Les applications et sites web fournis par le Groupe JVS à plus de 20 000 communes françaises envoient les données de millions de citoyens vers des plateformes publicitaires américaines — sans consentement, sans information, sans que les maires le sachent.
Destinataires : CNIL • ANSSI • DGCCRF — Avril 2026
PanneauPocket (14 000 communes, des millions de citoyens) embarque Google Ads dans son code source tout en affirmant « 0% Publicité ». Chaque fois qu'un citoyen ouvre l'application pour lire une alerte municipale, ses données (adresse IP, modèle de téléphone, localisation, heure) sont envoyées aux serveurs de Google aux États-Unis. Le maire, responsable de traitement au sens du RGPD, ne le sait pas. Le citoyen n'a jamais donné son consentement.
Toutes les preuves ci-dessous ont été obtenues par des commandes curl exécutées sur le code source public des sites. Elles sont reproductibles par n'importe qui en 30 secondes.
Commande :
Résultat :
Le code source contient littéralement :
AW-17989696875 est un identifiant Google Ads — de la publicité ciblée. PanneauPocket se présente comme « 100% Anonyme, 0% Publicité ». C'est faux.
Deuxième tracker :
Site de Mondonville (31700) — construit par Citopia/JVS :
Matomo s'exécute immédiatement, sans bannière de consentement, sans que le citoyen puisse refuser. Les habitudes de navigation de chaque administré sont enregistrées à son insu. Violation directive ePrivacy + RGPD
Même constat sur Saint-Geniès-Bellevue (31), Forges (77), RME Saint-Malo (35).
L'analyse du binaire (v4.5.5) révèle :
| SDK | Transfert USA | Déclaré dans les CGU ? |
|---|---|---|
| Facebook SDK (fb886826858755594) | OUI | NON — CGU disent « aucun outil de traçage » |
| Google Sign-In | OUI | NON |
| Firebase | OUI | NON |
| Sentry | OUI | NON |
Les CGU déclarent : « L'Application ne comporte aucun outil de suivi publicitaire ni technologie de traçage à des fins marketing. » C'est une fausse déclaration (art. 226-18 Code pénal + art. L121-2 Code de la consommation).
Chaque fois qu'un habitant ouvre PanneauPocket pour lire une alerte météo ou une info de la mairie, le tracker Google Ads AW-17989696875 envoie aux serveurs de Google :
• Adresse IP (localisation approximative du citoyen)
• Modèle du téléphone
• Heure de consultation
• Page consultée (quelle commune, quelle alerte)
Même si le citoyen n'a pas de compte Google, ces données permettent de créer un profil publicitaire. Google sait qu'un appareil à telle adresse s'intéresse aux activités de telle commune.
Avec 14 000 communes et des millions d'utilisateurs, c'est une fuite massive de données citoyennes vers une plateforme publicitaire américaine, sans consentement.
En proposant PanneauPocket à ses administrés, le maire devient responsable de traitement au sens du RGPD (art. 4.7). Si l'application envoie des données aux USA via Google Ads sans consentement explicite, le maire est en infraction.
Le problème : le maire ne sait pas. PanneauPocket lui a dit « 0% Publicité ». Le tracker est invisible. Seule une analyse technique du code source le révèle.
La CJUE a invalidé le Privacy Shield (arrêt Schrems II, C-311/18, 16 juillet 2020). Les transferts de données vers les USA via Google et Facebook sont problématiques en raison des lois de surveillance américaines (FISA 702, Cloud Act).
PanneauPocket envoie des données vers Google (USA) sans base juridique adéquate, sans information des personnes concernées, et en contradiction avec ses propres déclarations.
| Critère | Résultat | Danger citoyen |
|---|---|---|
| DPO mentionné | 0 / 26 | Les citoyens ne savent pas à qui s'adresser pour leurs données |
| RGPD référencé | 0 / 26 | Template de 1978, jamais mis à jour en 8 ans |
| HSTS | 600 sec (10 min) | Connexion interceptable sur WiFi public (ANSSI exige 31 536 000) |
| CSP | Absente sur 26/26 | Injection de scripts malveillants possible (XSS) |
| Matomo sans consentement | 4 sites | Citoyens tracés à leur insu |
| HTTPS non forcé | 5 sites | Données en clair, man-in-the-middle |
| Mentions légales fausses | 5 sites | Adresse de JVS (Saint-Martin-sur-le-Pré) au lieu de la commune |
| Hébergeur déclaré faux | OVH déclaré, IONOS réel | Fausse information dans un document juridique obligatoire |
| Certificat SSL invalide | 1 site (Croix-Mare) | Site entier en HTTP clair |
Copier-coller industriel : le site de RME Saint-Malo (Bretagne) contient les mentions légales de Longechenal (Isère, 350 habitants). 5 sites sur 15 scannés contiennent l'adresse du siège de JVS au lieu de celle de la commune.
| Site | IP | Hébergeur réel | Pays | Déclaré |
|---|---|---|---|---|
| panneaupocket.com | 83.166.138.238 | Infomaniak | Suisse | — |
| groupe-jvs.fr | 83.166.138.238 | Infomaniak | Suisse | — |
| Sites communes WeeCity | 5.250.182.150 | IONOS SE | Allemagne/France | OVH (faux) |
JVS utilise le terme « Cloud Souverain » sans aucune certification :
| Certification | Statut |
|---|---|
| SecNumCloud (ANSSI) | Absente |
| ISO 27001 | Absente |
| HDS | Absente |
• Contrôler PanneauPocket (14 000 communes) : Google Ads AW-17989696875 dans le code source, « 0% Publicité » = pratique commerciale trompeuse + violation RGPD
• Contrôler l'app Mémento des Élus : Facebook SDK non déclaré, CGU mensongères
• Contrôler les ~200 sites WeeCity : 0 DPO sur 26 audités, Matomo sans consentement, template 1978
• Informer les maires qu'ils sont responsables de traitement et que leur prestataire les met en infraction sans leur dire
• Exiger le retrait du terme « Cloud Souverain » en l'absence de SecNumCloud
• Alerter les collectivités sur les défauts de sécurité (HSTS 600s, 0 CSP, 0 Referrer-Policy)
• Vérifier la sécurité d'un groupe qui gère les données d'état civil et les listes électorales de 20 000+ communes sans aucune certification
• Enquêter sur « 100% Anonyme, 0% Publicité » : Google Ads est de la publicité ciblée, Microsoft Clarity enregistre les sessions = ni anonyme ni sans publicité
• Vérifier « Cloud Souverain » : allégation commerciale trompeuse au sens de l'art. L121-2 du Code de la consommation
Les données d'état civil, les listes électorales, les cadastres et les services sociaux de plus de 20 000 communes françaises sont gérés par un groupe qui envoie les données de ses utilisateurs à Google et Facebook sans leur dire, qui n'a aucune certification de sécurité, et qui livre des sites avec les mentions légales d'une autre commune. Les maires ne le savent pas. Les citoyens ne le savent pas. Maintenant, vous le savez.