Conformité RGPD — CitéLink

CitéLink et Civea (ci-après « les Plateformes ») placent la protection des données personnelles au cœur de leurs engagements. Cette page détaille nos mesures de conformité au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679). Elle s'applique aux applications CitéLink, Civea et au site citelink.fr.

Article 1 — Engagement RGPD

En tant que plateformes de participation citoyenne traitant des données personnelles de citoyens européens, CitéLink et Civea, éditées par Paul Busquet EI (SIREN 102 016 334), s'engagent pleinement à respecter le RGPD et l'ensemble des réglementations applicables en matière de protection des données.

Transparence

Nous informons clairement les utilisateurs sur la nature, les finalités et la durée de conservation de leurs données personnelles.

Minimisation des données

Nous ne collectons que les données strictement nécessaires aux finalités de nos traitements. Aucune donnée superflue n'est demandée.

Sécurité par conception

La protection des données est intégrée dès la conception de nos fonctionnalités (Privacy by Design) et par défaut (Privacy by Default).

Responsabilité

Nous documentons l'ensemble de nos traitements et sommes en mesure de démontrer notre conformité à tout moment.

Article 2 — Données traitées

Le tableau ci-dessous présente les catégories de données traitées par CitéLink, leurs finalités et leurs bases légales :

Catégorie de données	Finalité	Base légale	Conservation
Identité (nom, prénom, email)	Gestion de compte	Exécution du contrat	Durée du compte + 3 ans
Localisation (adresse, GPS)	Géolocalisation des signalements	Exécution du contrat	Durée du traitement du signalement
Photographies	Documentation des signalements	Exécution du contrat	Durée du traitement + archivage 5 ans
Participations (votes, avis)	Participation citoyenne	Exécution du contrat	Durée de la consultation + 3 ans (anonymisé)
Données techniques (IP, logs)	Sécurité et obligations légales	Obligation légale	12 mois
Cookies analytiques	Mesure d'audience	Consentement	13 mois

Article 3 — Sous-traitants

CitéLink fait appel aux sous-traitants suivants pour le traitement des données personnelles, tous engagés contractuellement à respecter le RGPD (article 28) :

Sous-traitant	Service	Localisation des données	Garanties
Supabase, Inc.	Hébergement, base de données, authentification	Union Européenne / France	Contrat de sous-traitance RGPD (DPA), chiffrement au repos et en transit

CitéLink s'assure que chaque sous-traitant présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées.

Article 4 — Hébergement et localisation des données

L'ensemble des données personnelles traitées par CitéLink est hébergé sur des serveurs situés au sein de l'Union Européenne, et plus précisément en France, via l'infrastructure de Supabase.

Ce choix d'hébergement garantit :

Conformité territoriale : les données ne quittent pas l'Espace Économique Européen.
Souveraineté : application du droit français et européen en matière de protection des données.
Performance : latence minimale pour les utilisateurs français.
Sécurité : infrastructure certifiée avec chiffrement, redondance et sauvegardes automatiques.

Article 5 — Droits des personnes

Conformément aux articles 15 à 22 du RGPD, toute personne dont les données sont traitées par CitéLink bénéficie des droits suivants :

Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie intégrale.
Droit de rectification : demander la correction de données inexactes ou le complément de données incomplètes.
Droit à l'effacement : obtenir la suppression de vos données dans les cas prévus par l'article 17 du RGPD (« droit à l'oubli »).
Droit à la limitation : obtenir la suspension du traitement dans les cas prévus par l'article 18 du RGPD.
Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV).
Droit d'opposition : vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière.
Droit de retirer votre consentement : retirer à tout moment un consentement précédemment donné.
Droit d'introduire une réclamation : saisir la CNIL (www.cnil.fr) si vous estimez que le traitement de vos données constitue une violation du RGPD.

Comment exercer vos droits ? Envoyez votre demande par email à citelink.contact@gmail.com en précisant votre identité et le droit que vous souhaitez exercer. Nous répondrons dans un délai maximum de 30 jours. Ce délai peut être prolongé de 60 jours en cas de demande complexe, auquel cas vous en serez informé.

Article 6 — Référent données personnelles

En tant que micro-entreprise, CitéLink n'est pas soumise à l'obligation de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Le responsable du traitement, Paul Busquet, assume personnellement les missions de protection des données :

Contact : citelink.contact@gmail.com
Adresse postale : Paul Busquet EI — 47510 Foulayronnes, France

Le responsable du traitement est notamment chargé de :

Veiller au respect du RGPD dans les traitements de données.
Gérer les demandes d'exercice de droits des personnes concernées.
Coopérer avec la CNIL et servir de point de contact.
Réaliser les analyses d'impact relatives à la protection des données (AIPD) si nécessaire.

Article 7 — Procédure en cas de violation de données

Conformément aux articles 33 et 34 du RGPD, CitéLink a mis en place une procédure stricte en cas de violation de données personnelles :

7.1 Détection et évaluation

CitéLink dispose de mécanismes de surveillance continue permettant de détecter rapidement toute violation de données. En cas d'incident détecté, une évaluation immédiate est conduite pour déterminer la nature, l'étendue et les conséquences de la violation.

7.2 Notification à la CNIL

En cas de violation susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, CitéLink notifie la Commission Nationale de l'Informatique et des Libertés (CNIL) dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD.

Cette notification inclut :

La nature de la violation (catégories et nombre de personnes concernées)
Les conséquences probables de la violation
Les mesures prises ou envisagées pour remédier à la violation
Les coordonnées du DPO

7.3 Information des personnes concernées

Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, CitéLink communique la violation aux personnes concernées dans les meilleurs délais, conformément à l'article 34 du RGPD.

7.4 Documentation et amélioration

Toute violation de données est documentée dans un registre interne incluant les faits, les effets et les mesures correctives prises. Un retour d'expérience est systématiquement conduit pour renforcer les mesures de sécurité et prévenir de futurs incidents.

Article 8 — Registre des traitements

Conformément à l'article 30 du RGPD, CitéLink tient un registre des activités de traitement détaillant l'ensemble des traitements de données personnelles mis en œuvre. Ce registre est tenu à la disposition de la CNIL sur demande.

Article 9 — Analyses d'impact (AIPD)

Pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes (article 35 du RGPD), CitéLink réalise une Analyse d'Impact relative à la Protection des Données (AIPD) préalablement à la mise en œuvre du traitement.

Les fonctionnalités impliquant la géolocalisation des signalements et le traitement de photographies font l'objet d'AIPD documentées.

Article 10 — Documents de référence

Pour plus de détails sur la protection de vos données, consultez également :