Protection des données (RGPD)
Dernière mise à jour : 8 avril 2026
Cette page complète notre politique de confidentialité avec les informations techniques requises par le Règlement Général sur la Protection des Données (UE) 2016/679.
1. Délégué à la protection des données (DPO)
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre référent données :
- Contact : Noël Naccari
- Email : dpo@communaute-vivante.org
- Adresse : Vitrolles, 05110, France
2. Registre des traitements
2.1 Gestion des comptes utilisateurs
| Finalité | Création et gestion des comptes, authentification |
| Base légale | Exécution du contrat (art. 6.1.b RGPD) |
| Données | Nom, prénom, email, mot de passe (hashé Argon2id), commune |
| Durée | Durée du compte + 30 jours après suppression |
| Destinataires | Cloudflare (hébergement), Resend (emails) |
2.2 Rattachement territorial
| Finalité | Affectation à une communauté locale |
| Base légale | Exécution du contrat (art. 6.1.b RGPD) |
| Données | Commune, département, zone/quartier (position floue +/-50m) |
| Durée | Durée du compte |
| Destinataires | Cloudflare (hébergement) |
2.3 Vérification d'identité
| Finalité | Garantir l'authenticité des membres |
| Base légale | Intérêt légitime (art. 6.1.f RGPD) |
| Données | Pièce d'identité (photo) |
| Durée | Supprimée immédiatement après validation |
| Destinataires | Cloudflare R2 (stockage temporaire), CML (validation) |
2.4 Modération et sécurité
| Finalité | Prévention des abus, modération des contenus |
| Base légale | Intérêt légitime (art. 6.1.f RGPD) |
| Données | Adresse IP, logs d'activité, signalements |
| Durée | 12 mois (obligation légale LCEN) |
| Destinataires | Cloudflare (hébergement), CML/CMD (modération) |
2.5 Notifications par email
| Finalité | Information sur l'activité de la communauté |
| Base légale | Consentement (art. 6.1.a RGPD) |
| Données | Adresse email, préférences de notification |
| Durée | Jusqu'au retrait du consentement |
| Destinataires | Resend (envoi d'emails) |
3. Sous-traitants
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Cloudflare, Inc. | Hébergement (D1, R2, KV, Workers) | USA (données EU) | Clauses contractuelles types (SCC), Data Processing Addendum |
| Resend, Inc. | Envoi d'emails transactionnels | USA | Clauses contractuelles types (SCC), DPA |
4. Transferts hors Union européenne
Nos sous-traitants (Cloudflare et Resend) sont des sociétés américaines. Les transferts de données vers les États-Unis sont encadrés par :
- Clauses contractuelles types (SCC) adoptées par la Commission européenne
- Data Processing Addendum (DPA) signé avec chaque sous-traitant
- Localisation des données EU : Cloudflare D1 et R2 sont configurés avec le paramètre
data_location: "eu", garantissant que les données au repos sont stockées dans des centres de données européens
5. Mesures de sécurité
- Chiffrement en transit : HTTPS/TLS sur toutes les communications
- Chiffrement au repos : stockage chiffré Cloudflare
- Hachage des mots de passe: Argon2id (algorithme recommandé par l'ANSSI)
- Authentification à deux facteurs : OTP par email
- Cookies sécurisés : HttpOnly, Secure, SameSite=Strict
- Protection CSRF : double-submit cookie
- Rate limiting : protection contre les attaques par force brute
- Position floue : +/-50m côté serveur, jamais de coordonnées exactes exposées côté client
- Audit: journaux d'activité pour traçabilité des actions de modération
6. Droits des personnes concernées
6.1 Comment exercer vos droits
Vous pouvez exercer vos droits de deux manières :
- En ligne : depuis les paramètres de votre profil (export de données, suppression de compte)
- Par email : en écrivant à dpo@communaute-vivante.org
Nous répondons à toute demande dans un délai maximum de 30 jours, conformément au RGPD.
6.2 Droit à la portabilité
L'export de vos données est disponible au format JSON via l'API /api/profil/exportou depuis les paramètres de votre compte. L'export inclut : profil, publications, commentaires, messages, participations aux événements et votes.
6.3 Droit à l'effacement
La suppression de votre compte entraîne :
- L'anonymisation de vos données personnelles
- La suppression de votre pièce d'identité (si uploadée)
- La suppression de vos sessions et tokens
- La suppression de vos notifications
- La conservation anonymisée de vos contributions (posts, commentaires) pour maintenir la cohérence des discussions
Un délai de grâce de 30 jours permet d'annuler la suppression. Après ce délai, l'effacement est irréversible.
7. Violations de données
En cas de violation de données à caractère personnel, Communauté Vivante s'engage à :
- Notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation
- Informer les personnes concernées dans les meilleurs délais si la violation présente un risque élevé pour leurs droits et libertés
- Documenter l'incident dans un registre des violations
8. Réclamation
Vous pouvez introduire une réclamation auprès de la CNIL :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07