Retour à l'accueil

Accord de traitement des données (DPA)

Data Processing Agreement — Conforme au RGPD, Article 28

1. Objet

Le présent accord définit les conditions dans lesquelles CiviBot (ci-après "le Sous-traitant"), édité par Thomas Finkelstein EI (Flux Studio AI), SIRET 101 660 249 00018, traite les données à caractère personnel pour le compte de la collectivité territoriale cliente (ci-après "le Responsable de traitement").

2. Nature et finalité du traitement

  • Hébergement et exécution d'un chatbot IA de service public
  • Traitement des questions des citoyens via un modèle d'IA (Mistral AI)
  • Stockage et indexation des documents PDF fournis par la collectivité
  • Génération de statistiques anonymisées d'utilisation
  • Gestion de la facturation via Stripe

3. Catégories de données traitées

  • Agents municipaux : email professionnel, nom, prénom, fonction, nom de commune
  • Citoyens : adresse IP (anonymisée sous 24h), questions posées au chatbot (tronquées à 500 caractères)
  • Documents : fichiers PDF uploadés, automatiquement anonymisés (PII supprimées avant indexation)

4. Durée de conservation

  • Adresses IP : anonymisées automatiquement après 24 heures
  • Logs de chat : supprimés automatiquement après 12 mois
  • Documents PDF : conservés tant que le bot est actif, supprimés à la suppression du bot
  • Données de compte : conservées jusqu'à suppression du compte par l'utilisateur

5. Sous-traitants ultérieurs

Le Sous-traitant fait appel aux prestataires suivants, tous conformes au RGPD :

PrestataireRôleLocalisation
SupabaseBase de données, authentification, stockageUE (Francfort)
Mistral AIModèle d'IA (génération de réponses)France
VercelHébergement applicationUE configuré
StripePaiement et facturationUE (Irlande)

6. Mesures de sécurité (Art. 32)

  • Chiffrement TLS en transit sur toutes les communications
  • Chiffrement au repos des bases de données (Supabase)
  • Anonymisation automatique des PII dans les documents (noms, emails, téléphones)
  • Isolation des données entre collectivités (Row Level Security)
  • Authentification par email avec hashage bcrypt des mots de passe
  • Validation et filtrage de tous les inputs côté serveur
  • Headers de sécurité HTTP (X-Frame-Options, X-Content-Type-Options, Referrer-Policy)
  • Aucun stockage de données bancaires (délégué à Stripe PCI DSS)

7. Obligations du Sous-traitant

  • Traiter les données uniquement selon les instructions documentées du Responsable
  • Garantir la confidentialité des données
  • Assister le Responsable dans l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité)
  • Notifier toute violation de données dans un délai de 72 heures
  • Supprimer toutes les données à la fin du contrat, sur demande
  • Mettre à disposition les informations nécessaires pour démontrer la conformité

8. Droits des personnes concernées

Le Sous-traitant met à disposition du Responsable les outils techniques suivants pour faciliter l'exercice des droits :

  • Droit d'accès et portabilité : export JSON complet des données via le dashboard
  • Droit à l'effacement : suppression de compte en self-service (cascade sur toutes les données)
  • Anonymisation automatique : IP anonymisées sous 24h, logs purgés après 12 mois

9. Transferts hors UE

Aucun transfert de données personnelles hors de l'Union Européenne n'est effectué. L'ensemble des traitements est réalisé sur le territoire français ou européen. Mistral AI est une société française dont les serveurs sont situés en France.

10. Contact DPO

Pour toute question relative à la protection des données : thomasfinkpro@gmail.com

Version 1.0 — Mars 2026

Voir la politique de confidentialité →