Politique de confidentialité
Sallia est un service édité par Wilder Labs. Cette politique décrit comment vos données personnelles sont traitées lorsque vous utilisez le service, soit en tant qu'agent municipal, soit en tant qu'habitant ou association d'une commune cliente.
1. Qui est responsable du traitement ?
Chaque commune cliente est responsable de traitement au sens de l'article 4.7 du RGPD. Wilder Labs est sous-traitant au sens de l'article 28, lié à chaque commune par un contrat de sous-traitance (DPA – Data Processing Agreement) signé avant toute opération.
2. Quelles données sont collectées ?
| Catégorie | Exemples | Source |
|---|---|---|
| Identité | Nom, prénom, adresse postale | Saisie portail |
| Identité complémentaire | Date et lieu de naissance, code postal (facultatifs) | Saisie portail — pour établir la convention de location |
| Contact | Email, téléphone | Saisie portail |
| Paiement en ligne | Référence de la dette + montant (jamais le n° de carte) | Transmis à PayFiP / DGFiP — le paiement carte est traité par la DGFiP, pas par Sallia |
| Photo EDL | Photos d'état des lieux | Upload agent municipal |
| Pièces justificatives dossier de location | Pièce d'identité, attestation d'assurance responsabilité civile, justificatif de domicile — déposés par le citoyen dans le cadre d'une demande de location de salle | Upload citoyen via lien sécurisé (espace dossier). Ces pièces sont collectées par la commune (responsable de traitement) pour instruire le dossier. |
| Connexion | IP, user-agent, horodatage | Logs serveur (1 an) |
Aucune catégorie particulière au sens de l'article 9 du RGPD (données de santé, opinion politique, conviction religieuse, origine raciale ou ethnique…) n'est traitée. Une copie de pièce d'identité n'est pas une donnée relevant de l'article 9.
3. Finalités et base légale
- Gestion administrative des réservations — base légale art. 6.1.e RGPD (mission d'intérêt public)
- Exécution du contrat de location — base légale art. 6.1.b
- Sécurité et audit — base légale art. 6.1.f (intérêt légitime)
- Newsletter optionnelle — base légale art. 6.1.a (consentement explicite, opt-in)
4. Durées de conservation
| Donnée | Durée | Justification |
|---|---|---|
| Demandes / événements | 3 ans après dernière interaction | Délai de prescription civile |
| Factures et paiements | 10 ans | Code de commerce L123-22 |
| EDL et conventions | Contrat + 5 ans | Preuve litige caution |
| Photos EDL | Contrat + 1 an | Preuve état des lieux |
| Pièces justificatives dossier de location | Supprimées automatiquement à l'expiration d'un délai paramétré par la commune (30 jours par défaut, plage 7 à 90 jours) après la clôture de la location (fin de l'événement, état des lieux de sortie et restitution de la caution) | Gestion administrative et preuve litige — durée proportionnée, effacement automatique par la plateforme |
| Logs serveur | 1 an glissant | Sécurité (art. 32 RGPD) |
| Newsletter | Jusqu'à désinscription | Consentement révocable |
5. Destinataires
- Personnel municipal autorisé selon rôles (admin, agent, lecteur, association)
- Bureau de l'association concernée pour les réservations associatives
- Sous-traitants : OVHcloud (hébergement, France — Roubaix), Brevo (emails transactionnels, France/UE), Stripe Payments Europe Limited (paiement de l'abonnement Sallia par la commune, Irlande/UE), ANTS / DINUM (identification via FranceConnect, France) lorsque ce mode d'authentification est activé par votre commune. Les paiements en ligne des citoyens (loyer, caution) transitent par PayFiP / DGFiP (Finances publiques), hors périmètre de sous-traitance de l'éditeur
Aucun transfert de données hors Union européenne. Aucune cession à des tiers commerciaux. Les contrats de sous-traitance (DPA) conformes à l'article 28 du RGPD sont disponibles sur demande.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD :
- Accès et portabilité : demandez une copie complète de vos données via le portail public de votre commune, lien
/public/rgpd/requestactionexport - Rectification : modifiez vos informations depuis le portail habitant ou asso
- Effacement : demandez la suppression via le même endpoint, action
delete - Opposition : lien de désinscription dans chaque email newsletter
- Limitation : contactez le DPO de votre commune
- Réclamation CNIL : cnil.fr/fr/plaintes
7. Sécurité
- TLS 1.3 sur tous les flux (HSTS + preload)
- Chiffrement des tokens sensibles at-rest (AES-GCM)
- Hash bcrypt des mots de passe (coût 10)
- Sessions HttpOnly + Secure + SameSite=Strict
- Isolation forte par schéma PostgreSQL dédié à chaque commune
- Sauvegarde quotidienne pg_dump avec rétention 30 jours
- Notification de violation < 72h au RT + CNIL conformément à l'art. 33
8. Cookies
Sallia utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification, préférence de langue). Aucun cookie de tracking, aucune donnée transmise à des tiers publicitaires.
9. Contact
- Délégué à la protection des données (DPO) — Wilder Labs : G. Richard · dpo@sallia.fr · réponse sous 72h ouvrées
- DPO commune : consultez le site web officiel de votre mairie
- Adresse postale Wilder Labs : Tercé (86), France