situés en France. Aucun service tiers n'implique un transfert de données vers un pays tiers.
Les polices de caractères (Google Fonts) et les icônes (Font Awesome) utilisées sur le site vitrine sont chargées via CDN. Ces requêtes ne transmettent aucune donnée personnelle.
10. Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
| Droit | Description | Implémentation dans SuiviLocal |
|---|---|---|
| Droit d'accès (art. 15) | Obtenir une copie de vos données personnelles | Export CSV depuis l'interface RGPD |
| Droit de rectification (art. 16) | Corriger des données inexactes | Modification via l'interface de la demande |
| Droit à l'effacement (art. 17) | Demander la suppression de vos données | Anonymisation irréversible en un clic |
| Droit à la limitation (art. 18) | Limiter le traitement de vos données | Suspension du traitement sur demande |
| Droit à la portabilité (art. 20) | Recevoir vos données dans un format structuré | Export CSV structuré |
| Droit d'opposition (art. 21) | S'opposer au traitement | Sur demande au DPO |
Comment exercer vos droits ?
Si vous êtes un citoyen dont la demande a été enregistrée dans SuiviLocal, adressez-vous directement à la mairie de votre commune (responsable de traitement). La mairie dispose des outils intégrés pour traiter votre demande sous 30 jours.
Si vous êtes un utilisateur de l'application (agent, élu), contactez l'administrateur de votre commune ou :
Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Site : www.cnil.fr
Plainte en ligne : www.cnil.fr/fr/plaintes
11. Cookies
Site vitrine (suivilocal.fr)
Le site vitrine n'utilise aucun cookie. Aucun bandeau de consentement n'est nécessaire.
Application SuiviLocal
| Cookie | Finalité | Durée | Consentement |
|---|---|---|---|
PHPSESSID |
Session d'authentification (technique, strictement nécessaire) | Session (supprimé à la fermeture du navigateur) | Exempt (art. 82 LIL, directive ePrivacy) |
Aucun cookie publicitaire, analytique, de tracking, de réseau social ou de profilage n'est utilisé, ni sur le site vitrine, ni dans l'application.
12. Notification de violations
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel :
- JBI Solutions notifie la commune cliente (responsable de traitement) dans les 24 heures suivant la détection
- La commune notifie la CNIL dans les 72 heures si la violation est susceptible d'engendrer un risque pour les droits des personnes
- Les personnes concernées sont informées dans les meilleurs délais si le risque est élevé
Le journal d'audit intégré à SuiviLocal facilite la détection, l'investigation et la documentation de tout incident de sécurité.
13. Modifications de la politique
La présente politique de confidentialité peut être modifiée à tout moment pour s'adapter aux évolutions réglementaires ou fonctionnelles.
En cas de modification substantielle :
- Les communes clientes sont informées par email au moins 30 jours avant l'entrée en vigueur
- La date de dernière mise à jour est indiquée en bas de cette page
- L'historique des versions est conservé et disponible sur demande
14. Contact
Pour toute question relative à la protection de vos données personnelles :
DPO — JBI Solutions
2 Impasse du Malrec, 34420 Villeneuve-lès-Béziers
Dernière mise à jour : 26 mars 2026