Politique de confidentialité
Conformément au RGPD (Règlement UE 2016/679) et à la loi Informatique et Libertés
1. Responsable du traitement
Baptiste Loiseau — VigieCity
Email DPO / contact : privacy@vigie-city.fr
2. Données collectées et finalités
| Données | Finalité | Base légale |
|---|---|---|
| Adresse email | Authentification et communication | Contrat (CGU) |
| Pseudonyme / prénom | Identification sur la plateforme | Contrat |
| Coordonnées GPS approximatives | Localisation d'un signalement | Consentement |
| Description du signalement | Alerte de voisinage | Intérêt légitime |
| Photos jointes aux signalements | Illustration du signalement | Consentement |
| Contacts de confiance (nom, tél.) | Alerte SOS automatique | Consentement |
| Abonnement push (endpoint, clés) | Notifications d'alerte | Consentement |
| Événements SOS (date, commune) | Journalisation des urgences | Intérêt légitime |
| Logs de connexion (IP horodatée) | Sécurité et lutte contre la fraude | Obligation légale |
3. Données de géolocalisation
Les coordonnées GPS sont approximées (rayon ~50 m) avant stockage pour limiter la précision. L'adresse exacte n'est jamais enregistrée. Le partage de localisation est toujours facultatif : vous pouvez soumettre un signalement sans activer la géolocalisation.
Base légale : consentement explicite recueilli au moment de la demande de permission de géolocalisation dans l'application (art. 6.1.a RGPD).
4. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur (email, profil) | Jusqu'à suppression du compte + 30 jours |
| Signalements publiés | 12 mois après publication |
| Alertes mairie | Jusqu'à expiration définie par la commune |
| Événements SOS | 6 mois (journalisation sécurité) |
| Contacts de confiance | Jusqu'à suppression manuelle ou du compte |
| Abonnements push | Jusqu'à révocation ou expiration (auto-nettoyage) |
| Logs techniques (IP) | 1 an (obligation légale LCEN) |
5. Destinataires des données
Vos données sont accessibles aux personnes suivantes, dans la limite de leurs attributions :
- Modérateurs de votre commune — voient les signalements publiés dans leur périmètre (pseudonyme uniquement, pas d'email ni de coordonnées GPS exactes)
- Supabase Inc. — sous-traitant technique (stockage, authentification), DPA en place, hébergement UE
- Vercel Inc. — sous-traitant technique (déploiement applicatif), DPA en place, données en transit uniquement
Aucune donnée n'est vendue ou transmise à des tiers à des fins commerciales.
6. Transferts hors UE
Vercel Inc. (États-Unis) et Supabase Inc. (Singapour / AWS UE) sont couverts par des clauses contractuelles types (CCT / SCC) conformes à l'article 46 du RGPD. Les données sont physiquement stockées dans la région AWS eu-west-1 (Irlande).
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès — obtenir une copie de vos données
- Rectification — corriger des données inexactes
- Effacement — demander la suppression de vos données (« droit à l'oubli »)
- Opposition — vous opposer à certains traitements fondés sur l'intérêt légitime
- Limitation — restreindre temporairement un traitement
- Portabilité — recevoir vos données dans un format structuré
- Retrait du consentement — à tout moment pour les traitements fondés sur le consentement
Pour exercer vos droits : privacy@vigie-city.fr — réponse sous 30 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL.
8. Sécurité des données
VigieCity met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement en transit (HTTPS/TLS 1.3)
- Chiffrement au repos (AES-256) via Supabase / AWS
- Row-Level Security (RLS) PostgreSQL — cloisonnement par commune
- Authentification sécurisée (Supabase Auth, JWT)
- Hachage SHA-256 des coordonnées GPS avant stockage
- Accès modérateur limité aux données de leur commune
En cas de violation de données susceptible d'engendrer un risque pour vos droits, vous en serez informé conformément à l'article 34 du RGPD dans les meilleurs délais.
9. Cookies et technologies similaires
VigieCity n'utilise que des cookies techniques strictement nécessaires (session d'authentification, jeton JWT). Aucun cookie de traçage publicitaire n'est déposé. Ces cookies ne nécessitent pas de consentement préalable (directive ePrivacy, art. 5.3).
10. Modifications
Cette politique peut être mise à jour pour refléter les évolutions de la plateforme ou de la réglementation. La version en vigueur est toujours accessible depuis cette page. En cas de modification substantielle, vous en serez informé par email ou notification dans l'application.
Dernière mise à jour : juin 2025. Version 1.0.