Politique de Confidentialité
Version 2.2 — mai 2026
D'ICI s'engage à protéger vos données personnelles. Cette politique décrit quelles données sont collectées, pour quelles raisons, combien de temps, avec qui elles sont partagées, et comment vous pouvez exercer vos droits.
Elle est conforme au Règlement Général sur la Protection des Données (RGPD, UE 2016/679) et à la loi marocaine 09-08 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
Article 1 — Responsable du traitement
Le responsable du traitement de vos données est l'éditeur de l'application D'ICI.
Pour toute question relative à la protection de vos données : supportdici@gmail.com
Article 2 — Données collectées
2.1 Données que vous nous fournissez
- Identité : nom complet, adresse email, numéro de téléphone, photo de profil
- Localisation : coordonnées GPS lors de la recherche de boutiques / livraison à une adresse (vous pouvez révoquer l'autorisation à tout moment depuis les réglages système)
- Contenu : messages dans les chats, avis de commandes, descriptions et photos des boutiques (si vous êtes Partenaire)
- Consentement aux CGU et à la présente politique : timestamp d'acceptation
2.2 Données collectées automatiquement
- Tokens de session et identifiants de notifications push
- Préférences : langue, rayon de recherche, notifications activées
- Historique d'utilisation : commandes passées, RDV pris, codes promo utilisés, articles consultés
- Interactions avec les stories (vues, réactions emoji, partages externes, signalements). Vous pouvez désactiver ce suivi dans Paramètres → Confidentialité (art. 21).
- Données techniques de sécurité : adresse IP, type d'appareil et de navigateur (journalisation réservée à l'équipe D'ICI)
2.3 Données NON collectées
D'ICI ne collecte pas :
- Données bancaires (aucun paiement ne transite par D'ICI)
- Historique GPS continu en arrière-plan
- Vos contacts / carnet d'adresses
- Données biométriques
Article 3 — Finalités et bases légales
| Finalité | Base légale (RGPD art. 6) |
|---|---|
| Création et gestion de votre compte | Exécution du contrat |
| Mise en relation avec les Partenaires (commandes, RDV) | Exécution du contrat |
| Conservation des commandes / RDV pour facturation | Obligation légale (code de commerce) |
| Notifications transactionnelles (statut commande, RDV) | Exécution du contrat |
| Notifications marketing et nouveautés D'ICI | Consentement (opt-in explicite) |
| Notifications de promotions des Partenaires que vous suivez | Intérêt légitime (opt-out possible) |
| Notifications de nouvelles stories des Partenaires que vous suivez | Intérêt légitime (opt-out possible) |
| Mesure d'audience des stories (vues, réactions, partages) auprès des Partenaires | Intérêt légitime (opt-out possible) |
| Traitement des signalements de stories | Intérêt légitime (modération) + obligation légale |
| Analyses statistiques anonymisées | Intérêt légitime |
| Modération et lutte contre la fraude | Intérêt légitime + obligation légale |
| Journal d'audit administratif | Obligation légale (sécurité) |
Article 4 — Durées de conservation
Conformément à l'article 5.1.e du RGPD, vos données ne sont pas conservées au-delà de la durée nécessaire :
| Donnée | Durée | Justification |
|---|---|---|
| Compte actif (PII identifiantes) | Tant que le compte est actif | Contrat |
| Compte inactif | 3 ans après dernière connexion (anonymisation auto) | Limitation conservation |
| Commandes et rendez-vous | 5 ans à compter de la transaction | Obligation comptable |
| Messages de chat (texte) | 90 jours | Service / mémoire utile |
| Médias échangés en chat | 90 jours | Service |
| Historique de recherche | 30 jours | Suggestions / intérêt légitime |
| Notifications in-app lues | 30 jours après lecture | Service |
| Notifications in-app non lues | 90 jours maximum | Service |
| Vues / réactions sur les stories | 90 jours | Analytics |
| Partages externes de stories (WhatsApp, lien, Instagram) | 90 jours | Analytics |
| Signalements de stories | 1 an | Suivi modération récidive |
| Stories média (fichier vidéo / photo) | 24 heures | Service par nature éphémère |
| Stories (entrée en base, après expiration média) | 30 jours après expiration | Audit modération récente |
| Logs d'audit administrateur | 1 an | Sécurité |
Les purges sont automatiques (tâches planifiées quotidiennes, hebdomadaires et mensuelles côté serveur).
Article 5 — Sous-traitants
D'ICI fait appel à des prestataires techniques pour assurer le service. Chacun est lié par un accord de traitement de données (DPA) ou par des Clauses Contractuelles Types (Standard Contractual Clauses, art. 46 RGPD) lorsque le traitement implique un transfert hors UE.
| Prestataire | Rôle | Localisation | Garanties |
|---|---|---|---|
| Firebase (Google) | Authentification + notifications push | États-Unis | SCC + DPA Google |
| Sentry | Reporting d'erreurs serveur (sans PII grâce à send_default_pii=False) |
Allemagne (UE) | DPA Sentry |
| PostHog | Mesure d'audience et statistiques d'usage de l'app (écrans vus, rétention) — anonyme tant que vous n'êtes pas connecté | Allemagne / UE (eu.posthog.com) |
DPA PostHog |
| Cloudinary | Hébergement et optimisation des médias (photos / vidéos) | États-Unis | SCC + DPA Cloudinary |
| Render | Hébergement de l'API backend | États-Unis | SCC + DPA Render |
| Neon | Base de données PostgreSQL principale (chiffrée TLS + au repos) | UE / États-Unis (selon région) | SCC + DPA Neon |
| Cloudflare | Distribution des applications (CDN), protection DDoS | Mondial | SCC + DPA Cloudflare |
| Upstash | Cache et files de messages Redis (sessions, jobs Celery) | UE | DPA Upstash |
Aucun de ces prestataires n'utilise vos données à des fins propres ; ils agissent uniquement comme sous-traitants au sens de l'article 28 du RGPD.
Aucune donnée n'est vendue ni partagée avec des annonceurs.
Article 6 — Sécurité
Nous mettons en œuvre les mesures suivantes pour protéger vos données :
- Authentification par sessions à courte durée, renouvelées automatiquement, et révoquées immédiatement à la déconnexion
- Chiffrement de toutes les communications réseau (TLS 1.2 ou supérieur), de vos données sensibles stockées sur votre appareil (coffre-fort natif), et de la base de données au repos chez nos hébergeurs
- Protection contre les attaques courantes (injections, accès non autorisés) et audit automatisé des dépendances pour appliquer rapidement les correctifs de sécurité
- Journalisation des actions sensibles côté administration, avec étapes de confirmation supplémentaires pour toute opération destructive
- Cloisonnement strict des ressources externes sur les applications web : aucune ressource non vérifiée n'est chargée
Article 7 — Vos droits
Vous disposez des droits suivants sur vos données (RGPD art. 15 à 22) :
| Droit | Comment l'exercer |
|---|---|
| Accès (art. 15) | Bouton « Exporter mes données » dans Paramètres → export JSON immédiat |
| Rectification (art. 16) | Modification directe depuis Paramètres → Compte |
| Effacement (art. 17) | Bouton « Supprimer mon compte » dans Paramètres → anonymisation immédiate |
| Portabilité (art. 20) | Même bouton « Exporter mes données » — format JSON standard machine-readable |
| Opposition / opt-out (art. 21) | Paramètres → « Notifications par catégorie » (6 toggles) ET « Mesure d'audience » (3 toggles : vues, réactions, partages de stories) |
| Limitation (art. 18) | Sur demande à supportdici@gmail.com |
| Réclamation (art. 77) | CNDP (Maroc) — www.cndp.ma — ou CNIL (France) — www.cnil.fr |
Effacement de compte — précisions
Conformément au considérant 26 du RGPD, l'effacement est mis en œuvre par anonymisation irréversible : votre identité (email, nom, téléphone, photo, identifiant Firebase) est définitivement effacée dès la confirmation. Vos commandes et rendez-vous antérieurs sont conservés pendant la durée de l'obligation comptable (5 ans), mais ne contiennent plus aucune donnée vous identifiant.
Article 8 — Cookies et stockage local
- Application mobile (Android / iOS) : aucun cookie tiers. Les informations de session sont stockées dans le coffre-fort sécurisé de votre appareil. Les données mises en cache pour le mode hors-ligne (chats, catalogues) sont chiffrées localement.
- Applications web : cookies de session sécurisés (chiffrés, non accessibles par d'autres sites) pour maintenir votre authentification, ainsi qu'un identifiant de mesure d'audience (PostHog, hébergé en UE) pour comprendre l'usage de l'app et l'améliorer. Aucun cookie marketing, aucun cookie publicitaire.
Article 9 — Visibilité des Partenaires sur les interactions avec leurs stories
Lorsqu'un Partenaire publie une story, il accède à des statistiques agrégées sur cette story :
- nombre total de vues,
- nombre de viewers uniques,
- nombre de réactions par type d'emoji,
- nombre de partages externes.
Aucune identité de Client n'est exposée au Partenaire (ni nom, ni photo, ni email, ni liste de réactions individuelles). Les chiffres sont agrégés en totaux anonymes. Seuls les administrateurs D'ICI, dans le cadre d'un signalement, peuvent — après action explicite tracée — accéder à l'identité d'un Client signalant une story (art. 5.1.c — minimisation, art. 5.1.f — intégrité et confidentialité).
Article 9 bis — Accès de l'équipe D'ICI à vos données
L'équipe D'ICI peut accéder à vos données dans trois cas, et uniquement dans ces cas :
- Support : à votre demande, pour résoudre un problème (commande, rendez-vous, paiement, compte) ;
- Modération : pour traiter un signalement (chat, story, avis, contenu d'un Partenaire) ou identifier un contenu interdit par les conditions d'utilisation ;
- Lutte contre la fraude : pour enquêter sur une activité suspecte (comptes multiples, abus de codes promo, usurpation d'identité).
Ces accès sont journalisés (date, agent, action effectuée) et conservés pendant un an. Toute action sensible (suppression de contenu, blocage de compte, accès à un signalement) requiert une étape de confirmation supplémentaire pour éviter les erreurs.
L'équipe D'ICI n'accède jamais à vos messages privés, à votre historique, ou à vos données de localisation à des fins commerciales, marketing, ou de profilage.
Article 10 — Modifications
Cette politique peut évoluer pour s'adapter à de nouvelles fonctionnalités ou exigences réglementaires. Toute modification substantielle vous sera notifiée dans l'application, et un nouvel accord vous sera demandé si nécessaire. La version en vigueur est toujours celle affichée dans cette page.
Article 11 — Contact
supportdici@gmail.com
Toute demande relative à vos données personnelles fait l'objet d'une réponse dans un délai maximal d'un mois (RGPD art. 12.3).