Politique de Confidentialité

Dernière mise à jour : 15 avril 2026 — Version 1.0

Engagement solennel : Citoyance ne revend aucune donnée, n'affiche aucune publicité et n'effectue aucun profilage commercial des citoyens. Les portails publics sont consultables de manière anonyme.

1. Responsables de traitement

Pour les données des élus, agents et citoyens d'une commune utilisatrice : la commune est responsable de traitement. Zuhd Studio (Citoyance) agit en qualité de sous-traitantau sens de l'article 28 du RGPD, dans le cadre d'un accord de sous-traitance (DPA).

Pour les données de prospection, facturation et comptes administratifs Zuhd Studio : Zuhd Studio (HAMOUCHI Nabile, SIRET 987 960 119 00012) est responsable de traitement.

Contact du DPO : contact.zuhdme+dpo@gmail.com

2. Traitements mis en œuvre

FinalitéBase légaleDonnéesDurée de conservation
Gestion des comptes élus/agentsExécution de mission d'intérêt public (art. 6.1.e)Nom, prénom, fonction, commune, email pro, journaux de connexionDurée du mandat + 1 an, puis archivage 5 ans
Publication d'informations publiques (réalisations, projets)Mission d'intérêt public (art. 6.1.e)Contenus publiés par la communeTant que la commune souhaite les publier + archivage légal
Consultation anonyme par les citoyensIntérêt légitime (art. 6.1.f)Données techniques pseudonymisées (logs serveur)6 mois
Facturation et comptabilitéObligation légale (art. 6.1.c)Raison sociale, SIRET, adresse, montants10 ans (art. L.123-22 C. commerce)
Prospection commerciale B2BIntérêt légitime (art. 6.1.f)Nom, fonction, email professionnel3 ans depuis le dernier contact
Support clientExécution contractuelle (art. 6.1.b)Identifiants, contenu des échanges3 ans après clôture du ticket
Mesure d'audienceExemption CNIL (configuration conforme) ou consentementDonnées agrégées, IP tronquée13 mois max

3. Destinataires et sous-traitants

Les données ne sont accessibles qu'aux personnes habilitées de la commune responsable et aux personnels autorisés de Zuhd Studio. La liste à jour des sous-traitants est publiée sur la page /sous-traitants.

4. Transferts hors Union européenne

Certains sous-traitants (Vercel Inc., Google LLC, Stripe Inc.) ont leur maison-mère aux États-Unis. Les données applicatives sont stockées en régions européennes mais peuvent faire l'objet d'accès ponctuels depuis les États-Unis pour maintenance ou support. Ces transferts sont encadrés par :

  • les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) ;
  • la certification EU–US Data Privacy Framework des sous-traitants concernés ;
  • des mesures techniques supplémentaires (chiffrement en transit et au repos).

5. Sécurité

Des mesures techniques et organisationnelles conformes à l'article 32 du RGPD sont mises en œuvre : chiffrement TLS 1.3, chiffrement au repos, authentification forte (MFA) pour les comptes élus/agents, cloisonnement par commune, journalisation, sauvegardes chiffrées testées, gestion des habilitations par moindre privilège. Le détail est publié sur /securite.

6. Vos droits

Conformément aux articles 15 à 22 du RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants :

  • droit d'accès et droit à une copie de vos données ;
  • droit de rectification ;
  • droit à l'effacement (« droit à l'oubli ») ;
  • droit à la limitation du traitement ;
  • droit à la portabilité ;
  • droit d'opposition, y compris au traitement fondé sur l'intérêt légitime ;
  • droit de retirer votre consentement à tout moment lorsque le traitement en dépend ;
  • droit de définir des directives relatives au sort de vos données après votre décès ;
  • droit de ne pas faire l'objet d'une décision exclusivement automatisée (aucune n'est mise en œuvre sur Citoyance).

Pour exercer ces droits : /exercer-mes-droits ou courriel à contact.zuhdme+dpo@gmail.com. Une réponse est apportée sous 1 mois (prorogeable de 2 mois si nécessaire).

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr/plaintes — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

7. Mineurs

Citoyance n'est pas destiné à la collecte de données d'enfants. L'âge de consentement numérique applicable en France est de 15 ans (article 7-1 LIL). Aucune création de compte citoyen n'est requise pour consulter les portails publics.

8. Cookies et traceurs

Pour plus de détails, consultez notre politique cookies. Les traceurs non strictement nécessaires ne sont déposés qu'après votre consentement exprès, révocable à tout moment via le bouton « Gérer mes cookies » en pied de page.

9. Violation de données

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Zuhd Studio notifie la CNIL dans un délai maximum de 72 heures et, le cas échéant, les personnes concernées, conformément aux articles 33 et 34 du RGPD.

10. Modifications

La présente politique peut évoluer. Toute modification substantielle fera l'objet d'une information préalable par courriel ou via un bandeau sur le site.