Retour à l'accueil

Analyse d'Impact relative à la Protection des Données (AIPD)

Conformément à l'Article 35 du RGPD et aux recommandations de la CNIL

1. Contexte et nécessité de l'AIPD

CiviBot est une plateforme SaaS permettant aux collectivités territoriales françaises de déployer des assistants IA citoyens alimentés par leurs propres documents administratifs. Le service traite des données de citoyens à potentiellement grande échelle, via un modèle d'intelligence artificielle, ce qui justifie la réalisation d'une AIPD selon les critères de la CNIL :

  • Traitement à grande échelle de données de personnes vulnérables (citoyens face à l'administration)
  • Utilisation de technologies innovantes (IA générative, RAG)
  • Collecte systématique de données (questions des citoyens, adresses IP)

2. Description du traitement

2.1 Finalités

  • Fourniture d'un chatbot IA de service public répondant aux questions des citoyens
  • Indexation et recherche sémantique dans les documents administratifs des collectivités
  • Statistiques d'utilisation anonymisées pour les agents municipaux
  • Facturation du service aux collectivités clientes

2.2 Base légale

  • Agents municipaux : exécution du contrat (Art. 6.1.b)
  • Citoyens : intérêt légitime de la collectivité à fournir un service public numérique (Art. 6.1.f)

2.3 Données traitées

CatégorieDonnéesConservation
AgentsEmail, nom, prénom, fonction, commune, code postalJusqu'à suppression du compte
CitoyensAdresse IP, question posée (500 car. max)IP : 24h / Questions : 12 mois
DocumentsFichiers PDF (anonymisés avant indexation)Jusqu'à suppression du bot
PaiementID client Stripe (pas de données bancaires)Jusqu'à suppression du compte

2.4 Flux de données

Citoyen → [HTTPS/TLS] → Vercel (EU) → API CiviBot

  ├─ Supabase (EU/Francfort) : stockage question + IP

  ├─ Mistral AI (France) : génération réponse IA

  └─ Stripe (EU/Irlande) : facturation (agents uniquement)

3. Nécessité et proportionnalité

3.1 Minimisation des données

  • Les questions sont tronquées à 500 caractères avant stockage
  • Les adresses IP sont anonymisées automatiquement après 24 heures
  • Les documents PDF sont anonymisés (noms, emails, téléphones supprimés) avant indexation IA
  • Aucune donnée d'identification n'est demandée aux citoyens pour utiliser le chatbot

3.2 Limitation de la conservation

  • Cron automatique quotidien d'anonymisation des IP (> 24h)
  • Cron automatique quotidien de purge des logs (> 12 mois)
  • Suppression en cascade à la suppression d'un bot ou d'un compte

3.3 Droits des personnes

  • Accès / Portabilité : export JSON en self-service depuis le dashboard
  • Effacement : suppression de compte en self-service (cascade complète)
  • Information : politique de confidentialité publique, bannière cookies
  • Contact : thomasfinkpro@gmail.com pour toute demande

4. Risques et mesures d'atténuation

Accès non autorisé aux données d'une collectivité par une autreÉlevé
  • Row Level Security (RLS) activé sur toutes les tables Supabase
  • Vérification de propriété (owner_id) sur chaque requête API
  • Isolation complète des données entre collectivités
  • Validation stricte de tous les inputs côté serveur
Fuite de données personnelles via les réponses de l'IAMoyen
  • Anonymisation automatique des PII dans les documents source (noms, emails, téléphones)
  • Instruction système interdisant à l'IA de divulguer des données personnelles
  • Utilisation de Mistral AI (société française, données traitées en France)
Conservation excessive des données citoyennesMoyen
  • IP anonymisées automatiquement après 24h (cron quotidien)
  • Logs de chat purgés après 12 mois (cron quotidien)
  • Questions tronquées à 500 caractères
Transfert de données hors UEFaible
  • Supabase : serveurs EU (Francfort)
  • Mistral AI : société française, serveurs en France
  • Vercel : configuré en région EU (fra1/cdg1)
  • Stripe : siège en Irlande (UE), conforme PCI DSS
  • Aucun transfert hors UE identifié
Violation de données (data breach)Moyen
  • Chiffrement TLS sur toutes les communications
  • Chiffrement au repos (Supabase)
  • Mots de passe hashés (bcrypt via Supabase Auth)
  • Service role key protégé (variables d'environnement Vercel)
  • Headers de sécurité HTTP (X-Frame-Options, CSP, Referrer-Policy)
  • Notification CNIL sous 72h en cas de violation (obligation légale)

5. Avis et conclusion

Au regard des mesures techniques et organisationnelles mises en place — anonymisation automatique, minimisation des données, isolation multi-tenant, hébergement 100 % européen, et droits des personnes exercés en self-service — le niveau de risque résiduel pour les droits et libertés des personnes concernées est jugé acceptable.

Le traitement peut être mis en œuvre sous réserve :

  • Du bon fonctionnement des crons d'anonymisation et de purge
  • De la vérification régulière des policies RLS Supabase
  • De la mise à jour de cette AIPD en cas de modification substantielle du traitement

6. Contact

Responsable de traitement : Thomas Finkelstein EI (Flux Studio AI)
Contact DPO : thomasfinkpro@gmail.com

Version 1.0 — Mars 2026

Politique de confidentialitéDPA