Légal

RGPD & Loi 09-08

Conformité à la protection des données personnelles — Règlement Européen (RGPD) et loi marocaine n°09-08

Mise à jour : 15 mai 2026

🇪🇺

RGPD Européen

Règlement (UE) 2016/679 du Parlement européen. Applicable à Yuup car nos données sont hébergées en Europe (Frankfurt) et nous traitons des données de citoyens européens.

🇲🇦

Loi 09-08 Maroc

Loi relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, promulguée le 18 février 2009. Supervisée par la CNDP.

1. Principes fondamentaux appliqués

🎯

Finalité limitée

Les données ne sont collectées que pour des finalités déterminées, explicites et légitimes. Elles ne sont pas traitées de façon incompatible avec ces finalités.

⚖️

Minimisation

Seules les données strictement nécessaires à la fourniture du service sont collectées. Nous ne demandons jamais de données superflues.

✅

Exactitude

Nous mettons en place des mécanismes permettant aux utilisateurs de corriger leurs données à tout moment depuis leur profil.

📅

Limitation de conservation

Les données sont conservées uniquement le temps nécessaire. Des politiques de purge automatique sont en place pour chaque catégorie de données.

🔒

Intégrité & confidentialité

Chiffrement TLS 1.3 en transit, AES-256 au repos, accès restreint au personnel autorisé avec authentification MFA.

🧾

Responsabilité

Yuup est en mesure de démontrer sa conformité à tout moment via son registre des traitements et ses analyses d'impact (DPIA).

2. Registre des activités de traitement

Conformément à l'article 30 du RGPD, Yuup tient un registre interne des activités de traitement. Voici les traitements principaux :

Traitement	Finalité	Base légale	Catégories de données	Durée	Destinataires
Gestion des comptes	Fourniture du service	Contrat	Identité, email, mot de passe	Durée du contrat + 90j	Supabase
Facturation client	Gestion commerciale	Contrat + Loi	Clients, montants, TVA	10 ans (DGI)	Interne
Paie & RH	Obligations sociales	Loi + Contrat	Salaires, CIN, CNSS, AMO	5 ans après clôture	Interne, CNSS
Déclarations fiscales	Conformité DGI	Obligation légale	CA, TVA, IS	10 ans	DGI Maroc
Paiements abonnement	Facturation SaaS	Contrat	Email, montant (pas de CB)	Durée + 5 ans	Prestataire paiement
Assistance IA (Alex)	Amélioration service	Intérêt légitime	Requêtes anonymisées	30 jours	Groq (anonymisé)
Logs sécurité	Protection, fraude	Intérêt légitime	IP, horodatage, actions	12 mois	Interne
Newsletter	Marketing	Consentement	Email, nom	Jusqu'au retrait	Interne

3. Mesures de sécurité techniques et organisationnelles

3.1 Mesures techniques

Chiffrement en transit : TLS 1.3 sur toutes les communications (HTTPS strict)
Chiffrement au repos : AES-256 sur la base de données PostgreSQL (Supabase)
Authentification : Mots de passe bcrypt + sel cryptographique + option MFA (TOTP)
Ségrégation des données : Isolation par organisation (Row Level Security PostgreSQL)
Sauvegardes : Chiffrées, quotidiennes, rétention 30 jours, testées mensuellement
Pare-feu applicatif : WAF Cloudflare avec règles OWASP Top 10
Analyse de vulnérabilités : Tests de pénétration annuels + analyses automatisées continues
Journalisation : Tous les accès aux données sensibles sont enregistrés et auditables

3.2 Mesures organisationnelles

Politique d'accès au moindre privilège — chaque employé n'accède qu'aux données nécessaires à sa mission
Formation annuelle de tout le personnel sur la protection des données
Procédure de gestion des violations de données (notification CNDP sous 72h, utilisateurs concernés sous 72h)
Analyses d'impact sur la protection des données (DPIA) réalisées pour tout nouveau traitement à risque
Contrats de traitement des données (DPA) signés avec tous les sous-traitants
DPO (Délégué à la Protection des Données) désigné et joignable à privacy@yuup.site

4. Transferts internationaux de données

Yuup héberge ses données en Europe (Frankfurt). Cependant, certains sous-traitants ont leur siège hors UE/Maroc :

Vercel Inc. (USA)

Hébergement applicatif (Next.js)

Clauses contractuelles types (CCT) + Privacy Shield successor

Groq Inc. (USA)

Traitement IA — requêtes anonymisées uniquement

DPA + anonymisation — aucune donnée personnelle transmise

Stripe Inc. (USA)

Traitement des paiements

PCI-DSS L1 + CCT + Privacy Shield

5. Droits des personnes concernées (RGPD Art. 15-22 & Loi 09-08 Art. 7-12)

Toute personne dont les données sont traitées par Yuup dispose des droits suivants, exerçables à tout moment :

RGPD Art. 15 / Art. 7

Droit d'accès

Obtenir confirmation du traitement et copie des données vous concernant.

RGPD Art. 16 / Art. 9

Droit de rectification

Faire corriger des données inexactes ou compléter des données incomplètes.

RGPD Art. 17 / Art. 8

Droit à l'effacement

Demander la suppression de vos données (sous réserve des obligations légales de conservation).

RGPD Art. 18

Droit à la limitation

Demander la suspension temporaire du traitement dans certains cas définis.

RGPD Art. 20

Droit à la portabilité

Recevoir vos données dans un format structuré, lisible par machine (JSON, CSV).

RGPD Art. 21 / Art. 11

Droit d'opposition

S'opposer au traitement basé sur l'intérêt légitime ou à des fins de prospection commerciale.

📩 Comment exercer vos droits ?

Envoyez votre demande à privacy@yuup.site en précisant : votre identité (email du compte + copie de pièce d'identité si nécessaire), le droit que vous souhaitez exercer, et toute information utile. Nous répondrons dans un délai de 30 jours (prolongeable à 60 jours en cas de demande complexe, avec notification).

6. Procédure en cas de violation de données

En cas de violation de données personnelles (fuite, accès non autorisé, destruction accidentelle), Yuup s'engage à :

Dans les 72 heures : Notifier la CNDP (autorité de contrôle marocaine) si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes
Sans délai indu : Informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits
Documenter la violation dans le registre interne des incidents
Mettre en place des mesures correctives immédiates et préventives
Engager une analyse post-incident pour éviter la récurrence

7. Conformité spécifique Loi 09-08 (Maroc)

7.1 Déclaration CNDP

Conformément à l'article 12 de la loi 09-08, Yuup a procédé aux formalités préalables auprès de la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) pour les traitements automatisés de données personnelles mis en œuvre.

7.2 Droits spécifiques loi 09-08

Les droits reconnus par la loi 09-08 aux personnes physiques marocaines sont entièrement respectés, notamment :

Droit d'information préalable à toute collecte de données (art. 4)
Droit d'accès aux données (art. 7) — exercé sans frais
Droit de rectification (art. 9) — délai de traitement 10 jours
Droit d'opposition (art. 11) — notamment pour le marketing direct
Interdiction de traitement des données sensibles sans consentement explicite (art. 1)

7.3 Transferts vers le Maroc

Yuup peut être amenée à traiter des données de personnes physiques marocaines. Ces traitements sont conformes aux dispositions de la loi 09-08 et aux instructions de la CNDP en matière de transferts transfrontaliers.

8. Autorités de contrôle

🇲🇦 CNDP Maroc

Commission Nationale de contrôle de la protection des Données à caractère Personnel
Angle Rues Al Jounanyia et Arrachid Mohamed, Hay Riad, Rabat
Tél. : +212 5 37 57 89 07
www.cndp.ma

🇪🇺 CNIL France / Autorités UE

Pour les résidents de l'Union Européenne, vous pouvez contacter l'autorité de protection des données de votre pays (ex : CNIL en France).
www.cnil.fr | edpb.europa.eu

9. Mise à jour de cette page

La présente page est mise à jour dès que nécessaire pour refléter les évolutions légales, réglementaires ou opérationnelles. L'historique des versions est disponible sur demande à privacy@yuup.site.

📚 Documents complémentaires

Politique de confidentialité →CGU →Mentions légales →