الانتقال إلى المحتوى الرئيسي
DataSouv
تدقيق

وثيقة رسمية

سياسة الخصوصية

آخر تحديث : 12 ماي 2026

تصف هذه السياسة كيف يجمع DataSouv المعطيات الشخصية ويستعملها ويحميها. وقد صيغت بالرجوع إلى القانون 09-08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي ومرسومه التطبيقي 2-09-165.

وثيقة تمهيدية — سيتم تنقيحها واستكمالها مع نشر معالجات DataSouv وتصريحها لدى اللجنة الوطنية.

1. مسؤول المعالجة

DataSouv، الذي تظهر معلومات التواصل معه في البيانات القانونية. لأي سؤال: contact@datasouv.ma.

2. المعطيات المجموعة والأهداف

2.1 أداة التدقيق المجاني

  • الرابط المُقدَّم للتدقيق (يُحتفظ به 24 شهرًا لمتابعة إحصائية مجهولة الهوية)
  • البصمة SHA-256 لعنوان IP مع ملح يومي متجدد — لا يُخزَّن IP بصيغته الأصلية أبدًا، ويتغير المعرّف يوميًا لمنع أي ربط طولي
  • عائلة وكيل المستخدم (Chrome، Firefox، Safari، Bot…) دون معلومات النسخة أو نظام التشغيل
  • البلد المُستنتج من المضيف (ترويسة يوفرها Vercel/Cloudflare)
  • البريد الإلكتروني (فقط إذا طلبت التقرير المفصل)

2.2 نموذج الاتصال

  • الاسم، البريد الإلكتروني، الهاتف (اختياري)، الشركة (اختياري)، الموضوع، الرسالة
  • البصمة SHA-256 لعنوان IP، عائلة وكيل المستخدم، البلد — مع نفس الضمانات المذكورة أعلاه
  • الغرض: الرد على طلبك وتتبع المراسلة

2.3 إحصاءات الزيارات

  • مسار الصفحة المزارة، مضيف الإحالة (دون البارامترات)، عائلة وكيل المستخدم، البصمة SHA-256 لعنوان IP مع ملح يومي
  • بدون أي ملف تعريف ارتباط. يتم العد حصريًا من جانب الخادم عبر إشارة غير حاجبة وغير متزامنة
  • الغرض: توجيه المحتوى التحريري. تعترف CNDP/CNIL بهذا النوع من التحليلات المجهولة كمعفى من الموافقة المسبقة

2.4 شراء تقرير التدقيق المفصل

  • بريد المشتري، audit_id المرتبط، معرفات Stripe (الجلسة، نية الدفع)، المبلغ، العملة، الحالة، الطوابع الزمنية، البصمة SHA-256 لعنوان IP، عائلة وكيل المستخدم، البلد
  • لا تتم معالجة أي معطيات بطاقة بنكية ولا تُخزَّن من قبل DataSouv. تتم عملية الدفع كلياً على صفحة Stripe Checkout المستضافة من طرف Stripe (PCI-DSS مستوى 1)
  • الغرض: تنفيذ عقد البيع، تسليم تقرير PDF عبر البريد الإلكتروني، مسك المحاسبة

3. الأسس القانونية

  • الموافقة (نموذج الاتصال، تجميع البريد بعد التدقيق)
  • المصلحة المشروعة (الأمن، مكافحة الاستغلال، إحصاءات الزيارات المجهولة)
  • تنفيذ عقد (عملاء في مهمة)

4. آجال الاحتفاظ

  • تدقيقات مجهولة الهوية: 24 شهرًا
  • البريد الإلكتروني المُجمَّع بعد التدقيق: 24 شهرًا بعد آخر تواصل
  • رسائل الاتصال: 24 شهرًا بعد آخر تواصل (6 أشهر للرسائل المعتبرة كبريد مزعج)
  • الطلبات المؤداة: 24 شهرًا (التزام تعاقدي + محاسبي)
  • الزيارات: 13 شهرًا متحركًا (تجميعات مجهولة محفوظة بشكل دائم)
  • محاولات الاتصال الإدارية: 90 يومًا
  • جلسات الإدارة: 24 ساعة كحد أقصى
  • معطيات العملاء في مهمة: المدة القانونية المحاسبية المعمول بها

5. المعالجون والمستفيدون

استضافة التطبيق لدى Vercel Inc. (وظائف في مناطق الاتحاد الأوروبي، الشروط التعاقدية النموذجية مُفعَّلة لتأطير منصة التحكم الأمريكية)، قاعدة بيانات Postgres لدى Neon بمنطقة فرانكفورت (الاتحاد الأوروبي)، البريد المعاملاتي لدى Resend (الاتحاد الأوروبي، DPA موقّع)، تحليل LLM من طرف Anthropic مؤطر بـ SCC موثقة، الأداءات تُنفَّذ من طرف Stripe Payments Europe (إيرلندا) مع تفعيل DPA الخاص بـ Stripe وإدراج الشروط التعاقدية النموذجية للنقل داخل Stripe نحو الولايات المتحدة. لا توجد أي إحالة لجهة تجارية ثالثة. تتوفر القائمة الكاملة والمحدّثة للمعالجين في سجل المعالجات.

6. ملفات تعريف الارتباط

يستعمل الموقع فقط ملف تعريف ارتباط ضروري بشكل صارم (تفضيل اللغة)، وفي منطقة الإدارة ملف جلسة ضروري بشكل صارم. لا توجد أي ملفات إعلانية، ولا أي ملفات تحليلية، ولا أي متتبع خارجي. التفاصيل على صفحة ملفات تعريف الارتباط.

7. حقوقكم

وفقًا للمواد 7 إلى 11 من القانون 09-08، تتمتعون بحق الولوج، التصحيح، الاعتراض، والحذف. لممارستها: contact@datasouv.ma. في غياب جواب مرضٍ، يمكنكم رفع شكاية إلى اللجنة الوطنية (cndp.ma).

8. الأمن

يطبق الموقع HSTS preload، سياسة CSP صارمة، تشفير TLS 1.3، ترويسات COOP/COEP/CORP، وقناة إفصاح مسؤول (security.txt).

9. التعديل

قد تُعدَّل هذه السياسة. يظهر تاريخ آخر تحديث أعلى الصفحة. تُعلن التعديلات الجوهرية على الصفحة الرئيسية لمدة 30 يومًا.