Politique de confidentialité
Sallia est un service édité par Wilder Labs. Cette politique décrit comment vos données personnelles sont traitées lorsque vous utilisez le service, soit en tant qu'agent municipal, soit en tant qu'habitant ou association d'une commune cliente.
1. Qui est responsable du traitement ?
Chaque commune cliente est responsable de traitement au sens de l'article 4.7 du RGPD. Wilder Labs est sous-traitant au sens de l'article 28, lié à chaque commune par un contrat de sous-traitance (DPA – Data Processing Agreement) signé avant toute opération.
2. Quelles données sont collectées ?
| Catégorie | Exemples | Source |
|---|---|---|
| Identité | Nom, prénom, adresse postale | Saisie portail |
| Contact | Email, téléphone | Saisie portail |
| Paiement | Tokens Stripe (pas le PAN) | Stripe (sous-traitant) |
| Photo EDL | Photos d'état des lieux | Upload agent municipal |
| Connexion | IP, user-agent, horodatage | Logs serveur (1 an) |
Aucune catégorie particulière au sens de l'article 9 (santé, opinion politique, religion…) n'est traitée.
3. Finalités et base légale
- Gestion administrative des réservations — base légale art. 6.1.e RGPD (mission d'intérêt public)
- Exécution du contrat de location — base légale art. 6.1.b
- Sécurité et audit — base légale art. 6.1.f (intérêt légitime)
- Newsletter optionnelle — base légale art. 6.1.a (consentement explicite, opt-in)
4. Durées de conservation
| Donnée | Durée | Justification |
|---|---|---|
| Demandes / événements | 3 ans après dernière interaction | Délai de prescription civile |
| Factures et paiements | 10 ans | Code de commerce L123-22 |
| EDL et conventions | Contrat + 5 ans | Preuve litige caution |
| Photos EDL | Contrat + 1 an | Preuve état des lieux |
| Logs serveur | 1 an glissant | Sécurité (art. 32 RGPD) |
| Newsletter | Jusqu'à désinscription | Consentement révocable |
5. Destinataires
- Personnel municipal autorisé selon rôles (admin, agent, lecteur, association)
- Bureau de l'association concernée pour les réservations associatives
- Sous-traitants : OVHcloud (hébergement, France — Roubaix), Brevo (emails transactionnels, France/UE), Stripe Payments Europe Limited (paiements, Irlande/UE), ANTS / DINUM (identification via FranceConnect, France) lorsque ce mode d'authentification est activé par votre commune
Aucun transfert de données hors Union européenne. Aucune cession à des tiers commerciaux. Les contrats de sous-traitance (DPA) conformes à l'article 28 du RGPD sont disponibles sur demande.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD :
- Accès et portabilité : demandez une copie complète de vos données via le portail public de votre commune, lien
/public/rgpd/requestactionexport - Rectification : modifiez vos informations depuis le portail habitant ou asso
- Effacement : demandez la suppression via le même endpoint, action
delete - Opposition : lien de désinscription dans chaque email newsletter
- Limitation : contactez le DPO de votre commune
- Réclamation CNIL : cnil.fr/fr/plaintes
7. Sécurité
- TLS 1.3 sur tous les flux (HSTS + preload)
- Chiffrement des tokens sensibles at-rest (AES-GCM)
- Hash bcrypt des mots de passe (coût 10)
- Sessions HttpOnly + Secure + SameSite=lax
- Isolation forte par schéma PostgreSQL dédié à chaque commune
- Sauvegarde quotidienne pg_dump avec rétention 30 jours
- Notification de violation < 72h au RT + CNIL conformément à l'art. 33
8. Cookies
Sallia utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification, préférence de langue). Aucun cookie de tracking, aucune donnée transmise à des tiers publicitaires.
9. Contact
- DPO Wilder Labs : dpo@wilderlabs.fr · réponse sous 72h ouvrées
- DPO commune : consultez le site web officiel de votre mairie
- Adresse postale Wilder Labs : Tercé (86), France