Déclaration
RGPD.

Responsable de traitement

La commune cliente (collectivité territoriale)

Sous-traitant

Mairalia (l’éditeur du présent site)

Acte encadrant

DPA (accord de traitement de données) annexé au contrat de service

DPO de l’éditeur

dpo@mairalia.fr

Mairalia traite des données personnelles pour les finalités suivantes :

• Instruction des demandes d’autorisation événementielle (module A.1)
• Calcul et validation des heures supplémentaires et astreintes (module A.2)
• Instruction des arrêtés de voirie et permissions d’occupation du domaine public (module A.3)
• Notification des agents, des élus et des demandeurs
• Archivage légal des actes signés (sept ans, conservation immuable)

• Agents communaux : nom, prénom, courriel professionnel, rôle, planning, heures effectuées.
• Élus : nom, prénom, fonction, signature électronique (selon parcours).
• Demandeurs externes (associations, entreprises) : raison sociale, SIRET, contact référent, pièces justificatives.
• Données techniques : journaux d’accès, adresses IP horodatées, journaux d’audit (INSERT seulement).

Aucune catégorie particulière (article 9 RGPD) n’est traitée par défaut. Aucune donnée de santé, aucune donnée biométrique.

Le traitement repose sur l exécution d’une mission d’intérêt public (article 6.1.e du RGPD) confiée à la commune par la loi. Mairalia n’agit qu’en sous-traitance, sur instructions documentées de cette commune.

Dossiers en cours

Pendant toute la durée d’instruction

Dossiers clôturés

5 ans (selon archivage public communal)

Arrêtés signés

7 ans en archivage immuable (S3 Object Lock)

Journaux d’audit

7 ans, INSERT seul — non modifiables, non supprimables

Comptes agents inactifs

12 mois puis anonymisation

Toute la donnée — calcul, base, stockage objet, secrets, files d’attente — réside en France, dans la région AWS Paris (eu-west-3). Chaque tenant dispose d’une clé KMS dédiée. Les sauvegardes sont également hébergées en France ; aucune réplication transfrontalière n’est mise en œuvre par défaut.

Mairalia n’emploie aucun sous-traitant établi hors Union européenne. La liste exhaustive des sous-traitants intervenant dans la chaîne (hébergeur, signature électronique, envoi SMS, etc.) est publiée sur la page Sous-traitants.

• Chiffrement au repos (KMS) et en transit (TLS 1.3 strict, HSTS preload, CSP stricte)
• Cloisonnement multi-tenant par Row-Level Security PostgreSQL ; test de fuite croisée en CI sur chaque commit
• Authentification forte agent (SSO ProConnect supporté, MFA disponible)
• Audit applicatif annuel, scan dépendances continu, ANSSI-aligned
• Notification en moins de 72 heures à la commune et à la CNIL en cas de violation

Toute personne concernée peut exercer ses droits prévus par les articles 15 à 22 du RGPD : accès, rectification, effacement (sous réserve d’obligations légales d’archivage), limitation, portabilité, opposition. La demande s’exerce normalement auprès de la commune (responsable de traitement). Lorsque le canal communal n’est pas accessible, Mairalia accepte la demande à l’adresse dpo@mairalia.fr et la transmet au responsable concerné dans un délai de cinq jours ouvrés. La réponse complète est garantie sous trente jours.

En cas d’insatisfaction, la personne peut adresser une réclamation à la CNIL — 3 place de Fontenoy, 75007 Paris, ou via cnil.fr.

Aucun. Aucun transfert de données vers un pays tiers, aucun recours à un prestataire soumis à une législation extraterritoriale (CLOUD Act, FISA section 702, etc.) qui ne serait pas filtrée par un dispositif de chiffrement client-side ou par un accord-cadre européen équivalent.