Politique de confidentialité

Conforme RGPD — mise à jour le 16 mai 2026.

L'essentiel

  • Hébergement en France (OVH Roubaix), aucune donnée envoyée hors UE.
  • Aucun tracker tiers (pas de Google Analytics, pas de Facebook Pixel, pas de pub).
  • Données minimales collectées : juste ce qu'il faut pour faire fonctionner la plateforme.
  • Vos droits sont respectés : accès, rectification, effacement, opposition, portabilité.

Responsable du traitement

Stephan Van Exterghem, éditeur de Civilo (cf. mentions légales).
Contact : contact@civilo.fr

Données collectées

Création de compte

  • Email (obligatoire) — identifiant + communication transactionnelle (vérification, reset password, notifications event).
  • Nom ou raison sociale (obligatoire) — affichage public sur vos contenus.
  • Mot de passe (obligatoire si pas Google) — stocké en hash bcrypt, jamais en clair.
  • Type de compte (particulier / association / collectivité) — pour adapter les fonctionnalités.

Profil enrichi (optionnel)

  • Photo de profil — auto-redimensionnée à 400×400, EXIF supprimé.
  • Téléphone — utilisé uniquement pour les contacts d'organisateurs si vous le demandez.
  • Ville, code postal, département, région — pour filtrer les événements près de chez vous.
  • Pour les organisations : nom de structure, SIRET, justificatif (optionnels selon le statut).

Connexion via Google (OAuth)

Si vous choisissez « Continuer avec Google », nous récupérons depuis Google : votre identifiant Google (sub), email vérifié, nom, photo de profil. Rien d'autre. Aucun accès à vos contacts, agendas, Gmail, Drive, etc. Ces données sont uniquement utilisées pour créer ou lier votre compte Civilo.

Inscriptions aux événements

Vos inscriptions sont visibles par l'organisateur de l'événement uniquement (pas par les autres participants). Une trace est conservée même après désinscription pour des raisons d'audit.

Données techniques

  • Cookie de session (HttpOnly, Secure, SameSite=Lax) — pour vous garder connecté·e.
  • Tentatives de connexion (IP + email) — anti-bruteforce, conservées 30 jours puis purgées.
  • Logs serveur Caddy — IP, page demandée, user-agent — conservés 7 jours pour debugging.

Mesure d'audience anonymisée

Ce site collecte des statistiques de visite via les journaux d'accès serveur (Caddy). Aucun cookie n'est posé sur votre navigateur à des fins analytiques. Les adresses IP sont anonymisées immédiatement (dernier octet supprimé pour IPv4, /48 pour IPv6) avant tout stockage. Les données agrégées (pages vues, sources de trafic, type d'appareil) sont conservées 24 mois maximum à des fins statistiques. Aucune donnée n'est transmise à un tiers. Conformément à la délibération CNIL n°2020-091, cette mesure d'audience bénéficie de l'exemption de consentement.

Ce que nous NE faisons PAS

  • Pas de tracking comportemental (Google Analytics, Facebook Pixel, Matomo, etc.).
  • Pas de publicité, pas de retargeting.
  • Pas de revente, location ou partage de vos données à des tiers.
  • Pas de profil marketing, pas d'A/B testing intrusif.
  • Pas d'utilisation de vos données pour entraîner des modèles IA.

Durées de conservation

  • Compte actif : durée de vie du compte (effacement à votre demande).
  • Compte supprimé : soft-delete avec anonymisation immédiate des données nominatives (email remplacé par deleted-X@civilo.fr, nom remplacé par Utilisateur supprimé). Trace conservée pour audit légal pendant 1 an, puis hard-delete.
  • Logs de connexion : 30 jours.
  • Logs serveur : 7 jours.
  • Statistiques d'audience anonymisées : 24 mois.

Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès : obtenir une copie de toutes vos données.
  • Rectification : modifier vos infos (directement via votre profil).
  • Effacement (« droit à l'oubli ») : supprimer définitivement votre compte.
  • Opposition : refuser certains traitements.
  • Portabilité : récupérer vos données dans un format réutilisable (JSON).
  • Limitation : geler temporairement le traitement de vos données.

Pour exercer ces droits, écrivez à contact@civilo.fr. Nous répondons sous 30 jours maximum (généralement quelques jours).

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr/plaintes).

Sécurité

  • Mots de passe stockés en hash bcrypt (cost 12), jamais en clair.
  • Connexions chiffrées HTTPS obligatoire (HSTS preload).
  • Protection CSRF sur toutes les actions sensibles.
  • Rate-limit anti-bruteforce sur la connexion.
  • Sauvegardes quotidiennes chiffrées (rétention 14 jours).
  • Photos uploadées : metadonnées EXIF supprimées (pas de GPS).

Évolutions de cette politique

Cette politique peut être modifiée pour refléter des changements légaux ou techniques. Toute modification significative sera notifiée par email aux utilisateurs actifs.