Conformité RGPD — Civik-ia

Principe fondateur : Civik-ia a été conçu selon le principe de Privacy by Design (article 25 du RGPD). La protection des données personnelles n'est pas un ajout — c'est un fondement architectural de notre plateforme.

1. Cadre juridique applicable

Civik-ia respecte l'ensemble des textes suivants :

Règlement (UE) 2016/679 du 27 avril 2016 — Règlement Général sur la Protection des Données (RGPD)
Loi n° 78-17 du 6 janvier 1978 modifiée — Informatique et Libertés
Ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018
Directive 2002/58/CE (ePrivacy) concernant le traitement des données dans le secteur des communications électroniques
Lignes directrices et recommandations de la CNIL, en particulier le Guide de sensibilisation au RGPD pour les collectivités territoriales

2. Rôles et qualifications au sens du RGPD

Articles 4(7), 4(8) et 28 du RGPD

2.1. Pour le site vitrine civik-ia.fr

Civik-ia est responsable du traitement pour les données collectées via le site (formulaire de contact, analytics).

2.2. Pour la Plateforme d'Intelligence Citoyenne

La collectivité territoriale cliente est responsable du traitement pour les données de ses administrés traitées via la plateforme. Civik-ia agit en qualité de sous-traitant.

Contrat de sous-traitance (DPA) : conformément à l'article 28.3 du RGPD, un accord de sous-traitance est conclu avec chaque collectivité cliente. Ce contrat précise : l'objet et la durée du traitement, la nature et la finalité, les types de données traitées, les catégories de personnes concernées, et les obligations respectives des parties.

3. Principes de protection appliqués

3.1. Minimisation des données (article 5.1.c RGPD)

Le chatbot citoyen fonctionne sans aucune collecte de données d'identification. Aucune inscription, aucun login, aucune identification n'est requise pour poser une question. Les conversations sont traitées de manière anonyme par défaut.

3.2. Protection dès la conception et par défaut (article 25 RGPD)

Chaque fonctionnalité de la plateforme est conçue avec les paramètres de confidentialité les plus protecteurs activés par défaut. Les Campagnes Citoyennes sont anonymes. Le dashboard élu n'affiche que des données agrégées et statistiques.

3.3. Limitation des finalités (article 5.1.b RGPD)

Les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

3.4. Limitation de la conservation (article 5.1.e RGPD)

Les durées de conservation sont définies pour chaque catégorie de données et strictement respectées. Voir notre Politique de Confidentialité pour le détail.

4. Hébergement et infrastructure

4.1. Site vitrine (civik-ia.fr)

Le site vitrine est un site statique hébergé sur GitHub Pages (GitHub, Inc., filiale de Microsoft Corporation). Ce site ne collecte et ne stocke aucune donnée personnelle. Les soumissions du formulaire de contact transitent via Formspree, Inc.

4.2. Plateforme d'Intelligence Citoyenne

Hébergeur : OVH SAS (entreprise française), datacenters situés dans l'Union Européenne
Certifications OVH : ISO 27001, ISO 27017, ISO 27018
Engagement souveraineté : Civik-ia s'engage à héberger l'ensemble des données sur des serveurs OVH situés dans l'Union Européenne, hors de portée du Cloud Act américain. Une migration vers l'offre OVH qualifiée SecNumCloud par l'ANSSI est envisagée à mesure de la croissance.

4.3. Transferts de données

Les données des collectivités clientes et de leurs administrés (conversations chatbot, données de campagnes citoyennes, analytics) sont stockées et traitées exclusivement sur des serveurs OVH situés dans l'Union Européenne.

Le traitement IA des conversations fait appel à des modèles de langage opérés par des entreprises européennes (voir section 7 — Sous-traitants). Les requêtes et réponses du chatbot ne quittent pas l'Union Européenne.

Transparence : Civik-ia documente précisément chaque flux de données dans le registre des traitements (article 30) et s'engage à notifier toute évolution de son infrastructure à ses collectivités clientes.

5. Mesures de sécurité techniques et organisationnelles

Article 32 du RGPD — Sécurité du traitement

Chiffrement en transit : TLS 1.3 sur toutes les communications
Chiffrement au repos : AES-256 pour les données sensibles
Contrôle d'accès : authentification forte, gestion des habilitations, principe du moindre privilège
Journalisation : logs d'accès horodatés, conservés 12 mois, non modifiables
Sauvegardes : quotidiennes, chiffrées, stockées dans un datacenter OVH distinct en Union Européenne
Tests de sécurité : audits réguliers, tests d'intrusion
Pseudonymisation : les données de conversation sont pseudonymisées dès la collecte

6. Obligations contractuelles du sous-traitant

Article 28.3 du RGPD — Clauses obligatoires

Dans le cadre de chaque contrat de sous-traitance, Civik-ia s'engage à :

Ne traiter les données que sur instructions documentées du responsable du traitement (la collectivité)
Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
Prendre toutes les mesures de sécurité requises par l'article 32 du RGPD
Ne pas engager de sous-traitant ultérieur sans autorisation écrite préalable de la collectivité
Assister la collectivité dans le respect de ses obligations : réponse aux demandes d'exercice de droits, notification de violations, analyse d'impact
Notifier toute violation de données dans un délai de 48 heures (obligation légale : 72h)
Mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations et permettre des audits
À la fin du contrat, restituer ou supprimer toutes les données selon le choix de la collectivité

7. Sous-traitants ultérieurs

Civik-ia fait appel aux sous-traitants ultérieurs suivants :

OVH SAS (Roubaix, France — siège social) — hébergement, infrastructure cloud, serveurs applicatifs situés dans l'Union Européenne
Fournisseur IA / LLM (Mistral AI, entreprise française — hébergé en Union Européenne) — traitement des requêtes chatbot via modèle de langage. Les requêtes sont envoyées de manière pseudonymisée (aucune donnée d'identification personnelle n'est transmise au modèle). Le fournisseur et le modèle utilisé sont documentés dans le registre des traitements et communiqués aux collectivités clientes dans le DPA.
Formspree, Inc. (États-Unis) — traitement des soumissions du formulaire de contact du site vitrine uniquement. Base légale : consentement (article 6.1.a). Données limitées : nom, email, message. Ce sous-traitant n'a accès à aucune donnée de la Plateforme.

Toute modification de cette liste est communiquée aux collectivités clientes avec un préavis raisonnable, conformément à l'article 28.2 du RGPD.

Engagement de souveraineté : pour le traitement des données des collectivités et de leurs administrés, Civik-ia sélectionne exclusivement des sous-traitants dont les serveurs de traitement sont situés en France ou dans l'Union Européenne. Le formulaire de contact du site vitrine (Formspree) est le seul flux de données impliquant un prestataire hors UE, et ne concerne que les données de contact commercial volontairement fournies par les visiteurs.

8. Registre des traitements

Article 30 du RGPD

Civik-ia tient un registre des activités de traitement en tant que sous-traitant, conformément à l'article 30.2 du RGPD. Ce registre est mis à disposition de la CNIL sur demande.

9. Analyse d'Impact (AIPD)

Articles 35 et 36 du RGPD

Compte tenu de la nature des données traitées (service public, potentiellement large échelle), Civik-ia s'engage à réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) pour la Plateforme d'Intelligence Citoyenne avant tout déploiement en production auprès d'une collectivité cliente.

Cette AIPD sera conduite conformément à la méthodologie de la CNIL (guides PIA) et couvrira : le traitement des conversations citoyens, les campagnes citoyennes, le dashboard élu, et le traitement IA des requêtes. Le document sera mis à disposition des collectivités clientes et de l'autorité de contrôle (CNIL) sur demande.

Statut actuel : AIPD en cours de préparation. L'analyse préliminaire des risques a identifié les points d'attention suivants : anonymisation des conversations, durée de conservation des logs IA, et information des citoyens sur le traitement automatisé. Ces points sont intégrés dès la conception de la plateforme (Privacy by Design).

10. Notification de violations

Articles 33 et 34 du RGPD

En cas de violation de données personnelles, Civik-ia s'engage à :

Notifier la collectivité cliente dans un délai de 48 heures après en avoir pris connaissance
Fournir toutes les informations nécessaires pour que la collectivité puisse notifier la CNIL (dans les 72h, article 33) et les personnes concernées si nécessaire (article 34)
Documenter la violation, ses effets et les mesures correctives prises

11. Contact

Pour toute question relative à la protection des données :
Email : contact@civik-ia.fr — Objet : « Protection des données »

Autorité de contrôle : CNIL — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 — www.cnil.fr