Politique de confidentialité

Dernière mise à jour : 10 mai 2026. Version 1.1.

1. Responsable du traitement

Les données collectées sur la plateforme L'pieces sont traitées par l'éditeur de la plateforme. Les coordonnées du responsable sont disponibles dans les Mentions légales.

Plateforme conforme à la loi marocaine 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et déclaration CNDP (Commission Nationale de protection des Données Personnelles) en cours.

2. Données collectées

Nous collectons uniquement les données nécessaires aux finalités déclarées :

  • Compte : email, mot de passe (haché), pseudo, rôle (Particulier / Vendeur / Réparateur / Tôlier / Flotte / Audit / Ambassadeur).
  • Profil : nom, téléphone marocain (+212), opérateur détecté automatiquement (IAM / Inwi / Orange Maroc), ville, quartier, sexe (optionnel), date de naissance (optionnel).
  • Identité B2B (pros) : raison sociale, RC / SIRET, adresse pro, numéro de TVA si applicable.
  • Garage / Carnet d'entretien : véhicules, VIN (chiffré), kilométrage, interventions, factures.
  • Catalogue / demandes / offres : pièces, prix, messages, négociations.
  • Transactions : wallet, escrow, historique d'achats / ventes / réparations / livraisons.
  • Sécurité (logs) : tentatives de connexion via django-axes (utilisateur + IP anonymisée /24 conforme bonnes pratiques RGPD/CNDP), sessions actives, codes OTP SMS (durée vie 10 min).
  • Géolocalisation pro : coordonnées GPS d'un atelier, façade QR, zone canonique (Rabat–Salé–Témara, Casablanca, Nador).
  • Usage / analytics : pages vues, clics CTA, parcours, préférences langue (FR / AR / Darija marocaine).

3. Finalités et durée de conservation

Les données sont utilisées pour :

  • Fournir et sécuriser le service (mise en relation, paiement cash IRL, livraison, litiges arbitrés).
  • Vérifier votre identité (OTP SMS marocain via opérateurs natifs, phone_verified).
  • Personnaliser l'expérience (Niyya intentions, recommandations IA, multilingue).
  • Détecter les fraudes (système anti-samsar, signaux KPI).
  • Respecter les obligations légales et fiscales.

Durées indicatives : compte actif → vie du compte ; transactions → 10 ans (obligations comptables) ; logs sécurité (django-axes) → 90 jours puis archivage anonymisé ; OTP SMS → 10 min puis effacement automatique.

4. Vos droits

Conformément à la loi marocaine 09-08 et aux bonnes pratiques RGPD, vous disposez :

  • Droit d'accès à vos données personnelles.
  • Droit de rectification en cas d'inexactitude.
  • Droit d'opposition au traitement.
  • Droit d'effacement dans les cas prévus (clôture compte hors conservation légale).
  • Droit à la portabilité : export JSON de vos données sur demande.
  • Droit de retrait du consentement à tout moment pour les traitements basés sur le consentement.
  • Droit de recours auprès de la CNDP en cas de litige.

Pour exercer ces droits, contactez-nous via les coordonnées des Mentions légales. Réponse sous 30 jours maximum.

5. Sécurité, hébergement et transferts

Hébergement souverain UE : nos serveurs sont localisés à Nuremberg, Allemagne (Hetzner), juridiction Union Européenne. Choix stratégique pour souveraineté + protection (cf. doctrine `STRATEGIE_HEBERGEMENT_LPIECES`).

Mesures techniques et organisationnelles : HTTPS Let's Encrypt, HSTS 1 an, fail2ban, UFW pare-feu, django-axes anti-bruteforce login, anonymisation IP /24 dans les logs, mots de passe hachés (Argon2 / PBKDF2), backups GPG cron, monitoring Uptime Kuma souverain (kuma.lpieces.ma).

Tiers et sous-traitants : SMS OTP marocain via opérateur national (Unimatrix Maroc, IAM/Inwi/Orange Maroc) ; email transactionnel (Brevo SMTP, EU) ; Sentry (monitoring erreurs, send_default_pii=False) ; aucun Google Maps (carte 100 % OpenStreetMap/Leaflet souveraine).

Partage de données : strictement aux acteurs nécessaires à la transaction (vendeur ↔ acheteur après confirmation, livreur si livraison) selon le principe d'intermédiation différée (identité dévoilée post-engagement uniquement, anti-samsar). Nous ne vendons jamais vos données à des tiers à des fins commerciales.

6. Cookies et traceurs

Cookies de session (authentification Django) et préférences langue (FR / AR / Darija). Aucun cookie publicitaire, aucun traceur tiers en V1.

7. Évolutions de la politique

Toute modification substantielle vous sera communiquée par email ou notification dans l'application au minimum 30 jours avant prise d'effet.

← Retour à l'accueil