Politique de confidentialité
Version publique destinée à être affichée sur le site et dans l'application. Conforme aux articles 13 et 14 du RGPD.
Dernière mise à jour : 2026-04-29 Version : 1.0
1. Qui sommes-nous ?
Datalyse SAS édite la plateforme Datalyse (datalyse.fr), un service en ligne de tableaux de bord de pilotage destiné aux collectivités territoriales françaises.
| Information | Valeur |
|---|---|
| Raison sociale | Datalyse SAS |
| Forme juridique | Société par Actions Simplifiée (SAS) |
| Email contact | contact@datalyse-territoires.fr |
| Email DPO | dpo@datalyse-territoires.fr |
| Site officiel | datalyse-territoires.fr |
Coordonnées légales détaillées (siège social, SIRET, RCS, représentant légal) communiquées sur demande à
contact@datalyse-territoires.fr— voir mentions légales.
2. Notre rôle vis-à-vis de vos données
Datalyse intervient à un double titre selon les données concernées :
2.1 Responsable de traitement
Pour les données suivantes, Datalyse définit les finalités et les moyens du traitement :
- Données de votre compte utilisateur (identité, contact, fonction)
- Données de connexion et logs de sécurité
- Données d'analyse d'usage de la plateforme (avec votre consentement)
- Communications commerciales (avec votre consentement)
2.2 Sous-traitant
Pour les données métier (budgétaires, RH, opérationnelles) que votre collectivité importe ou paramètre dans la plateforme, c'est votre collectivité (votre employeur) qui est responsable de traitement. Datalyse agit comme sous-traitant au sens de l'article 28 RGPD, sur instruction documentée de votre collectivité.
Pour exercer vos droits sur ces données métier, adressez-vous d'abord à votre collectivité.
3. Quelles données collectons-nous ?
3.1 Données collectées directement auprès de vous
| Catégorie | Données | Source |
|---|---|---|
| Identité | Nom, prénom | Création de compte |
| Contact | Email professionnel, téléphone (optionnel) | Création de compte |
| Professionnel | Fonction, service, collectivité de rattachement | Création de compte |
| Authentification | Mot de passe (haché), sessions actives | Connexion |
| Préférences | Thème (clair/sombre), langue, notifications | Paramètres |
3.2 Données collectées automatiquement
| Catégorie | Données | Quand |
|---|---|---|
| Connexion | Adresse IP, user agent, horodatage | À chaque connexion |
| Audit | Actions sur les ressources (création, modification, export) | Pendant l'usage |
| Analytique | Pages visitées, durée, parcours | Si vous y consentez |
| Erreurs | Stack traces techniques (sans données personnelles) | En cas de bug |
3.3 Ce que nous ne collectons pas
- Aucune donnée sensible au sens de l'article 9 RGPD (santé, opinions politiques, origine, etc.)
- Pas de date de naissance, pas d'adresse personnelle
- Pas de données biométriques
- Aucune donnée concernant des mineurs
4. Pourquoi collectons-nous vos données ?
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Gestion de votre compte et accès à la plateforme | Exécution du contrat |
| Sécurité : authentification, détection de fraude, audit | Intérêt légitime |
| Notifications opérationnelles (alertes KPI, rappels) | Exécution du contrat |
| Analyse d'usage de la plateforme (PostHog) | Consentement |
| Suivi des erreurs techniques (Sentry) | Intérêt légitime |
| Communications commerciales | Consentement |
| Réponse aux obligations légales (preuve consentement, audit fiscal) | Obligation légale |
5. Combien de temps conservons-nous vos données ?
| Catégorie | Durée |
|---|---|
| Compte utilisateur (actif) | Pendant toute la durée du contrat de votre collectivité |
| Compte utilisateur (inactif > 24 mois) | Anonymisation automatique |
| Compte utilisateur (après résiliation) | + 1 an puis anonymisation |
| Logs d'audit | 7 ans (obligation légale) |
| Données analytiques | 2 ans maximum |
| Preuves de consentement | 7 ans après le retrait |
| Notifications envoyées | 1 an |
Calendrier détaillé disponible dans notre [plan de conservation](plan de conservation interne).
6. Avec qui partageons-nous vos données ?
Vos données ne sont jamais vendues. Elles sont partagées uniquement avec des sous-traitants strictement nécessaires à la fourniture du service, tous liés par un DPA conforme à l'article 28 RGPD.
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVHcloud | Hébergement serveurs | France |
| Brevo | Emails transactionnels | France |
| Sentry | Monitoring d'erreurs | UE (Allemagne) |
| PostHog | Analyse d'usage (si consentement) | UE |
Aucun transfert hors Union européenne.
Liste à jour : GET /api/v1/sub-processors/ ou page dédiée dans l'application.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles (pas sur les données métier de votre collectivité — voir §2.2) :
| Droit | Comment l'exercer |
|---|---|
| Accès (Art. 15) | Paramètres → Confidentialité → « Exporter mes données » |
| Rectification (Art. 16) | Paramètres → Profil |
| Effacement (Art. 17) | Paramètres → Confidentialité → « Supprimer mes données » |
| Restriction (Art. 18) | Paramètres → Confidentialité → « Restreindre le traitement » |
| Portabilité (Art. 20) | Identique à l'accès (export JSON structuré) |
| Opposition (Art. 21) | Paramètres → Confidentialité → par catégorie |
| Retrait du consentement (Art. 7.3) | Paramètres → Confidentialité → « Mes consentements » |
Vous pouvez aussi nous écrire à dpo@datalyse-territoires.fr. Nous répondrons dans un délai d'un mois (extensible à 3 mois si la demande est complexe, avec information préalable).
Réclamation auprès de la CNIL : vous avez le droit d'introduire une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés (cnil.fr → « Adresser une plainte »).
8. Sécurité
Les données sont protégées par les mesures suivantes :
- Chiffrement AES-256 Fernet pour les données personnelles au repos
- TLS 1.2+ pour toutes les communications
- Authentification par JWT en cookies HttpOnly (résistant au vol de session)
- Isolation multi-tenant : les données de chaque collectivité sont stockées dans un schéma PostgreSQL séparé
- Mots de passe hachés avec Argon2 (algorithme recommandé OWASP)
- Audit log complet sur les actions sensibles
- Sauvegardes chiffrées quotidiennes
- Tests de sécurité automatisés en intégration continue (Bandit, Semgrep)
- Procédure documentée de notification de violation (72h CNIL)
9. Cookies
L'utilisation des cookies est détaillée dans notre politique cookies. Synthèse : seuls les cookies strictement nécessaires (session, CSRF) sont déposés sans consentement. Les cookies analytiques requièrent votre consentement explicite.
10. Modifications
Cette politique peut être mise à jour. Toute modification substantielle vous sera notifiée :
- Par email
- Par bandeau d'information à votre prochaine connexion
L'historique des versions est conservé pour traçabilité (preuve de consentement par version).
11. Nous contacter
| Sujet | Contact |
|---|---|
| Questions générales | contact@datalyse-territoires.fr |
| Exercice des droits / RGPD | dpo@datalyse-territoires.fr |
| Adresse postale | Communiquée sur demande |
Autorité de contrôle : Commission Nationale de l'Informatique et des Libertés (CNIL) 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 cnil.fr
Politique de confidentialité Datalyse — version 1.1 du 2026-05-05.