Confidentialité

1. Engagement de SBPT

SBPT, éditrice de SIRAJ, s'engage à protéger la vie privée des Utilisateurs de la Plateforme conformément à la Loi n° 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (Maroc).

La plateforme traite des données concernant des mineurs(apprenants <18 ans), ce qui implique des exigences renforcées : consentement parental explicite, minimisation, et droit à l'oubli prioritaire.

2. Identité du responsable de traitement

SBPT est le responsable de traitement au sens de la Loi 09-08.

Société : SBPT (société de droit marocain)
Siège : Casablanca, Maroc
DPO (Délégué à la Protection des Données) : dpo.siraj@tazaghine.com
Déclaration CNDP : en cours / référence à compléter après agrément

3. Données collectées

3.1 Pour les Établissements (clients)

Nom de l'école, type, ville, adresse
Coordonnées (e-mail, téléphone)
Identifiants officiels (CNE, NARSA, MASSAR, ICE)
Logo, cachet, signature numérique

3.2 Pour les Utilisateurs (administrateurs, personnel)

Nom, prénom, e-mail, téléphone
Mot de passe (haché avec bcrypt 12 rounds — jamais stocké en clair)
Logs de connexion (date, IP, user-agent)

3.3 Pour les apprenants (mineurs et majeurs)

Identité : nom, prénom, date et lieu de naissance, genre
Documents : CIN, acte de naissance, MASSAR-code
Scolarité : classes, notes, présences, bulletins, observations
Santé : vaccinations (PNI), PAI, contre-indications médicales (crèches)
Photo (avec consentement parental explicite — Article 4 Loi 09-08)

3.4 Pour les parents/tuteurs

Identité, contact (e-mail, téléphone, WhatsApp)
Statut civil (Moudawana : hadana, wilaya, nafaqa)
Référence de jugement de garde le cas échéant (sans le contenu du jugement)

4. Finalités du traitement

Les données sont traitées exclusivement pour :

Gestion administrative et pédagogique de l'établissement
Communication avec les parents (bulletins, factures, convocations)
Conformité légale (MEN, NARSA, OFPPT, MJCC, MASSAR)
Sécurité et audit (Loi 09-08 art. 9)
Facturation des Établissements par SBPT (Stripe)

Aucune donnée n'est utilisée à des fins commerciales tierces, marketing externe, ou cession.

5. Hébergement et sécurité

Trois modes d'hébergement disponibles :

Hébergé par SBPT : serveurs au Maroc (Casablanca data-center). Base de données isolée par école.
Cloud client : credentials Postgres fournis par l'Établissement. SBPT n'a jamais d'accès direct.
On-premises : déploiement chez l'Établissement (Enterprise).

Mesures de sécurité :

Chiffrement TLS 1.3 en transit (Let's Encrypt)
Chiffrement AES-256 des connection-strings de bases de données
Hachage bcrypt 12 rounds des mots de passe
2FA disponible (TOTP)
Audit-log de toutes les actions (rétention 1 an)
Backup quotidien encrypté

6. Sous-traitants

SBPT a recours aux sous-traitants suivants :

Stripe Payments Europe Ltd (Irlande) — traitement des paiements. Stripe est certifié PCI-DSS Level 1.
Resend (USA / EU) — envoi d'e-mails transactionnels (signup, factures, notifications).
Coolify + Hetzner (Allemagne) — hébergement applicatif. Choix possible vers serveurs Maroc.
OpenAI (USA, optionnel) — fonctionnalités IA (génération d'appréciations, traduction). Désactivé par défaut.

7. Transferts hors Maroc

Conformément à l'article 43 de la Loi 09-08, les transferts vers des pays tiers ne sont effectués que vers des destinations offrant un niveau de protection adéquat (UE) ou via des clauses contractuelles types validées par la CNDP.

8. Durées de conservation

Données des apprenants actifs : durée de scolarité + 1 an
Données scolaires archivées : 10 ans (obligation MEN art. 25)
Audit-logs : 1 an (puis archivés en stockage froid 12 mois)
Logs de connexion : 6 mois
Données après résiliation : suppression après 90 jours (sauf obligation légale de conservation)

9. Vos droits (Loi 09-08 articles 7 à 11)

Les personnes concernées disposent des droits suivants, exercibles à tout moment :

Droit d'accès : obtenir une copie des données personnelles vous concernant
Droit de rectification : corriger des données inexactes
Droit d'opposition : refuser certains traitements (sauf obligations légales)
Droit à l'oubli : suppression des données (sauf conservation imposée par la loi)
Droit à la portabilité : récupérer vos données dans un format ouvert

Pour exercer ces droits, écrivez à : dpo.siraj@tazaghine.com
Délai de réponse : 30 jours maximum.

10. Consentement parental (mineurs <18 ans)

Pour les apprenants mineurs, le traitement de certaines données nécessite le consentement explicite d'un parent ou tuteur :

Photo d'identité (champ consentPhotoAt dans la base)
Communication WhatsApp (opt-in par parent)
Toute fonctionnalité IA portant sur l'apprenant

Le consentement est révocable à tout moment via les préférences parent.

11. Cookies

SIRAJ utilise uniquement des cookies strictement nécessaires au fonctionnement (session d'authentification, préférences de langue). Aucun cookie publicitaire ou de tracking tiers n'est utilisé.

12. Modification de cette politique

Toute modification substantielle de cette politique sera notifiée aux Utilisateurs au moins 30 jours avant son entrée en vigueur. Les versions précédentes sont conservées et accessibles sur demande.

13. Contact et réclamation

Pour toute question relative à vos données personnelles ou pour exercer vos droits :

E-mail DPO : dpo.siraj@tazaghine.com
Support : support.siraj@tazaghine.com
Recours : Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) — www.cndp.ma

Notre principe : les données entrées par votre établissement vous appartiennent entièrement. SBPT/SIRAJ est un prestataire de service, pas un propriétaire de données. À tout moment, vous pouvez exporter, modifier ou supprimer vos données.