Dernière mise à jour : 11 janvier 2026
📋 Table des matières
1. Responsable du traitement
La plateforme UrbaFix est mise à disposition des collectivités territoriales françaises pour la gestion des signalements citoyens.
Le responsable du traitement des données personnelles est la commune ou collectivité qui déploie UrbaFix sur son territoire.
🏛️ Pour connaître le responsable du traitement :
Contactez la mairie ou collectivité dont vous dépendez. Les coordonnées du Délégué à la Protection des Données (DPO) sont disponibles sur le site officiel de votre collectivité.
2. Données collectées
2.1. Citoyens (Application mobile)
Lors d'un signalement d'incident, nous collectons :
| Donnée | Obligatoire | Chiffrement |
|---|---|---|
| Nom et prénom | Optionnel | ✅ AES-256-GCM |
| Adresse email | Optionnel | ✅ AES-256-GCM |
| Numéro de téléphone | Optionnel | ✅ AES-256-GCM |
| Géolocalisation GPS | Obligatoire | ❌ Non (donnée technique) |
| Photos de l'incident | Optionnel | ❌ Non (floutage automatique des visages) |
| Vidéos de l'incident | Optionnel | ❌ Non (stockage sécurisé) |
| Description de l'incident | Obligatoire | ❌ Non |
| Device ID (appareil) | Automatique | ❌ Non (identifiant technique) |
2.2. Agents municipaux (Interface backoffice)
Pour l'accès au backoffice de gestion, nous collectons :
- Nom et prénom de l'agent
- Adresse email professionnelle
- Rôle et service d'affectation
- Logs de connexion (adresse IP, date/heure)
2.3. Données techniques
Nous collectons automatiquement :
- Adresse IP (pour sécurité et détection de fraude)
- User-Agent du navigateur
- Horodatage des actions
- Données de géolocalisation des incidents
3. Finalités du traitement
Vos données personnelles sont utilisées uniquement pour les finalités suivantes :
3.1. Gestion des signalements citoyens
- Enregistrement et traitement des incidents signalés
- Communication avec le citoyen sur l'avancement du traitement
- Transmission de l'incident au service municipal compétent
- Historisation des signalements pour suivi
3.2. Amélioration du service public
- Statistiques anonymisées sur les incidents (types, zones géographiques, délais de traitement)
- Amélioration de la qualité du service municipal
- Planification des interventions
3.3. Sécurité et conformité
- Détection et prévention de la fraude
- Protection contre les abus et signalements malveillants
- Respect des obligations légales
4. Base légale du traitement
Le traitement de vos données personnelles repose sur :
- Mission d'intérêt public (Article 6.1.e du RGPD) : Gestion du service public municipal
- Obligation légale (Article 6.1.c du RGPD) : Conservation des données pour respect des obligations légales
- Consentement (Article 6.1.a du RGPD) : Utilisation de cookies non essentiels (si applicable)
5. Destinataires des données
Vos données personnelles sont accessibles uniquement par :
5.1. Services municipaux
- Agents municipaux habilités selon leur service d'affectation
- Services techniques compétents pour le traitement de l'incident
- Responsables hiérarchiques pour supervision
5.2. Organisme compétent
Selon la nature de l'incident, les données peuvent être transmises à :
- EPCI (Établissement Public de Coopération Intercommunale) si compétence déléguée
- Syndicats intercommunaux (eau, assainissement, etc.)
- Conseil Départemental (routes départementales)
- Prestataires de services municipaux (sous contrat de sous-traitance RGPD)
5.3. Hébergement des données
Les données sont hébergées en France sur des serveurs sécurisés conformes aux normes de sécurité françaises et européennes.
🇫🇷 Souveraineté numérique :
Aucune donnée n'est transférée hors de l'Union Européenne. Les serveurs sont physiquement localisés en France.
5.4. Aucun partage commercial
⛔ Vos données ne sont jamais vendues, louées ou partagées à des tiers à des fins commerciales ou marketing.
6. Durée de conservation
| Type de donnée | Durée de conservation | Base légale |
|---|---|---|
| Données du signalement | 5 ans après clôture de l'incident | Archives publiques |
| Photos et vidéos | 5 ans après clôture de l'incident | Archives publiques |
| Données citoyens (nom, email, téléphone) | Conservées jusqu'à suppression du compte citoyen | Gestion de la relation |
| Logs de connexion | 12 mois | Sécurité informatique |
| Statistiques anonymisées | Indéfini (données anonymes) | Amélioration du service |
À l'issue de ces durées, les données sont soit supprimées définitivement, soit anonymisées (suppression de tout identifiant).
7. Sécurité des données
La protection de vos données personnelles est notre priorité absolue. Nous mettons en œuvre des mesures techniques et organisationnelles robustes :
7.1. Chiffrement des données sensibles
🔐 Chiffrement AES-256-GCM :
Les données sensibles (nom, prénom, email, téléphone) sont chiffrées en base de données avec l'algorithme AES-256-GCM, standard militaire recommandé par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).
- Algorithme : AES-256-GCM (Galois/Counter Mode)
- Taille de clé : 256 bits (niveau top secret)
- Intégrité : Tag d'authentification détectant toute altération
- Stockage de la clé : Docker Secrets, jamais en clair
7.2. Anonymisation des photos (RGPD)
👤 Floutage automatique des visages :
Toutes les photos uploadées sont automatiquement traitées pour détecter et flouter les visages, conformément au RGPD. Ce traitement protège la vie privée des personnes photographiées.
- Détection automatique des visages via OpenCV
- Floutage gaussien irréversible
- Traitement asynchrone post-upload
- Vérification de conformité RGPD
7.3. Autres mesures de sécurité
- HTTPS obligatoire : Chiffrement TLS 1.3 de toutes les communications
- Pare-feu applicatif : Protection contre les attaques (DDoS, injection SQL, XSS)
- Authentification forte : Mots de passe hashés avec bcrypt
- Contrôle d'accès : Permissions basées sur les rôles (RBAC)
- Logs de sécurité : Traçabilité de tous les accès
- Sauvegardes chiffrées : Backups quotidiens automatiques
- Mises à jour de sécurité : Déploiement automatique des correctifs
- Audit de sécurité : Tests réguliers de vulnérabilités
7.4. Conformité réglementaire
- ✅ RGPD (Règlement Général sur la Protection des Données)
- ✅ ANSSI (Recommandations de sécurité)
- ✅ Hébergeur de Données de Santé (HDS) compatible
- ✅ RGS (Référentiel Général de Sécurité) compatible
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
8.1. Droit d'accès
Vous pouvez obtenir la confirmation que vos données sont traitées et accéder à l'intégralité de vos données personnelles.
8.2. Droit de rectification
Vous pouvez demander la correction de vos données personnelles si elles sont inexactes ou incomplètes.
8.3. Droit à l'effacement ("droit à l'oubli")
Vous pouvez demander la suppression de vos données personnelles, sauf si la conservation est nécessaire pour :
- Respecter une obligation légale
- Exercer ou défendre des droits en justice
- Archivage dans l'intérêt public (documents administratifs)
8.4. Droit à la limitation du traitement
Vous pouvez demander le gel temporaire du traitement de vos données dans certaines situations.
8.5. Droit à la portabilité
Vous pouvez récupérer vos données personnelles dans un format structuré et lisible par machine (JSON, CSV).
8.6. Droit d'opposition
Vous pouvez vous opposer au traitement de vos données personnelles pour des raisons tenant à votre situation particulière.
8.7. Droit de définir des directives post-mortem
Vous pouvez définir des directives relatives au sort de vos données après votre décès.
8.8. Exercer vos droits
📧 Pour exercer vos droits :
Contactez le Délégué à la Protection des Données (DPO) de votre commune ou collectivité. Coordonnées disponibles sur le site officiel de votre mairie.
Délai de réponse : 1 mois maximum (prorogeable de 2 mois si complexité)
Pièces à fournir : Copie d'une pièce d'identité pour vérification
8.9. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site web : www.cnil.fr
- Adresse : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
- Téléphone : 01 53 73 22 22
10. Modifications de la politique
Cette politique de confidentialité peut être modifiée à tout moment pour refléter les évolutions réglementaires ou fonctionnelles de la plateforme.
Notification des changements : En cas de modification substantielle, vous serez informé par :
- Notification dans l'application mobile
- Email (si vous avez fourni une adresse)
- Bandeau d'information sur le site web
Date de dernière mise à jour : 11 janvier 2026
11. Contact
11.1. Délégué à la Protection des Données (DPO)
Pour toute question relative à la protection de vos données personnelles, contactez le DPO de votre commune ou collectivité.
📍 Comment trouver les coordonnées du DPO :
- Site officiel de votre mairie (section "Mentions légales" ou "Protection des données")
- En mairie auprès de l'accueil
- Par téléphone au standard de votre mairie
11.2. Éditeur de la plateforme UrbaFix
Pour toute question technique sur la plateforme UrbaFix (bugs, suggestions, partenariats) :
- Site web : https://urbafix.fr
- Email : contact@urbafix.fr
- GitHub : https://github.com/urbafix (code open source)
11.3. Assistance technique citoyens
Pour de l'aide sur l'utilisation de l'application mobile ou signaler un problème technique :
- Contactez directement votre mairie (coordonnées dans l'application)
- Documentation en ligne : https://urbafix.fr/docs
Des questions sur vos données ?
Nous sommes là pour vous aider. Contactez le DPO de votre collectivité pour toute question.