Engagements de conformité
01 - Hébergement souverain
AWS Paris - eu-west-3 - chiffrement KMS par tenant. Les données métier des collectivités restent hébergées en France, sans réplication transfrontalière.
02 - RGPD - sous-traitant
DPA signé avec chaque collectivité. Droits exercés en 30 jours. Détail complet dans la déclaration RGPD.
03 - Accessibilité RGAA 4.1
Niveau AA visé dès la version 1. Auto-évaluation technique réalisée, détaillée dans la déclaration d'accessibilité.
04 - Sécurité ANSSI
TLS 1.3, HSTS, CSP stricte, audit de sécurité annuel, sauvegardes chiffrées, principe du moindre privilège pour les accès internes.
05 - Chorus Pro
Facturation État conforme, format Factur-X. Connexion native pour les factures vers les acheteurs publics.
06 - Signature électronique
Docaposte et DSS (Commission européenne) pour les bordereaux d'heures sup. Niveau eIDAS adapté.
100 % France
Vos données métier restent hébergées en France, dans la région AWS Paris (eu-west-3), sans réplication transfrontalière. Dans l'application Mairalia : aucun script tiers, aucun outil de mesure d'audience externe, aucun pixel publicitaire. Sur simple demande, un export complet de vos données est réalisé et vous est transmis.
Le site marketing utilise Google Analytics 4 uniquement avec votre consentement explicite, détaillé dans la politique de cookies.
Sous-traitants au sens du RGPD
Conformément à l'article 28 du RGPD, Mairalia tient à jour la liste de ses sous-traitants. Toute évolution est notifiée aux collectivités clientes, qui disposent d'un droit d'opposition motivé.
Il convient de distinguer deux périmètres :
- L'application Mairalia (espace authentifié, données métier des collectivités) repose exclusivement sur des sous-traitants situés dans l'Union européenne. Aucun sous-traitant américain ne traite ces données.
- Le site marketing mairalia.fr utilise Google Analytics 4 pour la mesure d'audience, uniquement après consentement du visiteur.
Hébergement et infrastructure
- Amazon Web Services EMEA SARL
- Hébergement de la plateforme. Région unique : AWS Paris (eu-west-3). Chiffrement KMS par tenant. Siège : 38 avenue John F. Kennedy, L-1855 Luxembourg. Base légale : exécution du contrat.
Signature électronique
Les bordereaux d'heures supplémentaires et autres documents nécessitant une signature électronique conforme eIDAS sont traités via deux opérateurs européens :
- Docaposte
- Filiale du groupe La Poste. Signature électronique, archivage à valeur probante. Hébergement France. Base légale : exécution du contrat.
- DSS - Digital Signature Service (Commission européenne)
- Brique logicielle officielle de la Commission européenne (initiative Digital Building Blocks), open source, utilisée pour la création et la vérification de signatures eIDAS. Exécutée sur l'infrastructure Mairalia, en France. Référence : ec.europa.eu - DSS.
Facturation
- Chorus Pro (AIFE)
- Portail public de facturation de l'État. Connexion native pour la facturation des collectivités au format Factur-X.
Outils support
Les outils internes utilisés pour la relation client (messagerie professionnelle, support, suivi des demandes) sont en cours de qualification. La présente page sera mise à jour avec leur identité exacte avant la mise en service. Critères retenus : hébergement Union européenne, propriété européenne du capital, contrats de sous-traitance conformes au RGPD.
Site marketing - mesure d'audience
- Google Ireland Limited - Google Analytics 4
- Mesure de la fréquentation du site marketing mairalia.fr et pilotage des campagnes. Périmètre : site marketing uniquement, jamais l'application. IP anonymisée, partage publicitaire désactivé, durée de conservation 13 mois, dépôt conditionné au consentement explicite du visiteur via bandeau. Siège : Gordon House, Barrow Street, Dublin 4, Irlande. Transferts UE → États-Unis encadrés par des clauses contractuelles types et le Data Privacy Framework. Base légale : consentement du visiteur (article 6.1.a RGPD).
Ce que Mairalia n'utilise pas (application)
Sur l'application Mairalia, qui traite les données des collectivités, aucun des outils suivants n'est utilisé :
- Pas de mesure d'audience tierce dans l'application.
- Pas de Cloudflare Workers ni de CDN états-unien.
- Pas de chargement de polices depuis un CDN extra-européen.
- Pas de pixel publicitaire (Meta, LinkedIn, Google Ads).
- Pas de boutons de partage social actifs par défaut.
Notification d'évolution
Toute évolution de cette liste (ajout, retrait, changement de périmètre) est notifiée aux collectivités clientes au moins 30 jours avant entrée en vigueur, conformément à l'accord de traitement (DPA) signé.
Dernière mise à jour : 3 juin 2026.