Loi 09-08 · Royaume du Maroc

Politique de protection des données personnelles

ToubkalFleet est conforme à la loi n° 09-08 du 18 février 2009 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Nous nous engageons à respecter la confidentialité, l'intégrité et la disponibilité de vos données.

Dernière mise à jour : 18 mai 2026 · Déclaration CNDP : D-GC-235/2024

1. Préambule

La protection de vos données personnelles est une priorité de l'Éditeur. La présente politique a pour objet de vous informer, en toute transparence, sur la manière dont nous collectons, utilisons, conservons et protégeons les données vous concernant lorsque vous utilisez la plateforme ToubkalFleet.

Elle constitue le complément des Conditions Générales d'Utilisation et de Vente.

Le présent document est rédigé en application de la loi n° 09-08, de son décret d'application n° 2-09-165, et des délibérations de la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP).

2. Responsable de traitement

Le responsable de traitement est :

Mansur AI Travel Planner SARL

Société à responsabilité limitée de droit marocain

ICE 002847391 · RC 158293 · IF 47281930

Déclaration CNDP : D-GC-235/2024

Contact DPO : dpo@toubkal.app

Pour les traitements effectués par les agences clientes sur leurs propres clients/chauffeurs via ToubkalFleet, l'agence est le responsable de traitement et ToubkalFleet agit en qualité de sous-traitant au sens de l'article 4 de la loi 09-08.

3. Données collectées

3.1. Données fournies directement par vous

  • Identification de l'agence : raison sociale, ICE, RC, adresse, ville, téléphone
  • Décision NARSA : numéro et date de délivrance, document scanné
  • Représentant légal : nom, prénom, fonction, CIN, téléphone, email
  • Identifiants de connexion : email professionnel, mot de passe (haché bcrypt)
  • Pièces justificatives : scans du RC, de la Décision NARSA et de la CIN du gérant
  • Données métier : véhicules, chauffeurs, clients, réservations, factures, paiements

3.2. Données générées par votre utilisation

  • Logs de connexion (date, heure, adresse IP, navigateur)
  • Historique des actions effectuées dans la plateforme (audit log)
  • Géolocalisation des véhicules (si module activé)

3.3. Données sensibles

Nous ne collectons aucune donnée sensible au sens de l'article 1 de la loi 09-08 (origine raciale, opinions politiques, convictions religieuses, santé, vie sexuelle). Aucune donnée de mineur de moins de 18 ans n'est collectée.

4. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

  • Fourniture du Service : création de compte, authentification, fonctionnement de la plateforme
  • Conformité réglementaire : préremplissage des formulaires NARSA (TT11–TT25), déclarations DEC, attestations de salaire
  • Facturation : émission de factures conformes à la législation fiscale marocaine
  • Support client : traitement des demandes d'assistance
  • Sécurité : détection de fraude, audit, journalisation
  • Amélioration du Service : statistiques d'usage agrégées et anonymisées

5. Bases légales

Conformément à la loi 09-08, le traitement de vos données repose sur :

  • L'exécution du contrat qui vous lie à l'Éditeur (articles 4 et 12 CGV)
  • Le respect d'obligations légales auxquelles l'Éditeur est soumis (comptabilité, fiscalité)
  • Votre consentement exprès pour certains traitements optionnels (newsletters, géolocalisation)
  • L'intérêt légitime de l'Éditeur pour la sécurité de sa plateforme

6. Destinataires des données

Vos données sont accessibles uniquement aux destinataires suivants, et dans la limite stricte de leurs attributions :

  • Les équipes habilitées de l'Éditeur (support, technique, sécurité, juridique)
  • Les collaborateurs de votre agence que vous habilitez (rôles ADMIN, DISPATCHER, ACCOUNTANT, STAFF)
  • Les autorités administratives ou judiciaires sur réquisition légale (NARSA, DGSN, juge d'instruction)

Vos données ne sont en aucun cas vendues ou louées à des tiers à des fins commerciales.

7. Sous-traitants

L'Éditeur fait appel aux sous-traitants suivants, présentant des garanties suffisantes au sens de l'article 24 de la loi 09-08 :

Sous-traitantFinalitéLocalisation
Microsoft AzureHébergement infrastructureRégion MA (Casablanca)
Anthropic (Claude)Assistant IA opérationnel (opt-in)UE
Google Maps / DirectionsItinéraires et géolocalisationUE
SentryMonitoring d'erreursUE (Frankfurt)
Expo Push NotificationsNotifications mobile chauffeurUS (Apple/Google)

Chaque sous-traitant est lié par un contrat conforme à la loi 09-08 incluant des clauses de confidentialité et de sécurité.

8. Transferts hors du Maroc

Les données de production sont hébergées au Maroc (Azure Région Morocco Central). Toutefois, certains sous-traitants techniques sont situés hors du Royaume (UE, USA).

Conformément à l'article 43 de la loi 09-08, ces transferts ne sont effectués que vers des pays assurant un niveau de protection adéquat, ou dans le cadre de clauses contractuelles types approuvées par la CNDP.

Aucune donnée d'identification personnelle (CIN, contact) n'est transférée vers les sous-traitants IA — seules les données opérationnelles strictement nécessaires (route, tarif, statut) le sont, et de manière éphémère.

9. Durée de conservation

Les données sont conservées selon les durées suivantes :

  • Compte actif : pendant toute la durée de votre abonnement
  • Compte résilié : 30 jours pour permettre l'export, puis suppression sous 90 jours
  • Factures et données comptables : 10 ans (article 22 de la loi 9-88 sur les obligations comptables)
  • Logs de sécurité et d'audit : 12 mois
  • Documents fiscaux : 10 ans (Code Général des Impôts)
  • Données NARSA / dossier transport : durée de validité + 5 ans

À l'expiration, les données sont définitivement supprimées ou anonymisées de manière irréversible.

10. Sécurité des données

L'Éditeur met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement TLS 1.3 pour toutes les communications réseau
  • Chiffrement at-rest de la base de données et du stockage Azure Blob
  • Mots de passe hachés bcrypt (coût 10) — jamais stockés en clair
  • Audit log complet de toutes les actions sensibles avec rétention 12 mois
  • Sauvegardes quotidiennes chiffrées avec rétention de 30 jours
  • Tests de pénétration annuels par tiers indépendant
  • Politique d'accès minimal pour les employés de l'Éditeur (need-to-know)
  • Authentification à deux facteurs obligatoire pour les rôles à privilèges
  • Notification d'incident sous 72h conformément aux recommandations CNDP

11. Vos droits

Conformément aux articles 7 à 11 de la loi 09-08, vous disposez des droits suivants :

  • Droit d'information sur les traitements effectués sur vos données
  • Droit d'accès aux données vous concernant
  • Droit de rectification des données inexactes ou incomplètes
  • Droit d'opposition pour motifs légitimes au traitement
  • Droit de suppression (« droit à l'oubli ») sous réserve des obligations légales de conservation
  • Droit à la portabilité : export de vos données dans un format structuré et lisible par machine

Pour exercer ces droits, adressez votre demande accompagnée d'une copie de votre CIN à : dpo@toubkal.app.

Une réponse vous sera apportée dans un délai maximal de 30 jours à compter de la réception. Ce délai peut être prolongé de 30 jours en cas de complexité, après notification.

12. Cookies et traceurs

ToubkalFleet utilise exclusivement les cookies suivants :

  • Cookies de session (techniques essentiels) : maintien de votre connexion. Durée 30 jours, HttpOnly, Secure, SameSite=Lax.
  • Cookies de préférence (techniques) : langue, mode sombre/clair. Durée 1 an.

Aucun cookie publicitaire, aucun traceur tiers (Google Analytics, Meta Pixel, etc.) n'est déployé. La plateforme étant à usage strictement professionnel, le consentement n'est pas requis pour les cookies techniques nécessaires au fonctionnement du service.

13. Réclamation auprès de la CNDP

Si vous estimez que le traitement de vos données ne respecte pas la loi 09-08, vous pouvez introduire une réclamation auprès de la :

Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP)

Rabat — Royaume du Maroc

Site officiel : www.cndp.ma

Téléphone : +212 5 37 71 30 00

Nous vous encourageons cependant à nous contacter au préalable pour résoudre votre demande à l'amiable.

14. Modifications de la politique

La présente politique peut être mise à jour pour refléter les évolutions légales ou techniques. Toute modification substantielle est notifiée par email à l'adresse fournie lors de l'inscription, au moins 30 jours avant son entrée en vigueur.

L'historique des versions est disponible sur demande à dpo@toubkal.app.

15. Contact

Pour toute question relative à la présente politique ou au traitement de vos données personnelles :

  • Délégué à la protection des données (DPO) : dpo@toubkal.app
  • Demandes générales : support@toubkal.app
  • Signalement d'incident de sécurité : security@toubkal.app

Notre engagement

Vos données sont protégées, hébergées au Maroc, jamais vendues.

Déclaration CNDP D-GC-235/2024 · Conformité loi 09-08 · Audit annuel indépendant.