Dernière mise à jour : 13 mai 2026
La présente politique de confidentialité décrit comment Alerte Préfecture (le « Service ») collecte, utilise et protège les données personnelles des utilisateurs, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n°78-17 du 6 janvier 1978 modifiée (Informatique et Libertés).
1. Responsable du traitement
Le responsable du traitement est [TODO — identité de l'éditeur, cf. mentions légales dans les CGU]. Pour toute question relative à vos données personnelles : privacy@alerte-prefecture.fr.
Compte tenu de la nature et du volume des traitements, l'éditeur n'est pas tenu de désigner un Délégué à la protection des données (DPO) au titre de l'article 37 du RGPD. Les demandes liées aux données peuvent être adressées directement à l'adresse ci-dessus.
2. Données collectées
Nous collectons les catégories de données suivantes :
- Données de compte : adresse e-mail, mot de passe (stocké de façon hachée par Supabase), date d'inscription, statut d'abonnement.
- Données d'alerte : préfecture sélectionnée, démarche (catégorie), type de notification choisi (e-mail seul ou e-mail + SMS), date de création et d'expiration de l'alerte.
- Données de contact pour notification : adresse e-mail, et pour le Plan Pro, numéro de téléphone mobile pour l'envoi des SMS.
- Données de paiement (Plan Pro uniquement) : les données bancaires (numéro de carte, cryptogramme, date d'expiration) sont collectées et traitées directement par Stripe ; l'éditeur n'y a pas accès. Seuls l'identifiant client Stripe et l'historique de facturation sont conservés côté Service.
- Données techniques : journaux serveur (adresse IP, agent utilisateur, horodatage des requêtes), cookies de session liés à l'authentification Supabase.
3. Finalités et bases légales (art. 6 RGPD)
- Création et gestion du compte — base : exécution du contrat (art. 6.1.b).
- Envoi des notifications e-mail et SMS — base : exécution du contrat (art. 6.1.b).
- Facturation et gestion comptable — base : obligation légale (art. 6.1.c ; conservation 10 ans, art. L123-22 du Code de commerce).
- Sécurité, prévention de la fraude et amélioration du Service — base : intérêt légitime de l'éditeur (art. 6.1.f).
- Cookies strictement nécessaires (session d'authentification Supabase) — base : intérêt légitime ; ces cookies sont exemptés de consentement (article 82 LIL, lignes directrices CNIL).
- Communications relatives au compte (changements importants, sécurité, expiration d'alerte) — base : exécution du contrat / intérêt légitime.
4. Durées de conservation
- Compte utilisateur : pendant toute la durée d'utilisation du Service. En cas d'inactivité prolongée (3 ans sans connexion), le compte est supprimé ou anonymisé, après notification préalable par e-mail.
- Alertes : conservées tant qu'elles sont actives, puis archivées 13 mois après leur expiration (recommandation CNIL en matière de logs applicatifs).
- Données de facturation : 10 ans à compter de la clôture de l'exercice comptable (art. L123-22 du Code de commerce).
- Journaux techniques et logs de sécurité : 12 mois maximum (recommandations CNIL/ANSSI).
- Données après suppression du compte : suppression sous 30 jours, à l'exception des données conservées au titre d'une obligation légale (facturation, sécurité).
5. Destinataires et sous-traitants
Les données ne sont jamais vendues. Elles ne sont partagées qu'avec les sous-traitants techniques strictement nécessaires au fonctionnement du Service :
- Supabase Inc. (Singapour, infrastructure également située dans l'Union européenne et aux États-Unis) — base de données PostgreSQL, authentification, contrôle d'accès (RLS).
- Stripe Payments Europe Ltd (Irlande, traitement également effectué aux États-Unis) — encaissement, facturation et gestion des abonnements.
- Hébergeur applicatif : [TODO — par défaut Vercel Inc., USA], pour l'hébergement et la diffusion de l'application Next.js.
- Prestataire d'envoi de SMS : [TODO — Twilio / Vonage / OVHcloud SMS, à préciser] pour la livraison des notifications SMS du Plan Pro.
Les données peuvent également être communiquées aux autorités administratives ou judiciaires lorsqu'une telle communication est légalement requise.
6. Transferts hors Union européenne
Certains sous-traitants (Stripe, Supabase, hébergeur) opèrent partiellement aux États-Unis. Ces transferts sont encadrés par des garanties appropriées conformément aux articles 44 et suivants du RGPD :
- les Clauses Contractuelles Types de la Commission européenne (décision d'exécution UE 2021/914 du 4 juin 2021) ;
- l'adhésion de Stripe et de Supabase au EU–US Data Privacy Framework (décision d'adéquation de la Commission du 10 juillet 2023) lorsque applicable.
7. Cookies et traceurs
Le Service utilise uniquement des cookies strictement nécessaires à son fonctionnement, notamment les cookies de session Supabase (préfixe sb-) qui maintiennent l'utilisateur connecté. Conformément aux lignes directrices de la CNIL, ces cookies sont exemptés de consentement.
Aucun outil de mesure d'audience tiers ou de publicité ciblée n'est déposé actuellement. Si un tel outil devait être ajouté à l'avenir, un bandeau de consentement conforme aux exigences de la CNIL serait mis en place préalablement à tout dépôt.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès : obtenir confirmation que des données vous concernant sont traitées et en recevoir copie ;
- Droit de rectification : corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli ») : voir notre page dédiée ;
- Droit à la limitation du traitement ;
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
- Droit d'opposition au traitement fondé sur l'intérêt légitime ;
- Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 de la loi Informatique et Libertés).
Pour exercer ces droits, contactez privacy@alerte-prefecture.fr. Une réponse vous sera apportée dans un délai d'un (1) mois à compter de la réception de la demande (prolongeable de deux mois pour les demandes complexes, avec notification motivée).
Réclamation auprès de la CNIL : si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07, www.cnil.fr.
9. Sécurité des données
L'éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour préserver la confidentialité, l'intégrité et la disponibilité des données :
- chiffrement des communications en TLS ;
- mots de passe stockés sous forme hachée (algorithme bcrypt, géré par Supabase) ;
- isolement des données entre utilisateurs au niveau de la base via Row-Level Security PostgreSQL ;
- accès aux interfaces d'administration restreint par rôle et journalisé ;
- sauvegardes régulières assurées par l'hébergeur de base de données.
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'éditeur notifiera la CNIL dans les 72 heures et, si nécessaire, informera les personnes concernées sans délai (art. 33 et 34 RGPD).
10. Mineurs
Le Service n'est pas destiné aux mineurs de moins de 15 ans. Aucune inscription ne doit être effectuée par un mineur sans le consentement préalable du titulaire de l'autorité parentale. Toute donnée collectée par erreur auprès d'un mineur sera supprimée sur simple demande à privacy@alerte-prefecture.fr.
11. Modifications de la politique
La présente politique peut être modifiée pour refléter des évolutions du Service ou de la réglementation. Toute modification substantielle sera notifiée par e-mail et/ou via une bannière sur le Service, au moins 30 jours avant son entrée en vigueur.
12. Nous contacter
Pour toute question relative à vos données personnelles ou à la présente politique : privacy@alerte-prefecture.fr.