Les applications et sites web fournis par le Groupe JVS à plus de 14 000 collectivités françaises envoient les données de millions de citoyens vers des plateformes publicitaires américaines — sans consentement, sans information, sans que les maires le sachent.
Destinataires : CNIL • ANSSI • DGCCRF • Autorité de la Concurrence — Avril 2026
PanneauPocket (14 000 collectivités, des millions de citoyens) embarque Google Ads et 9 domaines publicitaires américains (dont Facebook et DoubleClick) dans son code source tout en affirmant « 0% Publicité ». Chaque fois qu'un citoyen ouvre l'application pour lire une alerte municipale, ses données (adresse IP, modèle de téléphone, localisation, heure) sont envoyées aux serveurs de Google et Facebook aux États-Unis. Le maire, responsable de traitement au sens du RGPD, ne le sait pas. Le citoyen n'a jamais donné son consentement.
Toutes les preuves ci-dessous ont été obtenues par des commandes curl exécutées sur le code source public des sites. Elles sont reproductibles par n'importe qui en 30 secondes.
Commande :
Résultat :
Le code source contient littéralement :
AW-17989696875 est un identifiant Google Ads — de la publicité ciblée. PanneauPocket se présente comme « 100% Anonyme, 0% Publicité ». C'est faux.
Deuxième tracker :
L'analyse du container Google Tag Manager GTM-MVM6W7GS révèle les connexions suivantes :
| Domaine | Service | Transfert USA |
|---|---|---|
| ad.doubleclick.net | Google Ads / DoubleClick | OUI |
| ade.googlesyndication.com | Google AdSense | OUI |
| adservice.google.com | Google Ads | OUI |
| googleads.g.doubleclick.net | Google Ads | OUI |
| pagead2.googlesyndication.com | Google AdSense | OUI |
| www.googleadservices.com | Google Ads | OUI |
| www.facebook.com | Facebook Pixel | OUI |
| www.youtube.com | YouTube tracking | OUI |
| m.youtube.com | YouTube mobile | OUI |
9 domaines publicitaires américains embarqués dans une application destinée aux citoyens français, qui se présente comme « 0% Publicité ». Pratique commerciale trompeuse
Site de Mondonville (31700) — construit par Citopia/JVS :
Matomo s'exécute immédiatement, sans bannière de consentement, sans que le citoyen puisse refuser. Les habitudes de navigation de chaque administré sont enregistrées à son insu. Violation directive ePrivacy + RGPD
Même constat sur Saint-Geniès-Bellevue (31) : Tarteaucitron est présent mais Matomo charge en dehors du gestionnaire de consentement (lignes 28-37 du code source, avant l'initialisation de Tarteaucitron). Le tracking est effectif sans consentement.
Même constat sur Récy (51, siège de JVS) : Matomo via analytics.tools.citopia.fr.
L'analyse du binaire (v4.5.5) révèle :
| SDK | Transfert USA | Déclaré dans les CGU ? |
|---|---|---|
| Facebook SDK (fb886826858755594) | OUI | NON — CGU disent « aucun outil de traçage » |
| Google Sign-In | OUI | NON |
| Firebase | OUI | NON |
| Sentry | OUI | NON |
Les CGU déclarent : « L'Application ne comporte aucun outil de suivi publicitaire ni technologie de traçage à des fins marketing. » C'est une fausse déclaration (art. 226-18 Code pénal + art. L121-2 Code de la consommation).
Chaque fois qu'un habitant ouvre PanneauPocket pour lire une alerte météo ou une info de la mairie, le tracker Google Ads AW-17989696875 envoie aux serveurs de Google :
• Adresse IP (localisation approximative du citoyen)
• Modèle du téléphone
• Heure de consultation
• Page consultée (quelle commune, quelle alerte)
Même si le citoyen n'a pas de compte Google, ces données permettent de créer un profil publicitaire. Google sait qu'un appareil à telle adresse s'intéresse aux activités de telle commune.
Avec 14 000 collectivités et des millions d'utilisateurs, c'est une fuite massive de données citoyennes vers une plateforme publicitaire américaine, sans consentement.
En proposant PanneauPocket à ses administrés, le maire devient responsable de traitement au sens du RGPD (art. 4.7). Si l'application envoie des données aux USA via Google Ads sans consentement explicite, le maire est en infraction.
Le problème : le maire ne sait pas. PanneauPocket lui a dit « 0% Publicité ». Le tracker est invisible. Seule une analyse technique du code source le révèle.
La CJUE a invalidé le Privacy Shield (arrêt Schrems II, C-311/18, 16 juillet 2020). Les transferts de données vers les USA via Google et Facebook sont problématiques en raison des lois de surveillance américaines (FISA 702, Cloud Act).
PanneauPocket envoie des données vers Google (USA) sans base juridique adéquate, sans information des personnes concernées, et en contradiction avec ses propres déclarations.
| Critère | Résultat | Danger citoyen |
|---|---|---|
| DPO mentionné | 0 / 26 | Les citoyens ne savent pas à qui s'adresser pour leurs données |
| RGPD référencé | 0 / 26 | Template de 1978, jamais mis à jour en 8 ans |
| HSTS | 600 sec (10 min) | Connexion interceptable sur WiFi public (ANSSI exige 31 536 000) |
| CSP | Absente sur 26/26 | Injection de scripts malveillants possible (XSS) |
| Matomo sans consentement | Mondonville (31), Récy (51) | Citoyens tracés à leur insu — vérifié le 8 avril 2026 |
| Matomo hors gestionnaire consentement | Saint-Geniès-Bellevue (31) | Tarteaucitron présent mais Matomo charge avant — vérifié le 8 avril 2026 |
| Hébergeur déclaré faux | Mondonville + Récy : OVH déclaré, IONOS réel | Fausse information dans un document juridique obligatoire — vérifié par WHOIS le 8 avril 2026 |
| Certificat SSL invalide | Croix-Mare (76) | Certificat pour *.medialibs.com, pas pour croix-mare.fr — vérifié le 8 avril 2026 |
Négligence industrielle : le site de Saint-Geniès-Bellevue (31) contient en production 4 liens vers un serveur de test interne JVS (jvs51.atester.fr), exposant l'infrastructure interne du prestataire aux visiteurs du site. Vérifiable le 8 avril 2026 : curl -sL https://www.saint-genies-bellevue.fr/ | grep jvs51.
| Site | IP | Hébergeur réel | Pays | Déclaré |
|---|---|---|---|---|
| panneaupocket.com | 83.166.138.238 | Infomaniak | Suisse | — |
| groupe-jvs.fr | 83.166.138.238 | Infomaniak | Suisse | — |
| Sites communes WeeCity | 5.250.182.150 | IONOS SE | Allemagne/France | OVH (faux) |
JVS utilise le terme « Cloud Souverain » sans aucune certification :
| Certification | Statut |
|---|---|
| SecNumCloud (ANSSI) | Absente |
| ISO 27001 | Absente |
| HDS | Absente |
• Contrôler PanneauPocket (14 000 collectivités) : Google Ads AW-17989696875 dans le code source, « 0% Publicité » = pratique commerciale trompeuse + violation RGPD
• Contrôler l'app Mémento des Élus : Facebook SDK non déclaré, CGU mensongères
• Contrôler les ~200 sites WeeCity : 0 DPO sur 26 audités, Matomo sans consentement, template 1978
• Informer les maires qu'ils sont responsables de traitement et que leur prestataire les met en infraction sans leur dire
• Exiger le retrait du terme « Cloud Souverain » en l'absence de SecNumCloud
• Alerter les collectivités sur les défauts de sécurité (HSTS 600s, 0 CSP, 0 Referrer-Policy)
• Vérifier la sécurité d'un groupe qui gère les données d'état civil et les listes électorales sans aucune certification
• Enquêter sur « 100% Anonyme, 0% Publicité » : Google Ads (AW-17989696875) + 9 domaines publicitaires US dans le container GTM (Facebook, DoubleClick, Google AdSense, YouTube) = ni anonyme ni sans publicité. Vérifiable en 30 secondes.
• Vérifier « Cloud Souverain » : allégation commerciale trompeuse au sens de l'art. L121-2 du Code de la consommation
Les données d'état civil, les listes électorales, les cadastres et les services sociaux de plus de 14 000 collectivités françaises sont gérés par un groupe qui envoie les données de ses utilisateurs à Google et Facebook sans leur dire, qui n'a aucune certification de sécurité, et qui déclare un faux hébergeur dans les mentions légales de ses clients. Les maires ne le savent pas. Les citoyens ne le savent pas. Maintenant, vous le savez.
Chaque dossier ci-dessous détaille les constats, la méthodologie, les sources et les preuves complètes.
1 Dossier JVS Group / Citopia / PanneauPocket