Politique de Confidentialité

Dernière mise à jour : 10 mars 2026

1. Introduction

CitActeur attache une importance particulière à la protection des données personnelles et au respect de la vie privée de ses utilisateurs.

La présente Politique de Confidentialité a pour objet d'informer les utilisateurs de la plateforme CitActeur sur la manière dont leurs données personnelles sont collectées, utilisées et protégées, conformément au Règlement Général sur la Protection des Données (RGPD – UE 2016/679).

2. Responsable du traitement

Le responsable du traitement est :
CitActeur
📧 dpo@citacteur.fr

3. Données personnelles collectées

3.1 Données fournies par l'utilisateur

Selon les fonctionnalités utilisées, CitActeur peut collecter :

• nom, prénom ou pseudonyme,
• adresse email,
• photo de profil (facultative),
• biographie ou description libre (facultative),
• localisation approximative (commune ou code postal).

La fourniture de certaines données est nécessaire à la création du compte. Les champs facultatifs peuvent être laissés vides.

3.2 Données techniques

Lors de l'utilisation de la plateforme, des données techniques peuvent être collectées :

• adresse IP,
• journaux de connexion,
• données de navigation,
• identifiants techniques et cookies (voir article 10).

3.3 Données liées à l'utilisation de la plateforme

• contenus publiés (commentaires, contributions, participations),
• interactions avec les contenus,
• paramètres et préférences fonctionnelles.

4. Finalités du traitement

Les données personnelles sont traitées exclusivement pour les finalités suivantes :

• création et gestion des comptes utilisateurs,
• fonctionnement des services de participation citoyenne,
• affichage des contenus publiés par les utilisateurs,
• amélioration technique et fonctionnelle de la plateforme,
• sécurité, prévention des abus et des fraudes,
• respect des obligations légales et réglementaires.

CitActeur ne réalise aucun ciblage politique, aucune recommandation idéologique et aucun profilage automatisé à caractère politique.

5. Bases légales des traitements

Les traitements mis en œuvre reposent sur :

• l'exécution du contrat : accès et utilisation de la plateforme,
• le consentement : cookies non essentiels et communications facultatives,
• l'intérêt légitime : sécurité, prévention des abus, amélioration technique,
• les obligations légales applicables à CitActeur.

6. Trust Score et traitements automatisés

La plateforme peut afficher un Trust Score ou indicateur de fiabilité associé à certains comptes.

Ce traitement :

• repose sur des critères objectifs et non sensibles (ancienneté du compte, complétude du profil, respect des règles, historique de participation),
• ne constitue pas un profilage politique au sens du RGPD,
• n'a aucun effet juridique ou décisionnel à l'égard de l'utilisateur,
• ne produit pas de recommandation, de classement partisan ou de ciblage politique.

Le Trust Score vise exclusivement à améliorer la qualité des échanges et la confiance entre utilisateurs.

7. Destinataires des données

Les données personnelles peuvent être accessibles :

• aux autres utilisateurs, selon les paramètres de visibilité choisis,
• aux sous-traitants techniques strictement nécessaires au fonctionnement de la plateforme (hébergement, base de données, envoi d'emails),
• aux autorités administratives ou judiciaires lorsque la loi l'exige.

Conformément à l'article 28 du RGPD, chaque sous-traitant fait l'objet d'un contrat incluant des clauses de protection des données (DPA). La liste complète et à jour des sous-traitants de CitActeur est disponible sur la page dédiée : citacteur.fr/sous-traitants.

CitActeur ne vend, ne loue et ne cède jamais les données personnelles à des tiers.

8. Durée de conservation

Les données sont conservées selon les durées suivantes :

• données de compte : pendant la durée d'activité du compte,
• données après suppression du compte : archivées jusqu'à 3 ans maximum à des fins légales,
• journaux de connexion : 12 mois maximum,
• cookies : durée conforme à la réglementation en vigueur.

9. Droits des utilisateurs

Conformément au RGPD, chaque utilisateur dispose des droits suivants :

• droit d'accès,
• droit de rectification,
• droit à l'effacement,
• droit à la limitation du traitement,
• droit à la portabilité,
• droit d'opposition,
• droit de retirer son consentement à tout moment.

📧 Pour exercer ces droits : dpo@citacteur.fr

Conformément à l'article 12 §3 du RGPD, CitActeur s'engage à répondre à toute demande relative à l'exercice de ces droits dans un délai maximum de 30 jours à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de demandes complexes ou nombreuses, auquel cas l'utilisateur sera informé de cette prolongation dans le délai initial de 30 jours.

L'utilisateur peut également introduire une réclamation auprès de la CNIL.

10. Gestion des appareils (device tracking)

Pour renforcer la sécurité des comptes, CitActeur enregistre les appareils utilisés pour se connecter à la plateforme.

10.1 Données collectées par appareil

• un identifiant technique de l'appareil (UUID généré localement, stocké dans le navigateur sous device_id),
• sa version hachée (SHA-256) conservée en base de données,
• la date d'enregistrement,
• le statut de vérification par email.

10.2 Règles de fonctionnement

• Le premier appareil est automatiquement vérifié lors de l'inscription.
• Chaque nouvel appareil doit être vérifié par email avant de pouvoir accéder au compte.
• Au maximum 5 appareils peuvent être enregistrés simultanément par compte.
• L'identifiant local (device_id) est supprimé du navigateur à chaque déconnexion.

10.3 Base légale et finalité

Ce traitement repose sur l'intérêt légitime de CitActeur à sécuriser les accès aux comptes et à prévenir les usurpations d'identité. L'utilisateur peut consulter et supprimer ses appareils enregistrés depuis ses paramètres de compte.

11. Chiffrement des données d'identité

Les prénoms et noms des citoyens inscrits sur CitActeur sont chiffrés en base de données dès la création du compte.

11.1 Méthode de chiffrement active

• Algorithme : AES-256-GCM (Advanced Encryption Standard, 256 bits, mode authentifié).
• Les données chiffrées sont stockées dans la table profiles sous les colonnes encrypted_first_name et encrypted_last_name.
• Un vecteur d'initialisation unique (IV) est généré par utilisateur et conservé avec les données chiffrées.
• La clé de chiffrement est stockée exclusivement côté serveur, en tant que secret de la fonction Edge, inaccessible depuis le frontend ou la base de données directement.
• Le déchiffrement ne s'effectue que lors d'opérations spécifiques (ex. : vérification lors d'une candidature), via une fonction serveur sécurisée (get_own_decrypted_identity).

11.2 Note sur une implémentation antérieure

Une table séparée private_identities a été créée lors d'une version antérieure de l'architecture. Cette table est dépréciée et n'est plus utilisée. Toutes les opérations de chiffrement et de déchiffrement s'appuient exclusivement sur les colonnes de la table profiles.

12. Sécurité

CitActeur met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité et l'intégrité des données personnelles, et de prévenir tout accès non autorisé, perte ou altération.

13. Cookies

CitActeur utilise :

• des cookies strictement nécessaires au fonctionnement de la plateforme,
• des cookies de mesure d'audience, soumis au consentement de l'utilisateur.

Un bandeau de gestion des cookies permet d'accepter, refuser ou paramétrer les cookies lors de la première visite.

14. Modification de la politique

CitActeur se réserve le droit de modifier la présente Politique de Confidentialité à tout moment.

Toute modification est publiée sur cette page avec indication de la date de mise à jour. La poursuite de l'utilisation de la plateforme vaut acceptation de la version en vigueur.

15. Contact

Pour toute question relative à la protection des données personnelles :