Aller au contenu principal
DataSouv
Audit

Document officiel

Politique de confidentialité

Dernière mise à jour : 12 mai 2026

Cette politique décrit comment DataSouv collecte, utilise et protège vos données personnelles. Elle est rédigée en référence à la loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à son décret d'application 2-09-165.

Document préliminaire — sera affiné et complété à mesure que les traitements DataSouv sont déployés et déclarés à la CNDP.

1. Responsable du traitement

DataSouv, dont les coordonnées figurent dans les mentions légales. Pour toute question : contact@datasouv.ma.

2. Données collectées et finalités

2.1 Outil d'audit gratuit

  • URL soumise pour audit (conservée 24 mois pour suivi statistique anonymisé)
  • Hash SHA-256 de l'adresse IP avec sel journalier rotaté — l'IP en clair n'est jamais stockée, l'identifiant change tous les jours pour empêcher toute corrélation longitudinale
  • Famille du User-Agent (Chrome, Firefox, Safari, Bot…) sans information de version ou d'OS
  • Pays inféré par l'hébergeur (en-tête fournie par Vercel/Cloudflare)
  • Email (uniquement si vous demandez le rapport détaillé)

2.2 Formulaire de contact

  • Nom, email, téléphone (facultatif), société (facultatif), sujet, message
  • Hash SHA-256 de l'IP, famille de UA, pays — mêmes garanties que ci-dessus
  • Finalité : répondre à votre demande et tracer l'échange

2.3 Statistiques de fréquentation

  • Chemin de la page visitée, hôte du referrer (sans paramètres), famille du UA, hash SHA-256 de l'IP avec sel journalier
  • Aucun cookie. Le décompte est strictement server-side via une balise asynchrone non bloquante
  • Finalité : piloter le contenu éditorial. CNDP/CNIL reconnaissent ce type d'analytics anonymisée comme dispensé de consentement préalable

2.4 Achat du rapport d'audit détaillé

  • Email de l'acheteur, audit_id rattaché, identifiants Stripe (session, payment intent), montant, devise, statut, horodatages, hash SHA-256 de l'IP, famille du UA, pays
  • Aucune donnée de carte bancaire n'est traitée ni stockée par DataSouv. Le paiement est entièrement opéré sur la page Stripe Checkout hébergée par Stripe (PCI-DSS niveau 1)
  • Finalité : exécution du contrat de vente, livraison du PDF par email, tenue comptable

3. Bases légales

  • Consentement (formulaire de contact, capture lead post-audit)
  • Intérêt légitime (sécurité, lutte anti-abus, statistiques de fréquentation anonymisées)
  • Exécution d'un contrat (clients en mission)

4. Durées de conservation

  • Audits anonymisés : 24 mois
  • Email lead capté après audit : 24 mois après dernier contact
  • Messages de contact : 24 mois après dernier contact (6 mois pour les messages marqués spam)
  • Commandes payées : 24 mois (obligation contractuelle + comptable)
  • Pageviews : 13 mois glissants (agrégats anonymisés conservés indéfiniment)
  • Tentatives de connexion admin : 90 jours
  • Sessions admin : 24 heures maximum
  • Données client en mission : durée légale comptable applicable

5. Sous-traitants et destinataires

Hébergement applicatif chez Vercel Inc. (fonctions en régions UE, Clauses Contractuelles Types en place pour le control plane US), base de données Postgres chez Neon en région Frankfurt (UE), email transactionnel chez Resend (UE, DPA signé), analyse LLM par Anthropic encadrée par SCC documentées, paiements opérés par Stripe Payments Europe (Irlande) avec DPA Stripe activé et clauses contractuelles types incluses pour les transferts intra-Stripe vers les États-Unis. Aucune transmission à un tiers commercial. La liste exhaustive et mise à jour des sous-traitants figure dans notre registre des traitements.

6. Cookies

Le site utilise uniquement un cookie strictement nécessaire (préférence de langue) et, en zone admin, un cookie de session strictement nécessaire. Aucun cookie publicitaire, aucun cookie analytique, aucun tracker tiers. Détails sur la page Cookies.

7. Vos droits

Conformément aux articles 7 à 11 de la loi 09-08, vous disposez d'un droit d'accès, de rectification, d'opposition et de suppression de vos données. Pour les exercer : contact@datasouv.ma. À défaut de réponse satisfaisante, vous pouvez saisir la CNDP (cndp.ma).

8. Sécurité

Le site applique HSTS preload, une politique CSP stricte, le chiffrement TLS 1.3, des en-têtes COOP/COEP/CORP, et un canal de divulgation responsable (security.txt).

9. Modification

Cette politique peut être modifiée. La date de dernière mise à jour figure en haut de la page. Les modifications substantielles seront annoncées sur la page d'accueil pendant 30 jours.