Politique de confidentialité
Version 1.0 — en vigueur depuis le 1 mai 2026
Decazeville Communauté accorde une importance essentielle au respect de la vie privée des familles et des élèves. La présente politique détaille les traitements de données à caractère personnel mis en œuvre sur le portail famille https://transport-decazeville-communaute.fr, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée.
1. Responsable de traitement
Le responsable de traitement est :
DECAZEVILLE COMMUNAUTÉ
Maison de l'Industrie — BP 68
12300 Decazeville
Représenté par François Marty, Président de Decazeville Communauté.
2. Sous-traitant principal
TPC, SLU— Societat de Responsabilitat Limitada Unipersonal de droit andorran, NRT L-721104-X, dont le siège est situé Passatge d'Europa, Núm. 1, 4t Pis, AD500 Andorra la Vella, Principat d'Andorra, représentée par Thomas Paul PETITJEAN — exploite le logiciel Bullify School Buset agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Ses engagements en matière de sécurité, de confidentialité et de gestion des sous-traitants ultérieurs sont formalisés dans un contrat de sous-traitance (DPA) signé avec Decazeville Communauté.
Le traitement des données par TPC, SLU depuis la Principauté d'Andorre est licite au regard des articles 44 et suivants du RGPD, l'Andorre bénéficiant d'une décision d'adéquation de la Commission européenne (Décision 2010/625/UE du 19 octobre 2010) qui reconnaît un niveau de protection adéquat des données personnelles.
Contact : thomas@bullify.io — Téléphone : +33 6 45 88 17 74
Délégué à la protection des données (DPO) TPC, SLU : dpo@bullify.io
3. Sous-traitants ultérieurs
Pour le fonctionnement du Portail, les sous-traitants ultérieurs suivants sont autorisés par Decazeville Communauté :
| Prestataire | Finalité | Localisation | Encadrement |
|---|---|---|---|
| Scaleway SAS (8 rue de la Ville l'Évêque, 75008 Paris) | Hébergement applicatif et base de données (VM + PostgreSQL managé) | Paris, France (zone fr-par) | Hébergement en Union européenne |
| Direction générale des Finances publiques — PayFip | Encaissement pour le compte du Trésor public (comptabilité publique) | France | Traitement par l'État, réglementation publique |
| Brevo (Sendinblue SAS) | Envoi des emails transactionnels (confirmation, factures, notifications) et des SMS sur opt-in explicite | France | Sous-traitant français |
| Sentry (Functional Software Inc.) | Détection et diagnostic d'erreurs applicatives | États-Unis (avec routage UE possible selon plan) | Clauses contractuelles types UE (Décision 2021/914) |
La liste est susceptible d'évoluer. Toute modification est portée à la connaissance des utilisateurs sur le portail.
4. Délégué à la protection des données
Les demandes liées à l'exercice des droits RGPD sont traitées par le DPO de Decazeville Communauté :
- Nom : SMICA
- Email :
confiance-numerique@smica.fr - Adresse postale : Decazeville Communauté — Délégué à la protection des données, Maison de l'Industrie — BP 68, 12300 Decazeville
5. Catégories de données traitées
| Catégorie de personne | Données collectées |
|---|---|
| Parents / responsables légaux | Civilité, nom, prénom, adresse email, téléphone(s), adresse postale et coordonnées GPS du domicile, opt-in SMS et date d'opt-in |
| Élèves | Nom, prénom, date de naissance, photo d'identité, établissement, classe, arrêt de transport affecté, correspondances |
| Utilisateurs du portail | Adresse IP, user-agent, horodatage des sessions, identifiant de compte, consentement aux CGU |
| Paiements | Historique des transactions PayFip, statut, référence de paiement |
Aucune donnée dite « sensible » (origine, opinions, santé, etc.) n'est collectée.
6. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Inscription, gestion et exécution du service de transport scolaire | Mission d'intérêt public (art. 6-1-e RGPD) — transport scolaire, service public administratif organisé par la collectivité |
| Encaissement via la régie PayFip / DGFIP et recouvrement | Obligation légale (art. 6-1-c) et mission d'intérêt public |
| Tenue de la comptabilité publique | Obligation légale (art. 6-1-c) — Code général des collectivités territoriales, instructions M14/M57 |
| Notifications email opérationnelles (confirmation d'inscription, alertes service, factures) | Mission d'intérêt public |
| Notifications SMS | Consentement explicite opt-in (art. 6-1-a) — retirable à tout moment depuis le profil |
| Sécurité du Portail, journalisation, lutte contre la fraude | Intérêt légitime (art. 6-1-f) |
| Détection et diagnostic d'anomalies applicatives | Intérêt légitime (art. 6-1-f) |
7. Destinataires des données
Les données sont rendues accessibles uniquement :
- aux agents habilités de Decazeville Communauté dans la limite de leur besoin de connaître ;
- aux transporteurs affrétés par Decazeville Communauté, pour la liste des élèves à transporter et leurs arrêts ;
- aux établissements scolaires desservis, pour la vérification des inscriptions scolaires ;
- aux sous-traitants listés à l'article 3, dans la stricte limite des finalités qu'ils exécutent ;
- aux services de la Direction générale des Finances publiques, pour l'encaissement via PayFip.
Aucune donnée n'est cédée ou louée à des fins commerciales.
8. Transferts hors Union européenne
Les données hébergées restent au sein de l'Union européenne (hébergement Scaleway SAS à Paris, France, zone fr-par). Deux catégories de transferts hors UE sont identifiées :
- Principauté d'Andorre: le sous-traitant principal TPC, SLU (article 2) est établi en Andorre et accède aux données depuis son siège andorran pour les besoins d'exploitation du service. Ce transfert est encadré par la décision d'adéquation de la Commission européenne du 19 octobre 2010 (2010/625/UE (s'ouvre dans un nouvel onglet)), qui reconnaît à l'Andorre un niveau de protection adéquat.
- États-Unis: le sous-traitant ultérieur Sentry (diagnostic d'erreurs applicatives) peut opérer certains traitements aux États-Unis. Ces transferts sont encadrés par les Clauses contractuelles types adoptées par la Commission européenne (Décision 2021/914).
Aucun autre transfert hors UE n'est effectué.
9. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte parent inactif | Anonymisation automatique 3 ans après la dernière activité |
| Pièces comptables (paiements, factures PayFip) | 10 ans (obligations comptables applicables aux collectivités) |
| Données de diagnostic applicatif (Sentry) | 30 jours |
À l'issue de ces durées, les données sont supprimées, anonymisées ou archivées conformément aux instructions d'archivage applicables à Decazeville Communauté.
10. Droits des personnes concernées
Toute personne concernée dispose, sur justification de son identité, des droits suivants :
- droit d'accès à ses données (art. 15) ;
- droit de rectification (art. 16) ;
- droit à l'effacement dans les limites légales (art. 17) — directement accessible depuis le profil famille du Portail via la fonction d'anonymisation du compte ;
- droit à la limitation du traitement (art. 18) ;
- droit d'opposition pour les traitements fondés sur l'intérêt légitime (art. 21) ;
- droit à la portabilité pour les traitements fondés sur le consentement ou l'exécution d'un contrat (art. 20) ;
- droit de retirer son consentement à tout moment pour les notifications SMS.
Ces droits s'exercent auprès du DPO (article 4). Une réponse est apportée dans un délai maximal d'un mois, prolongeable de deux mois en cas de complexité.
11. Réclamation auprès de la CNIL
En cas de désaccord persistant sur le traitement de ses données, toute personne concernée peut introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07
Site : cnil.fr/plaintes (s'ouvre dans un nouvel onglet)
12. Cookies
Le Portail utilise uniquement des cookies strictement nécessaires à son fonctionnement et à la sécurité des sessions ; ces cookies ne requièrent pas de consentement préalable (CNIL, lignes directrices).
| Nom | Finalité | Durée | Tiers |
|---|---|---|---|
better-auth.session_token | Authentification et maintien de la session | Session (jusqu'à la déconnexion) | Non |
better-auth.session_token.sig | Signature de la session | Session | Non |
Aucun cookie publicitaire ou d'analyse d'audience tierce n'est déposé à ce jour. L'ajout éventuel d'outils de mesure d'audience ou d'outils tiers soumis à consentement sera précédé de la mise en place d'un bandeau dédié.
13. Sécurité
Decazeville Communauté et TPC, SLU mettent en œuvre les mesures de sécurité adaptées : isolation stricte par tenant, chiffrement en transit (HTTPS/TLS 1.2+), authentification forte des agents back-office, sauvegardes quotidiennes, journalisation, gestion des incidents et tests de sécurité périodiques.
14. Modifications de la politique
La présente politique peut être mise à jour pour tenir compte des évolutions légales, réglementaires ou fonctionnelles. La version en vigueur est publiée sur le Portail avec indication de la date d'effet. Toute modification substantielle fait l'objet d'une information aux utilisateurs.