Efatora

Legal

Law 09-08 / GDPR Compliance

Last updated : 2026-05-10

Cette page récapitule notre conformité à la Loi 09-08 marocaine et au Règlement Général sur la Protection des Données (RGPD) européen pour les utilisateurs basés dans l'Union Européenne. La politique de confidentialité détaille les modalités opérationnelles ; la présente page traite du cadre réglementaire et des engagements pris.

1. Cadre applicable

  • Maroc : Loi 09-08 du 18 février 2009, autorité de contrôle CNDP.
  • UE : Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), pour les utilisateurs résidant dans l'EEE.
  • Comptabilité : Code Général des Impôts marocain (durée de conservation des factures).

2. Bases légales du traitement

  • Exécution du contrat : traitement nécessaire à la fourniture du service Efatora.
  • Obligation légale : conservation des factures et écritures comptables (10 ans).
  • Intérêt légitime : sécurité du service, journal d'audit, prévention de la fraude.
  • Consentement : communications marketing (jamais activées par défaut, opt-in explicite).

3. Vos droits et comment les exercer

Vous disposez des droits suivants, exerçables auprès de [email protected] :

  • Droit d'accès : obtenir une copie de vos données.
  • Droit de rectification : corriger toute donnée inexacte.
  • Droit à l'effacement : supprimer votre compte et vos données (sous réserve des obligations légales de conservation).
  • Droit à la portabilité : export CSV / FEC officiel téléchargeable depuis votre espace.
  • Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
  • Droit de réclamation : auprès de la CNDP au Maroc, ou de votre autorité de contrôle nationale dans l'UE.

Délai de réponse : 30 jours maximum, conformément à la Loi 09-08 et au RGPD.

4. Registre des traitements

Conformément à l'article 30 du RGPD, nous tenons un registre des activités de traitement. Les principaux traitements sont :

  • Gestion des comptes utilisateurs — base légale : exécution du contrat. Durée : durée du contrat + 90 jours.
  • Hébergement des données métier — base légale : exécution du contrat. Durée : durée du contrat + 90 jours après résiliation, sauf factures (10 ans).
  • Émission de factures Efatora à nos abonnés — base légale : obligation légale (CGI). Durée : 10 ans.
  • Sécurité et journal d'audit — base légale : intérêt légitime. Durée : 24 mois.
  • Support utilisateur — base légale : exécution du contrat. Durée : 24 mois après clôture du ticket.

5. Sous-traitants

Liste des sous-traitants ayant accès à des données à caractère personnel :

  • Oracle Cloud Infrastructure (Irlande) — hébergement de la base de données et des fichiers. DPA signé.
  • Cloudflare (États-Unis / EU) — hébergement du site marketing, CDN, protection DDoS. DPA conforme RGPD.
  • Resend (États-Unis) — émission des e-mails transactionnels. SOC 2 Type II.
  • YouCan Pay (Maroc) — traitement des paiements par carte. Conforme PCI-DSS.
  • Sentry (États-Unis / EU) — monitoring des erreurs applicatives. Données anonymisées par défaut.

Toute mise à jour de cette liste est notifiée par e-mail au moins 30 jours avant son application.

6. Transferts hors UE / hors Maroc

Pour les utilisateurs basés dans l'EEE, certains transferts vers des sous-traitants situés aux États-Unis (Resend, Sentry, Cloudflare en partie) sont encadrés par les clauses contractuelles types de la Commission européenne. Pour les utilisateurs basés au Maroc, les transferts hors Royaume font l'objet de l'autorisation préalable de la CNDP conformément à l'article 43 de la Loi 09-08.

7. Sécurité — mesures techniques

  • Chiffrement TLS 1.3 sur l'ensemble des échanges.
  • Mots de passe hachés avec bcrypt (cost factor 12).
  • Authentification par jeton Sanctum, durée de vie 7 jours (4 heures pour les comptes super-admin).
  • Ségrégation multi-tenant des données en base, contrôle d'accès au niveau ligne.
  • Sauvegardes chiffrées quotidiennes, conservation 30 jours.
  • Tests automatisés couvrant les contrôles d'autorisation et les chemins critiques.
  • Monitoring d'intégrité applicative (Sentry) et de disponibilité (Healthchecks.io).

8. Notification d'incident

En cas de violation de données présentant un risque pour vos droits et libertés, vous serez notifié(e) dans les 72 heures conformément aux articles 33-34 du RGPD, et la CNDP sera saisie dans le même délai conformément à l'article 8 de la Loi 09-08.

9. Délégué à la Protection des Données

Bien que la Loi 09-08 ne nous oblige pas à désigner un DPO formel, nous avons identifié un point de contact unique pour toute question relative aux données personnelles : [email protected] (objet : « RGPD/09-08 »).