Sécurité & Conformité

01

Hébergement des données

🌍

Localisation

Union Européenne

Région : Europe de l'Ouest (Frankfurt)

☁️

Hébergeur applicatif

Render Inc.

Infrastructure AWS EU-West

🗄️

Base de données

Neon (PostgreSQL)

Région AWS eu-central-1

📋

Migration SecNumCloud planifiée. Doteo prévoit une migration vers un hébergeur certifié SecNumCloud (qualification ANSSI) afin de répondre aux exigences les plus élevées des collectivités sensibles. Cette migration est inscrite à la feuille de route produit, sans date ferme à ce stade.

02

Données traitées

✅

Doteo ne traite pas de données sensibles au sens de l'article 9 du RGPD. Les données utilisées sont soit publiques (open data), soit limitées aux informations de contact des utilisateurs inscrits.

Type de données	Source	Finalité	Sensibilité
Données communales Code INSEE, population, budget, capacité de financement	Open data INSEE / DGFIP	Calcul d'éligibilité et matching avec dispositifs de financement	Données publiques — non personnelles
Projets des communes Description, budget estimé, catégorie de travaux	Saisie utilisateur	Analyse et recommandation de financements	Données non sensibles
Données de contact des élus / DGS Nom, prénom, email, fonction	Saisie utilisateur lors de l'inscription	Authentification, communication, support	Données personnelles — non sensibles
Données de navigation Logs techniques, adresse IP	Automatique (serveur)	Sécurité, débogage, statistiques agrégées	Données personnelles — non sensibles

03

Conformité RGPD

Doteo respecte le Règlement (UE) 2016/679 relatif à la protection des données personnelles (RGPD). En tant que responsable de traitement, Doteo détermine les finalités et les moyens des traitements de données à caractère personnel effectués dans le cadre de la plateforme.

Traitement	Base légale	Durée de conservation
Gestion des comptes utilisateurs	Exécution du contrat (art. 6.1.b)	Durée du compte + 3 ans après clôture
Analyse d'éligibilité aux dispositifs	Exécution du contrat (art. 6.1.b)	Durée du compte actif
Communications commerciales	Intérêt légitime / Consentement (art. 6.1.a/f)	3 ans après dernier contact
Logs techniques et sécurité	Obligation légale / Intérêt légitime (art. 6.1.c/f)	12 mois glissants

ℹ️

Qualité de sous-traitant possible. Lorsque Doteo traite des données pour le compte d'une collectivité (données de projet, contacts élus), la collectivité peut être qualifiée de responsable de traitement et Doteo de sous-traitant au sens de l'art. 28 RGPD. Un accord de traitement des données (DPA) peut être mis en place sur demande.

04

Droits des utilisateurs

Toute personne dont les données sont traitées par Doteo dispose des droits suivants, exercisables à tout moment :

Droit d'accès

Obtenir une copie des données personnelles vous concernant traitées par Doteo.

Droit de rectification

Faire corriger des données inexactes ou compléter des données incomplètes.

Droit à l'effacement

Demander la suppression de vos données, sous réserve des obligations légales de conservation.

Droit à la portabilité

Récupérer vos données dans un format structuré et lisible par machine (JSON/CSV).

Droit d'opposition

Vous opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection.

Droit de limitation

Demander la suspension temporaire d'un traitement en cas de contestation ou de réclamation.

📮

Pour exercer vos droits, contactez-nous à rgpd@captio.fr. Nous répondons dans un délai d'un mois à compter de la réception de votre demande (délai extensible à 3 mois pour les demandes complexes). Vous pouvez également introduire une réclamation auprès de la CNIL (cnil.fr).

05

Sous-traitants

Doteo fait appel aux prestataires tiers suivants. Chacun est sélectionné pour sa conformité RGPD et ses garanties contractuelles (clauses contractuelles types ou Privacy Shield successor).

Prestataire	Pays	Finalité	Garanties
Render Inc.	USA (région EU)	Hébergement applicatif (serveur web, workers)	DPA + CCT
Neon (Neon Inc.)	USA (région EU)	Base de données PostgreSQL	DPA + CCT
Anthropic PBC	USA	Moteur d'analyse IA (traitement des descriptions de projet)	DPA entreprise — données non utilisées pour l'entraînement
Postmark (ActiveCampaign)	USA	Envoi d'emails transactionnels (compte, notifications)	DPA + CCT

🔗

La liste complète des sous-traitants est tenue à jour et disponible sur demande auprès de notre DPO (rgpd@captio.fr). Toute modification substantielle fait l'objet d'une information préalable.

06

Mesures de sécurité

🔒

Chiffrement en transit

HTTPS / TLS 1.2+

Toutes les communications client↔serveur sont chiffrées

🗃️

Chiffrement au repos

AES-256

Données sensibles chiffrées en base (tokens, secrets)

🔑

Authentification

Magic Link (sans mot de passe)

JWT signé, expiration 7 jours, révocable

💾

Sauvegardes

Quotidiennes automatiques

Rétention 30 jours, chiffrement des snapshots

🛡️

Contrôle d'accès

Isolation par commune

Chaque commune accède uniquement à ses propres données

📊

Journalisation

Logs d'accès conservés 12 mois

Traçabilité des actions sur les données sensibles

✓ Gestion des secrets via variables d'environnement — aucun secret en dur dans le code source
✓ Pipeline de déploiement sécurisé via GitHub Actions — pas de déploiement manuel en production
✓ Revues de code systématiques avant déploiement via Pull Request
✓ Requêtes SQL paramétrées — protection contre les injections SQL
✓ Validation des entrées côté serveur — protection contre les attaques XSS et CSRF
✓ Pas d'exécution de code dynamique côté serveur — surface d'attaque réduite

07

Mentions légales

Information	Détail
Éditeur du site	Doteo — plateforme d'ingénierie financière pour collectivités territoriales
Hébergeur	Render Inc. — 525 Brannan Street, Suite 300, San Francisco, CA 94107, USA Infrastructure physique en région EU (Frankfurt)
Directeur de la publication	Disponible sur demande à contact@captio.fr
CNIL	Commission Nationale de l'Informatique et des Libertés — cnil.fr
Propriété intellectuelle	L'ensemble des contenus présents sur doteo.fr (textes, graphismes, logiciels) sont protégés par le droit d'auteur. Toute reproduction est interdite sans autorisation préalable.
Données open data utilisées	Données INSEE, DGFIP et portails data.gouv.fr — licences Etalab OGL v2.0

Politique de cookies

Doteo utilise uniquement des cookies strictement nécessaires au fonctionnement de la plateforme (maintien de session, sécurité). Aucun cookie de suivi publicitaire ou analytique tiers n'est déposé sans votre consentement explicite.

Les données de session sont stockées localement dans votre navigateur (localStorage) et ne sont pas transmises à des tiers à des fins publicitaires.

Conditions générales d'utilisation

✓ L'accès à Doteo est réservé aux agents des collectivités territoriales, élus et prestataires mandatés.
✓ L'utilisation de la plateforme implique l'acceptation des présentes conditions. Tout usage abusif ou frauduleux entraîne la résiliation immédiate du compte.
✓ Les résultats fournis par Doteo (analyses d'éligibilité, recommandations de financement) sont fournis à titre indicatif et ne constituent pas un conseil juridique ou financier.
✓ Doteo se réserve le droit de modifier les présentes conditions. Les utilisateurs seront informés par email de toute modification substantielle.
✓ Le droit français est applicable. Tout litige relève de la compétence exclusive des juridictions françaises.

08

Contact & DPO

Pour toute question relative à la protection des données personnelles, à l'exercice de vos droits RGPD, ou pour demander un accord de traitement des données (DPA), contactez notre référent protection des données :

📧

Référent Protection des Données (DPO)

Demandes RGPD, exercice de droits, DPA, incidents de sécurité.
Réponse sous 48 heures ouvrées pour les demandes urgentes.

rgpd@captio.fr · contact@captio.fr