Pratiques commerciales trompeuses, violations RGPD, défauts de cybersécurité, conflits d'intérêts, position dominante et extraction de valeur sur le dos des collectivités territoriales françaises.
| Champ | Valeur |
|---|---|
| Raison sociale | JVS GROUPE SA — Capital 1 100 000 € |
| SIREN | 933 819 955 |
| Siège | 7 rue Raymond Aron, 51520 Saint-Martin-sur-le-Pré |
| Président | Nebojsa Jankovic (né en juin 1963) |
| DG opérationnel | Yann Duverdier (conseiller municipal par ailleurs) |
| CA 2024 (filiale) | 37,67 M€ — Résultat net : 2,07 M€ — EBITDA : 7,07 M€ |
| CA groupe consolidé | ~42 M€ |
| Effectifs | 400+ collaborateurs, 15 agences |
| Clients revendiqués | 15 000+ collectivités |
| Trésorerie | 5,05 M€ |
| Dettes > 1 an | 0 € |
| Filiale | SIREN | Activité | Portée |
|---|---|---|---|
| JVS-Mairistem | 328 552 187 | Logiciels collectivités (90+ modules) | 15 000+ communes |
| Citopia | 840 426 134 | Sites web (WeeCity), apps (Attractive City) | ~200 sites, ~100 apps |
| PanneauPocket | 814 637 591 | App alertes municipales | 14 000+ communes |
| Sistec | — | Enfance, cadastre, cimetières | — |
| Modularis | — | Communes < 2 500 hab. | — |
| Familea (acquis fév. 2026) | — | Enfance, jeunesse, famille | — |
| Tracker | Identifiant | Éditeur | Pays |
|---|---|---|---|
| Google Ads | AW-17989696875 | Google LLC | USA |
| Google Tag Manager | GTM-MVM6W7GS | Google LLC | USA |
| Microsoft Clarity | qyfuyikbyf | Microsoft Corp. | USA |
Google Ads = publicité ciblée. Contradiction directe avec « 0% Publicité ».
Microsoft Clarity = enregistrement sessions complètes. Contradiction avec « 100% Anonyme ».
| Certification | Statut |
|---|---|
| SecNumCloud (ANSSI) | Absente |
| ISO 27001 | Absente |
| HDS | Absente |
| Audit indépendant | Aucun |
Sites du groupe hébergés chez Infomaniak SA, Genève (Suisse) = hors UE.
CGU : « Les données ne font l'objet d'aucun transfert vers des pays tiers »
| SDK | Éditeur | Pays | Fonction |
|---|---|---|---|
| Facebook SDK | Meta | USA | Login/tracking |
| Google Sign-In | USA | Auth | |
| Google Maps | USA | Carto | |
| Firebase | USA | Push + ID appareil | |
| Sentry | Functional Software | USA | Crashs auto |
HubSpot (tracking marketing US) sur citopia.fr et jvs-mairistem.fr, non déclaré comme transfert hors UE.
« L'IA by JVS » : aucun fournisseur divulgué. Les données des communes transitent-elles par OpenAI (USA) ? Personne ne le sait.
Sites audités : Puimisson, Orphin, Grossoeuvre, Farnay, Auris-en-Oisans, Saint-Geniès-Bellevue, Puget-sur-Durance, Bucquoy, RME Saint-Malo.
| Obligation RGPD | Sites conformes | Verdict |
|---|---|---|
| Politique de confidentialité (art. 13-14) | 0 / 9 | Fail |
| Base juridique (art. 13.1.c) | 0 / 9 | Fail |
| Durées conservation (art. 13.2.a) | 0 / 9 | Fail |
| Sous-traitants (art. 13.1.f) | 0 / 9 | Fail |
| Transferts hors UE (art. 13.1.f) | 0 / 9 | Fail |
| DPO identifié (art. 37-39) | 0 / 9 | Fail |
| Droit réclamation CNIL (art. 13.2.d) | 1 / 9 | Fail |
| Accessibilité RGAA (décret 2019-768) | 0 / 9 | Fail |
Matomo sans consentement sur 3 sites (analytics.tools.citopia.fr chargé en dur dans le HTML). 2 sites sans bandeau cookies (Puget, RME Saint-Malo). 9/9 posent des cookies session avant tout consentement.
| Header | Valeur | Verdict |
|---|---|---|
| HSTS | max-age=600 (10 min) | Fail — ANSSI recommande 31 536 000 |
| Content-Security-Policy | Absent | Fail — Vulnérable XSS |
| Referrer-Policy | Absent | Fail |
| Permissions-Policy | Absent | Fail |
| Mixed content HTTP | 6 / 9 sites | Fail — Man-in-the-middle |
| HTTP sans redirection HTTPS | RME Saint-Malo | Fail critique |
| URLs staging exposées | 2 sites | Warning |
| Clés API Google Maps en clair | 3 clés distinctes | Warning |
| Site | Erreur |
|---|---|
| RME Saint-Malo | Mentions légales parlent de « Longechenal » (Isère, 350 hab.) |
| Saint-Geniès-Bellevue | Page accessibilité mentionne « Saint Martin sur le Pré » (siège de JVS !) |
| Puget-sur-Durance | Mentions légales = texte d'instruction interne WeeCity |
| Farnay | Page RGPD vide (placeholder jamais rempli) |
Template juridique basé sur la loi de 1978, sans mise à jour RGPD depuis 8 ans.
| Ce que JVS affirme | Réalité |
|---|---|
| « Cloud Souverain » | 0 certification. Sites en Suisse. |
| « Données dans l'UE » | Facebook, Google, Sentry, HubSpot = USA |
| PanneauPocket « 100% Anonyme » | Google Ads + Microsoft Clarity |
| PanneauPocket « 0% Pub » | Google Ads AW-17989696875 |
| Mémento « 0 transfert hors UE » | 6 SDK américains |
| « Privacy by Design » | 0/9 conformes, template 1978 |
| « L'IA by JVS » | Fournisseur inconnu |
| Champ | Détail |
|---|---|
| Né | Juin 1963, Yougoslavie |
| Rejoint JVS | 1984 (développeur junior) |
| Contrôle majoritaire | Depuis 2008 |
| Mandats sociaux | 6+ : JVS Groupe, JVS-Mairistem, JVS Next, BCD Services, DENA, GFV JKC4 VITI, IMMO-PARTS |
| Activité parallèle | Producteur de vins à Vertus (Champagne), propriétaire d'un groupement foncier viticole (CA 2,52 M€) |
Le président du groupe qui fournit les logiciels de 15 000 communes est également viticulteur champenois et gérant de sociétés immobilières.
Yann Duverdier est simultanément :
• Directeur Général de JVS-Mairistem (l'entreprise qui vend des logiciels aux communes)
• Conseiller municipal depuis 2014
Il prononce les discours d'ouverture au « Carrefour des Élus » en combinant ses deux casquettes.
| Champ | Détail |
|---|---|
| Né | Juillet 1945, Somsois (Marne) |
| Fonde JVS | 1983 |
| Sortie définitive | 2020 (MBO Parquest) |
| Mandats | 18 : SCI multiples, KYJAC, J2C-INVEST, JANACO, ATOLL-JACK, CHAPTAL, STEM, ECO IMMO, HOCARO, ADI SOFT |
| Vatry Europort | Vice-Président de SEVE (exploitation aéroport Châlons-Vatry), liquidée en 2016. Coût pour le département de la Marne : 220 M€. Critiqué par la Cour des comptes. |
Probablement la fille du fondateur. Toujours présente dans la structure JVS (participante au LBO 2024). Associée dans des SCI familiales avec Jacky Vauthier. Le fondateur est « sorti » du capital en 2020, mais la famille reste dans la boucle.
Un maire de village paie 5 000 €/an de logiciel JVS (indexé Syntec +6,5%/an, contrat 5 ans reconduit automatiquement, sans portabilité des données). Ce même argent finance un écosystème où les dirigeants accumulent du patrimoine viticole et immobilier — avec la caution de Bpifrance.
| Actif | Détail | Estimation |
|---|---|---|
| Vignoble Champagne | Producteur de vins à Vertus, Côte des Blancs (Premier Cru). Source : PagesJaunes. | Terre Premier Cru : 800k – 1,2 M€/hectare (SAFER 2024) |
| GFV JKC4 VITI | Groupement foncier viticole, Blancs-Côteaux. CA 2,52 M€. Source : Pappers. | Outil d'optimisation IFI (75% d'exonération impôt fortune + succession) |
| Parts JVS Groupe | Actionnaire majoritaire depuis 2008. EBITDA 7 M€, multiple SaaS 8-12x. | Valorisation group : 56 – 84 M€. Jankovic détient la majorité. |
| Sociétés patrimoniales | BCD Services, IMMO-PARTS, DENA (Franconville), JVS NEXT | Non chiffré |
| Catégorie | Entités | Nombre |
|---|---|---|
| SCI immobilières | ARIA 8, GEOS, LEO, JV3, VERY-STEM, F3MS | 6 |
| Sociétés d'investissement | KYJAC, J2C-INVEST, JANACO, ATOLL-JACK, CHAPTAL, STEM | 6 |
| Immobilier supplémentaire | ECO IMMO 57, DEKA IMMO | 2 |
| Autres | HOCARO (robotique), ADI SOFT, Vatry Europort (liquidé) | 3 |
| Total mandats | 18 mandats sociaux (source : Pappers) | |
La plus-value de sortie en 2020 (après 37 ans de JVS) n'est pas publique, mais la valorisation du groupe à l'époque était estimée entre 30 et 50 M€. Vauthier détenait encore une part significative.
1. Le management crée une holding avec 20-30% de fonds propres.
2. La holding emprunte 70-80% pour racheter JVS.
3. Les abonnements SaaS des communes (revenus récurrents) remboursent la dette.
4. Après 4-5 ans, la dette est remboursée. Le management revend avec un multiple de 3 à 10x.
5. Un nouveau fonds entre → le cycle recommence. 4 fois en 12 ans.
À chaque cycle, le management encaisse une plus-value (management package, BSA, carried interest). À chaque cycle, les communes continuent de payer — avec des prix indexés Syntec (+6,5%/an).
Contrat de 5 ans à tacite reconduction avec clause piège : si le préavis de 3 mois (LRAR) est raté, la commune est re-engagée automatiquement pour 1 an.
Facturation de 7 132,80 € pour un logiciel « Horizon Villages Cloud » sans contrat signé. La Chambre a jugé que « cette contestation met en évidence une incertitude quant à la relation contractuelle » et a refusé de forcer la commune à payer.
Indexation Syntec : de 71,73 € à 76,38 € en un an (+6,5%).
Source : ccomptes.fr, AVIS NAA2025-0023
| Clause | Problème |
|---|---|
| Maintenance obligatoire à l'achat (art. 3.2) | Couplage forcé (tying) — interdit par le droit de la concurrence |
| 0 clause de portabilité des données | La commune ne peut pas récupérer ses données |
| 0 format d'export | Vendor lock-in technique |
| 0 SLA (garantie uptime) | Aucun engagement de service |
| JVS peut céder le contrat, pas le client (art. 11) | Asymétrie contractuelle |
| 70% facturé si intervention ajournée par le client (art. 7.1) | Pénalité abusive |
| RGPD reporté sur la commune (art. 8.1) | JVS se décharge de toute responsabilité |
| 0 clause de résiliation par le client (art. 9) | Le client ne peut pas sortir |
| Tacite reconduction piège (contrat Virsac) | 5 ans + reconduction auto si préavis 3 mois raté |
Les CGU déclarent : « L'Application ne comporte aucun outil de suivi publicitaire ni technologie de traçage à des fins marketing. »
L'analyse du binaire (v4.5.5) révèle : Facebook SDK (fb886826858755594), Google Sign-In, Firebase, Sentry.
C'est une fausse déclaration — article 226-18 du Code pénal (collecte de données par moyen frauduleux ou déloyal) + article L121-2 du Code de la consommation.
La plateforme monEspaceCitoyen (Citopia/WeeCity) crée un compte unique pour accéder aux portails de toutes les communes Citopia. Si une commune quitte Citopia, ses citoyens perdent leur compte. Le verrouillage ne porte pas que sur la commune — il porte aussi sur les citoyens.
Les CGU prévoient aussi un transfert des données en cas de fusion/acquisition : « vos informations peuvent être transférées dans le cadre de cette opération ». Les données des citoyens sont un actif financier dans les LBO.
Bpifrance (banque publique d'investissement, financée par l'État et la Caisse des Dépôts) est actionnaire de JVS depuis au moins 2016, à travers 3 LBO successifs (2016, 2020, 2024).
L'argent public français finance donc un groupe qui :
• Utilise le terme « Cloud Souverain » sans aucune certification
• Livre des sites à des communes avec 0% de conformité RGPD
• Embarque Facebook SDK dans une app pour élus de la République
• Affiche « 100% Anonyme » tout en traçant avec Google Ads
• Permet à son DG d'être simultanément élu municipal
Question : Bpifrance a-t-elle vérifié la conformité RGPD et la véracité des claims commerciaux de JVS avant de réinvestir à chaque LBO ?
Le montant exact de l'investissement public n'est jamais divulgué.
Chaque LBO permet aux actionnaires sortants d'encaisser une plus-value, financée in fine par les abonnements SaaS pluriannuels payés par les communes.
| Année | Type | Entrants | Sortants (qui encaisse) |
|---|---|---|---|
| 2012 | OBO | Naxicap, SGCP, Euro Capital | — |
| 2016 | LBO Bis | EPF, Bpifrance, UI, Apax Dev. | Naxicap, SGCP, Euro Capital encaissent |
| 2020 | MBO Ter | Parquest, Bpifrance | Jacky Vauthier, Apax, UI encaissent |
| 2024 | LBO 4 | Capza, Bpifrance | Parquest Capital encaisse |
1. Un fonds de private equity entre au capital → 2. JVS augmente ses prix / passe en SaaS → 3. L'EBITDA monte (7 M€ en 2024) → 4. Le fonds revend avec une plus-value → 5. Un nouveau fonds entre → cycle recommence.
Les communes paient à chaque étape. Le management s'enrichit à chaque étape. Bpifrance cautionne à chaque étape.
Conseillers du LBO 2024 : Oaklins (M&A), Alvarez & Marsal (DD finance), Neovian (DD stratégie), Goodwin (avocats), Natixis (buy-side), PMP Strategy, Oderis, Forvis Mazars, Vaultinum (IP/IT). Des dizaines de professionnels payés à chaque transaction — aucun n'a vérifié la conformité RGPD.
Nebojsa Jankovic est actionnaire majoritaire depuis 2008. À chaque LBO, la valorisation du groupe augmente. Avec un EBITDA de 7 M€ et un multiple typique de 8-12x pour le SaaS B2B, la valorisation du groupe est estimée entre 56 et 84 M€. Le management détenant la majorité, Jankovic détient potentiellement plusieurs dizaines de millions d'euros en actions.
En parallèle : vignoble champenois (GFV JKC4 VITI, CA 2,52 M€), multiples SCI immobilières, sociétés d'investissement.
| Outil | Mécanisme | Portée |
|---|---|---|
| Mémento des Élus (app gratuite) | Lead generation déguisée en service public. Facebook SDK + Google intégrés. | Milliers d'élus |
| PanneauPocket (gratuit < 100 hab.) | Pénétration massive → vente croisée de Mairistem, Citopia | 14 000 communes |
| Club Mairistem (Facebook privé) | Communauté fermée, dépendance sociale | 1 900 membres |
| 12 partenariats associations de maires | Accès direct aux décideurs | 12 départements |
| 24 salons régionaux + Salon des Maires | Omniprésence événementielle | 2 000+ contacts/an |
| Carrefour des Élus Châlons | Sponsor depuis la 1ère édition — ville du siège JVS | Grand Est |
| 80 webinaires + séminaires | Hospitalité (Dijon, La Baule, Nevers) | 1 400 participants |
| 19 salons PanneauPocket | Visibilité supplémentaire (+6 vs 2023) | Couverture nationale |
Total 2024 : 43 salons (Mairistem + PanneauPocket) + 80 webinaires + 3 séminaires + 12 partenariats AMF départementaux. Plus de 2 000 collectivités touchées par an.
JVS est le n°2 du marché des logiciels pour collectivités de moins de 20 000 habitants, derrière Berger-Levrault (groupe Axian). Avec 15 000 communes clientes et 90+ modules, JVS couvre la quasi-totalité des besoins d'une mairie : finances, RH, état civil, élections, eau, cimetières, enfance, urbanisme.
« Pour des communes comme les nôtres, il faut multiplier les coûts par 5 par rapport à la simple maintenance qu'on payait avant. »
« Cosoluce est beaucoup moins cher que JVS et Magnus, avec des fonctions que JVS n'a même pas malgré des coûts plus élevés. »
« Les logiciels fonctionnent exclusivement sous Windows avec des serveurs Hyper-V dédiés. La migration vers LibreOffice échoue. »
La transition vers le SaaS avec contrats pluriannuels crée un verrou économique fort. CAPZA souligne : « solid economic model based on recurring revenues and strong visibility thanks to multi-year contracts ».
14 avis révèlent : management quasi inexistant, heures supplémentaires non payées, salaires en dessous du marché, pas de perspective d'avancement, « extraire le maximum de profit de chaque employé ».
Un groupe qui équipe 15 000 collectivités territoriales (un tiers des communes de France) et qui gère des données d'état civil, de listes électorales, de cadastre et de services sociaux devrait être absolument irréprochable en matière de déontologie.
| Texte | Infraction | Sanction max |
|---|---|---|
| Code conso L121-1 | Pratiques commerciales trompeuses | 2 ans + 300 000 € (PP) / 1,5 M€ (PM) |
| LCEN art. 6-III | Mentions légales absentes | 1 an + 75 000 € / 375 000 € (PM) |
| RGPD art. 83 | Violation obligations information | 20 M€ ou 4% CA |
| Directive ePrivacy | Cookies sans consentement | 150 000 € (CNIL) |
| Décret 2019-768 | RGAA non conforme | 50 000 €/an/site |
| Loi Sapin II | Manquements anti-corruption (marchés publics) | Exclusion marchés publics |
• Enquêter sur les claims « 100% Anonyme » et « 0% Publicité » de PanneauPocket (Google Ads détecté)
• Vérifier si le terme « Cloud Souverain » sans certification constitue une pratique commerciale trompeuse
• Auditer les conditions de vente aux communes (contrats pluriannuels, clauses de sortie, portabilité des données)
• Contrôler la conformité RGPD des ~200 sites WeeCity déployés (notre échantillon de 9 montre 0% de conformité)
• Vérifier le consentement Matomo sur les sites communaux (3/9 sans consentement)
• Auditer l'app Mémento (Facebook SDK, transferts USA non déclarés)
• Auditer PanneauPocket (Google Ads, Microsoft Clarity, politique de confidentialité lacunaire)
• Exiger la suppression du terme « Cloud Souverain » en l'absence de certification SecNumCloud
• Recommander aux communes de vérifier les headers de sécurité de leurs sites (HSTS 600s = dérisoire)
Bpifrance investit de l'argent public dans JVS depuis 2016 (3 LBO successifs). Les due diligences réalisées à chaque transaction (Alvarez & Marsal, Oderis, Forvis Mazars, Vaultinum) ont-elles vérifié :
• La conformité RGPD des produits livrés ?
• La véracité du claim « Cloud Souverain » ?
• L'absence de conflit d'intérêts du DG (élu municipal) ?
• Le vendor lock-in imposé aux communes ?
Si ces vérifications n'ont pas été faites, Bpifrance cautionne avec de l'argent public un groupe dont les pratiques ne résistent pas à un audit technique indépendant.
• Informer les maires que les sites livrés par JVS/Citopia ne sont pas conformes au RGPD
• Alerter sur le conflit d'intérêts DG / élu municipal
• Rappeler l'importance de la portabilité des données et du choix du prestataire
Le Groupe JVS, fournisseur de solutions numériques à 15 000 collectivités territoriales françaises avec un chiffre d'affaires de 42 millions d'euros, présente une image de souveraineté et de conformité RGPD qui n'est pas corroborée par la réalité technique de ses produits.
Les manquements constatés ne sont pas des oublis isolés mais un pattern systémique. Le même template non conforme est déployé sur des centaines de sites. Les mêmes SDK américains sont embarqués dans les applications mobiles sans déclaration. Les mêmes promesses commerciales sont contredites par les faits techniques.
Pendant ce temps, 4 LBO en 12 ans permettent aux fonds de private equity et au management de s'enrichir sur les revenus récurrents payés par les communes — avec la caution de Bpifrance, banque publique d'investissement.
Les élus locaux et les citoyens méritent mieux.