Conformité RGPD JePréviens - Protection des données mairie

Nous comprenons vos inquiétudes

La protection des données personnelles n'est pas une option pour une commune, c'est une obligation légale dont le maire et le DPO sont responsables.

🛡️ DPO de mairie

« Est-ce que je peux inscrire ce traitement au registre sans risque ? »
« Quelles sont mes responsabilités si une donnée fuite ? »
« Comment prouver qu'on respecte les droits d'accès et d'effacement ? »

📋 Secrétaire général

« Le maire me demande un outil de signalement citoyen, mais je ne veux pas qu'on se fasse épingler par la CNIL. »
« Les groupes WhatsApp de la commune, c'est pratique mais c'est l'anarchie niveau RGPD. »

💻 Élu délégué numérique

« On veut moderniser notre relation avec les habitants, mais pas au prix d'une mise en conformité impossible. »
« Combien de temps ça va me prendre pour documenter ça ? »

Bonne nouvelle : JePréviens a été pensé pour vous faciliter la vie.

Toutes les mesures techniques et organisationnelles exigées par le RGPD sont intégrées par défaut. Vous n'avez pas à configurer des règles complexes, à négocier avec un hébergeur étranger, ou à développer des outils d'export sur mesure. C'est déjà fait.

Base légale : intérêt public et consentement citoyen

Un dispositif de participation citoyenne repose sur deux fondements juridiques clairs du RGPD.

Article 6.1.e : intérêt public

Une commune a une mission d'intérêt public pour assurer la sécurité de ses administrés. Le traitement de données dans le cadre d'un dispositif de participation citoyenne répond directement à cette mission.

C'est la base légale utilisée pour les dispositifs « Participation Citoyenne » pilotés par la gendarmerie nationale, pour les systèmes de vidéoprotection communaux, et pour tout outil de sécurité publique locale.

JePréviens s'inscrit dans ce cadre : l'application permet à la commune de recueillir des signalements d'incidents (effractions, rôdeurs, voitures suspectes…) et de coordonner une réponse avec les forces de l'ordre.

Article 6.1.a : consentement explicite

Chaque citoyen qui s'inscrit sur JePréviens consent explicitement au traitement de ses données personnelles. Ce consentement est :

Libre : aucune obligation, l'application est facultative
Éclairé : l'utilisateur lit et accepte les CGU et la politique de confidentialité avant de créer son compte
Spécifique : le consentement porte uniquement sur l'usage de signalement de sécurité
Révocable : l'utilisateur peut supprimer son compte à tout moment depuis l'application

Cette double base légale (intérêt public + consentement) assure une conformité renforcée pour votre commune.

Mesures de sécurité des données : protection par défaut

JePréviens applique le principe de « protection des données dès la conception » (privacy by design).

🌍 Hébergement Europe

Toutes les données sont hébergées sur les datacenters Firebase Europe (Google Cloud Platform) :

Région europe-west1 (Belgique)
Région europe-west2 (Londres, Royaume-Uni)

Aucun transfert vers les États-Unis. Aucune dépendance au Privacy Shield (invalidé par la CJUE en 2020).

🔒 Chiffrement bout en bout

Chiffrement en transit : toutes les communications entre l'application mobile, le tableau de bord mairie et les serveurs utilisent HTTPS/TLS 1.3.

Chiffrement au repos : Firebase applique un chiffrement automatique des données stockées (AES-256). Aucune donnée n'est accessible en clair sur les disques.

👁️ Floutage automatique IA

Dès qu'un citoyen joint une photo à son signalement, une intelligence artificielle floute automatiquement :

Les visages humains
Les plaques d'immatriculation

La photo floutée est la seule stockée. L'original n'est jamais conservé. Cette mesure protège la vie privée des tiers et réduit le risque de traitement excessif.

📍 Géolocalisation sous consentement

JePréviens utilise la géolocalisation précise du téléphone de l'utilisateur pour deux usages techniques essentiels :

Déclencher les alertes citoyens dans un rayon paramétrable (3 à 50 km) autour d'un incident signalé
Géolocaliser les signalements pour permettre à la mairie et aux voisins concernés d'agir efficacement

La géolocalisation n'est activée qu'avec le consentement explicite de l'utilisateur (autorisation système iOS/Android). Elle peut être désactivée à tout moment dans les réglages du téléphone. Aucune publicité, aucune revente, aucun pistage commercial : la position sert exclusivement à la finalité sécurité de l'application.

⏱️ Durée de conservation limitée

Les signalements sont conservés 90 jours en base active, puis :

Soit supprimés automatiquement
Soit anonymisés pour statistiques agrégées (nombre d'incidents par mois, par type…)

Aucune conservation indéfinie. Aucune archive hors des délais légaux. Conforme au principe de limitation de la conservation (art. 5.1.e RGPD).

🚫 Pas de revente de données

Engagement formel : JePréviens ne revend aucune donnée personnelle à des tiers (annonceurs, courtiers en données, assureurs…).

Modèle économique 100 % transparent : la commune paie pour le service (gratuit ≤ 2 000 habitants, 199 €/an au-delà), les citoyens ne sont pas le produit.

Droits des citoyens : accès, rectification, suppression garantis

Chaque utilisateur peut exercer ses droits RGPD directement depuis l'application, sans passer par la mairie.

Droits automatisés dans l'application

Droit d'accès : l'utilisateur consulte à tout moment ses signalements passés, ses messages échangés avec la mairie, son profil.
Droit de rectification : l'utilisateur peut modifier son nom, prénom, adresse e-mail depuis les paramètres de son compte.
Droit à l'effacement : un bouton « Supprimer mon compte » est accessible dans l'application. Toutes les données personnelles sont effacées sous 48h.
Droit à la portabilité : sur demande (via contact@jepreviens.fr), l'utilisateur reçoit un export JSON de ses données.
Droit d'opposition : l'utilisateur peut se désinscrire des notifications push, refuser les annonces générales de la mairie (sauf alertes de sécurité publique urgentes).

Traçabilité pour le DPO

Le tableau de bord mairie conserve un journal d'audit des actions sensibles :

Consultation d'un signalement
Blocage d'un utilisateur abusif
Validation du statut commerçant
Export de données (si nécessaire pour enquête judiciaire)

En cas de contrôle CNIL ou de demande d'un citoyen, le DPO dispose d'un historique complet pour prouver que les droits ont été respectés.

Aucune action manuelle complexe : les droits RGPD sont appliqués par défaut, sans que la mairie ait à intervenir techniquement.

Rôle de la mairie dans le traitement des données

Qui est responsable de quoi ? Clarifions les responsabilités juridiques.

La mairie = responsable de traitement

Au sens du RGPD, la commune est responsable de traitement pour les données des citoyens qui utilisent JePréviens sur son territoire.

Cela signifie que la mairie :

Détermine les finalités du traitement (améliorer la sécurité communale, coordonner avec les forces de l'ordre…)
Doit inscrire ce traitement dans son registre des activités de traitement
Doit informer ses administrés de l'existence du dispositif (communication sur le site web, bulletin municipal…)
Peut répondre aux demandes d'exercice de droits si un citoyen contacte la mairie plutôt que l'application

JePréviens = sous-traitant

JePréviens est sous-traitant au sens du RGPD. Nous traitons les données pour le compte de la commune, selon ses instructions.

Nos engagements contractuels :

Ne traiter les données que pour les finalités définies par la mairie
Ne pas transférer les données hors UE
Appliquer les mesures de sécurité décrites plus haut
Assister la mairie en cas de violation de données (notification CNIL sous 72h si nécessaire)
Supprimer ou restituer les données à la fin du contrat

Un contrat de sous-traitance (Data Processing Agreement / DPA) est fourni à chaque commune abonnée.

En pratique :

La mairie pilote l'outil (annonces, réponses aux habitants, validation des commerçants…). JePréviens garantit l'infrastructure technique sécurisée, les droits RGPD automatisés, et la conformité par défaut. Vous ne portez pas seul la responsabilité technique : nous sommes là pour vous accompagner.

Registre RGPD : modèle de fiche de traitement clé en main

Votre DPO ou secrétaire général doit tenir un registre des traitements (obligation art. 30 RGPD). Voici la fiche type pour JePréviens.

Élément RGPD	Contenu pour JePréviens
Nom du traitement	Dispositif de participation citoyenne à la sécurité communale via l'application JePréviens
Finalité	Permettre aux habitants de signaler des incidents de sécurité (effractions, rôdeurs, voitures suspectes, dégradations…) ; coordonner la réponse de la commune et des forces de l'ordre ; informer les habitants des actions de prévention
Base légale	Article 6.1.e RGPD (mission d'intérêt public : sécurité des administrés) + article 6.1.a (consentement explicite de l'utilisateur lors de l'inscription)
Catégories de données	• Identité : nom, prénom, adresse e-mail • Localisation : commune, code postal, coordonnées GPS (sous consentement explicite de l'utilisateur) • Signalements : type d'incident, description textuelle, photo floutée (visages et plaques masqués par IA), horodatage, géolocalisation • Messagerie : échanges entre l'utilisateur et la mairie • Données techniques : identifiant utilisateur, logs de connexion
Catégories de personnes concernées	Habitants de la commune inscrits volontairement sur l'application JePréviens
Destinataires	• Mairie (agents communaux, élus, secrétariat) • Police municipale (si existante) • Gendarmerie nationale (réf. sûreté de brigade, si convention Participation Citoyenne) • Sous-traitant : JePréviens (hébergement Firebase Europe, développement technique)
Transferts hors UE	Aucun. Hébergement exclusif en Europe (Belgique, Londres).
Durée de conservation	• Signalements en base active : 90 jours • Après 90j : anonymisation pour statistiques agrégées ou suppression • Comptes utilisateurs : conservés tant que l'utilisateur n'a pas demandé la suppression • Logs d'audit (actions mairie) : 1 an
Mesures de sécurité	• Chiffrement en transit (HTTPS/TLS 1.3) et au repos (AES-256) • Floutage automatique IA des visages et plaques d'immatriculation • Accès restreint au tableau de bord mairie (authentification par login/mot de passe, filtrage par commune) • Logs d'audit des actions sensibles • Sauvegardes automatiques quotidiennes (hébergeur Firebase) • Contrôle d'accès : un agent de la commune A ne peut pas voir les données de la commune B
Droits des personnes	Accès, rectification, effacement, portabilité, opposition : exercés directement par l'utilisateur dans l'application, ou sur demande écrite à la mairie (contact@jepreviens.fr relayé au DPO communal)
Analyse d'impact (AIPD)	Non obligatoire pour ce traitement (pas de surveillance systématique à grande échelle, pas de données sensibles au sens RGPD art. 9, floutage automatique limitant les risques). En cas de doute, JePréviens fournit un modèle d'AIPD sur demande.

💡 Conseil pratique : Copiez ce tableau dans votre registre des traitements (Excel, logiciel de gestion RGPD, ou simple document Word). Personnalisez la ligne « Destinataires » si votre commune a des conventions spécifiques (gendarmerie, EPCI, prestataire de vidéoprotection…).

Comparatif RGPD : pourquoi WhatsApp est un risque pour votre commune

Beaucoup de mairies utilisent encore WhatsApp ou Messenger pour les groupes de vigilance citoyenne. C'est pratique, mais juridiquement fragile.

❌ Groupe WhatsApp « vigilance commune »

Hébergement États-Unis (serveurs Meta). Le Privacy Shield a été invalidé en 2020 par la CJUE. Transfert hors UE = risque juridique.
Pas de maîtrise par la mairie : l'administrateur du groupe est souvent un citoyen lambda, pas un agent communal. Qui est responsable de traitement ?
Historique non effaçable : même si vous quittez le groupe, les messages restent chez tous les membres. Impossible de garantir le droit à l'effacement.
Screenshots incontrôlés : n'importe qui peut capturer une photo non floutée et la diffuser hors du groupe. Atteinte à la vie privée des tiers.
Pas de registre RGPD : comment documenter ce traitement pour la CNIL ? Quelle base légale ? Quelle durée de conservation ?
Conditions d'utilisation WhatsApp : Meta se réserve le droit d'utiliser les métadonnées pour ses propres finalités (publicité ciblée…).

Risque réel : en cas de plainte d'un citoyen, la CNIL peut sanctionner la commune pour traitement non conforme. Amende jusqu'à 20 M€ ou 4 % du budget (art. 83 RGPD). Même si ce plafond est rarement atteint pour une petite commune, le risque réputationnel et la charge de travail du DPO sont considérables.

✅ JePréviens

Hébergement Europe (Belgique + Londres). Conformité RGPD garantie.
Mairie responsable de traitement : rôles clairs, contrat de sous-traitance signé avec JePréviens.
Droits RGPD automatisés : effacement en un clic, export JSON sur demande, traçabilité complète.
Floutage systématique : visages et plaques masqués avant stockage. Protection de la vie privée by design.
Registre RGPD clé en main : fiche de traitement fournie (voir section précédente), DPA disponible.
Aucune revente de données : modèle économique transparent (commune paie, citoyens gratuits), pas de publicité, pas de métadonnées exploitées à des fins commerciales.
Logs d'audit : toutes les actions sensibles de la mairie sont historisées pour prouver la conformité.

Bénéfice concret : en cas de contrôle CNIL, vous pouvez prouver en quelques minutes que le traitement est licite, sécurisé, et que les droits des citoyens sont respectés. Votre DPO dort tranquille.

Conseil : Si votre commune utilise actuellement WhatsApp pour la vigilance citoyenne, envisagez une transition progressive vers JePréviens. Vous réduisez votre risque juridique et vous gagnez en traçabilité.

Questions fréquentes des DPO et secrétaires de mairie

JePréviens est-il certifié CNIL ou labellisé RGPD ? ▼

Non, et c'est normal. La CNIL ne délivre pas de « certification RGPD » pour les applications grand public. En revanche, JePréviens respecte toutes les exigences du RGPD (art. 5, 6, 13, 15-22, 25, 28, 30, 32, 33, 34) et peut le prouver par documentation (registre, DPA, politique de confidentialité, logs d'audit…).

Si votre DPO souhaite un audit externe ou une analyse d'impact (AIPD) spécifique à votre commune, contactez-nous : nous fournissons les éléments techniques nécessaires.

Dois-je déclarer JePréviens à la CNIL avant de l'utiliser ? ▼

Non. Depuis le RGPD (2018), il n'y a plus de déclaration préalable à la CNIL pour les traitements courants. Vous devez simplement inscrire ce traitement dans votre registre (obligation art. 30 RGPD) et être en mesure de démontrer la conformité en cas de contrôle.

JePréviens vous fournit une fiche de registre clé en main (voir section précédente). Il vous suffit de la copier dans votre registre communal.

Que se passe-t-il si un citoyen demande l'effacement de ses données ? ▼

L'utilisateur peut supprimer son compte directement dans l'application (menu Paramètres → Supprimer mon compte). Toutes ses données personnelles sont effacées sous 48h : identité, signalements, messages, photos.

S'il préfère contacter la mairie, vous nous transférez la demande (contact@jepreviens.fr) et nous traitons l'effacement dans les délais légaux (1 mois, extensible à 3 mois si complexe). Un accusé de réception est envoyé au demandeur. Aucune charge administrative lourde pour votre secrétariat.

Comment prouver à la CNIL que les photos sont bien floutées ? ▼

Le floutage est automatique et systématique : dès qu'une photo est uploadée par un utilisateur, notre IA détecte les visages et plaques d'immatriculation et applique un flou gaussien irréversible. La photo d'origine n'est jamais stockée.

En cas de contrôle, vous pouvez montrer des exemples de signalements dans votre tableau de bord : toutes les photos affichées sont floutées. JePréviens conserve également des logs techniques attestant du passage par le module de floutage. Traçabilité complète.

Qui peut accéder aux données des citoyens de ma commune ? ▼

Uniquement les agents que vous désignez. Le tableau de bord mairie est cloisonné par commune : un agent de la commune A ne peut pas voir les données de la commune B.

Chaque agent communal (secrétaire, élu, police municipale…) dispose de ses propres identifiants. Vous créez et supprimez les comptes collaborateurs depuis le tableau de bord.

Les forces de l'ordre (gendarmerie) n'ont pas d'accès direct au dashboard. JePréviens n'a pas de convention nationale signée avec la Gendarmerie Nationale. C'est la mairie qui, dans le cadre de ses relations habituelles avec la brigade locale, transmet par export, mail ou point d'étape les signalements qu'elle juge utiles. Aucun back-door administratif.

Que devient mon registre si je résilie l'abonnement JePréviens ? ▼

Conformément au contrat de sous-traitance (DPA), toutes les données sont supprimées ou restituées à la fin du contrat, selon votre choix.

Si vous souhaitez un export avant résiliation (pour archivage légal ou transition vers un autre outil), nous vous fournissons un export JSON de vos signalements et messages.

Vous devez alors mettre à jour votre registre RGPD pour indiquer que le traitement « JePréviens » est clos, et documenter la suppression/restitution des données. Aucune donnée ne reste chez nous après la résiliation.

JePréviens utilise-t-il des cookies ou traceurs publicitaires ? ▼

Le tableau de bord mairie utilise uniquement Google Analytics (cookie first-party) pour comprendre l'usage de l'interface (pages consultées, temps passé…). Aucun cookie tiers publicitaire (Facebook Pixel, etc.).

L'application mobile JePréviens (iOS/Android) ne contient aucun tracker publicitaire. Pas de SDK Facebook, pas de régies pub. Les seules données techniques collectées sont celles nécessaires au fonctionnement (Firebase Authentication, Cloud Firestore, notifications push).

Conformité totale avec les recommandations CNIL sur les cookies et traceurs.

Conformité RGPD garantie pour votre commune

Hébergement EU

Floutage auto IA

Rétention 90j

Logs audit