En résumé : Civiqo collecte le strict minimum pour faire fonctionner le site et la newsletter. Aucune revente, aucun partage commercial, aucun cookie publicitaire. Les données sont stockées en Union européenne. Vous pouvez les consulter, rectifier ou supprimer à tout moment.
1. Responsable de traitement
Le responsable de traitement au sens du RGPD est Tom Levy, éditeur du site Civiqo (cf. mentions légales). Pour toute demande relative à vos données personnelles, contactez-nous via le formulaire de contact.
2. Données que nous collectons
a) Compte utilisateur (uniquement si vous vous inscrivez)
- Adresse email (obligatoire pour le lien magique de connexion)
- Prénom et/ou pseudo (optionnel)
- Type de compte (citoyen / élu en vérification / élu vérifié)
- Cercle géographique de rattachement (commune)
- Date d'inscription et de dernière connexion
b) Inscription à la newsletter
- Adresse email
- Source d'inscription (footer, exit-intent, etc.) — analyse de l'acquisition uniquement
- Adresse IP tronquée (3 premiers octets pour IPv4) — anti-spam
- User-Agent simplifié (navigateur + OS) — détection de bots
c) Contributions (posts, commentaires, votes citoyens)
- Contenu de vos publications publiques (texte, pièces jointes)
- Vos votes citoyens sur les lois (Pour / Blanc / Contre)
- Cercle au moment du vote (snapshot — pour agrégation territoriale)
d) Formulaire de contact
- Nom, email, sujet, contenu du message
- IP tronquée + User-Agent (anti-spam)
e) Analytics et navigation
Nous utilisons Google Analytics 4en mode anonymisé pour mesurer l'audience agrégée (pages vues, sources de trafic, durée moyenne). Les adresses IP sont anonymisées par Google. Aucune donnée personnelle directement identifiante n'est transmise à GA.
3. Bases légales et finalités
| Finalité | Base légale |
|---|---|
| Fonctionnement du compte et accès aux fonctions | Exécution du contrat (CGU) |
| Envoi de la newsletter Brief Démocratie | Consentement explicite (opt-in) |
| Modération des contenus publiés | Intérêt légitime (qualité éditoriale) |
| Statistiques d'audience (GA4 anonymisé) | Intérêt légitime — finalité statistique |
| Anti-spam (IP tronquée + User-Agent) | Intérêt légitime — sécurité |
| Réponse aux messages contact | Exécution d'une demande pré-contractuelle |
4. Durées de conservation
- Compte actif : tant que vous l'utilisez. Inactivité de 36 mois → email d'invitation à confirmer, puis suppression sous 3 mois en cas de non-réponse.
- Newsletter : jusqu'à votre désinscription (lien dans chaque email, RFC 8058 one-click). Données conservées 30 jours après désinscription pour gestion des plaintes.
- Posts, commentaires, votes publiés : tant que le contenu reste pertinent. Suppression sur demande.
- Messages contact : 24 mois maximum pour traçabilité.
- Logs techniques (anti-spam) : 12 mois maximum.
- Données de facturation : non applicable (service gratuit).
5. Destinataires et sous-traitants
Vos données sont accessibles uniquement aux sous-traitants techniques nécessaires au fonctionnement du service :
- Supabase Inc. (base de données + auth) — données stockées en région UE (Irlande). Conforme RGPD, politique privacy.
- Vercel Inc. (hébergement applicatif) — point de présence Paris (CDG). Conforme RGPD, politique privacy.
- Resend Inc.(envoi d'emails transactionnels et newsletter) — politique privacy.
- Google LLC (Analytics 4 en mode anonymisé) — politique privacy. Pas d'ID utilisateur Civiqo transmis.
Aucune autre entité ne reçoit vos données. Aucune revente, aucun partage commercial, aucun courtier en données.
6. Transferts hors UE
Certains de nos sous-traitants techniques (Vercel, Resend, Google) sont des entreprises américaines. Les transferts de données vers les États-Unis sont encadrés par :
- Le cadre Data Privacy Framework(DPF) entre l'UE et les États-Unis, auquel Vercel, Resend et Google sont certifiés
- Des clauses contractuelles types de la Commission européenne (Standard Contractual Clauses)
- Pour Supabase, le stockage primaire est en UE (Irlande). Aucun transfert n'est nécessaire au fonctionnement
7. Cookies
Le site utilise les cookies suivants :
- Cookies essentiels (session) :nécessaires à l'authentification. Sans consentement requis (article 82 loi Informatique et Libertés).
- Cookie GA4 anonymisé :mesure d'audience. Configuration en mode « mesure d'audience exemptée de consentement » conforme aux lignes directrices CNIL.
Aucun cookie publicitaire, aucun pixel de tracking tiers, aucun fingerprinting.
8. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès — obtenir confirmation et copie de vos données
- Droit de rectification — corriger une donnée inexacte
- Droit à l'effacement — « droit à l'oubli »
- Droit à la limitation — geler un traitement contesté
- Droit à la portabilité — récupérer vos données dans un format ouvert
- Droit d'opposition — refuser un traitement basé sur l'intérêt légitime
- Droit de retirer votre consentement — à tout moment, sans préjudice
- Droit d'introduire une réclamation auprès de la CNIL
Pour exercer ces droits, contactez-nous via le formulaire de contact avec mention « Demande RGPD ». Nous répondons sous 30 jours maximum (article 12 RGPD).
9. Sécurité
Nous appliquons les mesures techniques et organisationnelles suivantes :
- HTTPS obligatoire (HSTS), TLS 1.2+ partout
- Authentification par lien magique (pas de mot de passe stocké)
- Row Level Security (RLS) Postgres sur toutes les tables sensibles
- Service-role keys jamais exposés côté client
- Chiffrement au repos des bases de données (Supabase)
- Sauvegardes quotidiennes chiffrées
- Logs d'accès auditables
10. Modifications de cette politique
Nous pouvons faire évoluer cette politique pour refléter des changements légaux ou techniques. La date de dernière mise à jour figure en haut de cette page. En cas de changement substantiel, nous vous informons par email (newsletter opt-in et inscrits).
Une question sur vos données ? Écrivez-nous via le formulaire de contact — nous répondons sous 48h ouvrées.