Politique de confidentialité
Dernière mise à jour : avril 2026
Chez React Box, nous prenons la protection de vos données personnelles très au sérieux. Cette politique explique quelles données nous collectons, à quel titre, comment nous les utilisons, où elles sont hébergées et quels sont vos droits au regard de la loi marocaine 09-08 sur la protection des données à caractère personnel.
Responsable de traitement et DPO
Le responsable de traitement est React Consulting SARL AU, ICE 003399449000060, dont le siège est situé Boulevard My Hassan 1er, Imm Siam Block A, 3ème étage N°10, Marrakech, Maroc. Vous pouvez contacter notre Délégué à la protection des données (DPO) à l'adresse dpo@react-box.com.
Notre rôle : responsable de traitement et sous-traitant
React Box agit en deux qualités distinctes. (1) Responsable de traitement pour les données nécessaires au fonctionnement du service : comptes utilisateurs, organisations, journaux de sécurité, notifications, statistiques d'usage. (2) Sous-traitant au sens de l'article 21 de la loi 09-08 pour les documents que vous téléversez : ces documents restent sous votre responsabilité ou celle de votre cabinet comptable. Nous nous limitons à les héberger en accès strictement privé, sans en consulter ni en analyser le contenu.
Données que nous collectons
Nous collectons les informations que vous nous fournissez à l'inscription (nom, prénom, adresse e-mail, photo de profil), les informations relatives à votre organisation (raison sociale, ICE, IF, RC, TP, adresse, logo), les documents que vous déposez dans votre coffre-fort (le contenu reste privé et n'est jamais analysé par nos systèmes), et les journaux d'activité (actions effectuées dans l'application, adresse IP, agent utilisateur).
Finalités et bases légales
Vos données sont utilisées pour fournir le service (exécution du contrat), assurer la sécurité et la traçabilité (obligation légale et intérêt légitime), vous adresser des notifications transactionnelles (exécution du contrat), et améliorer le produit via des statistiques anonymisées (consentement, géré dans la bannière de cookies).
Hébergement et transferts
Nos serveurs principaux sont situés dans l'Union européenne (Francfort, Allemagne) — base de données Neon (eu-central-1, AWS), application sur Vercel (région fra1), fichiers sur Cloudflare R2 (juridiction UE), e-mails sur Resend (UE). Le niveau de protection y est reconnu adéquat par la CNDP. Le service d'authentification WorkOS Inc. opère depuis les États-Unis, sous clauses contractuelles types. Vous êtes informé(e) de ces transferts à l'inscription et lors de la création de votre organisation.
Sous-traitants techniques
Nous recourons aux sous-traitants suivants, tous engagés contractuellement à respecter le RGPD : Neon (base de données, UE), Cloudflare (stockage de fichiers, UE), Vercel (hébergement applicatif, UE), Resend (e-mails transactionnels, UE), et WorkOS (authentification, USA — sous clauses contractuelles types).
Durée de conservation
Les données de compte sont conservées tant que votre compte est actif, puis supprimées dans un délai de 30 jours après désinscription. Les documents que vous téléversez sont conservés sous votre responsabilité — vous décidez quand les supprimer. Les journaux d'audit de sécurité sont conservés 5 ans, les journaux d'activité 2 ans, les notifications lues 6 mois. Les exports de données sont conservés 30 jours.
Vos droits
Conformément à la loi 09-08, vous disposez d'un droit d'accès, de rectification, d'opposition, de suppression, de limitation et de portabilité sur vos données personnelles. Pour les exercer, écrivez à dpo@react-box.com ou utilisez notre formulaire en ligne accessible depuis le pied de page (« Exercer mes droits »). Pour les données contenues dans vos documents, votre interlocuteur direct est votre cabinet comptable ou votre entreprise (responsable de traitement). Vous disposez également du droit de saisir la CNDP (www.cndp.ma).
Cookies
Notre site utilise des cookies essentiels au fonctionnement (session, langue, préférences de consentement) et, sous réserve de votre consentement explicite, des cookies de mesure d'audience. Vous pouvez à tout moment ajuster vos préférences via le lien « Préférences cookies » du pied de page. Voir notre politique de cookies pour le détail.
Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS de bout en bout, chiffrement au repos (AES-256) côté Cloudflare R2, contrôle d'accès via WorkOS (SSO et MFA disponibles), URLs signées à durée de vie courte (5 minutes en téléchargement, 10 minutes en téléversement), journalisation exhaustive des accès, et principe de moindre accès — nos équipes opérationnelles n'accèdent jamais au contenu de vos documents.
Référence CNDP
Le traitement décrit dans la présente politique a fait l'objet d'une déclaration auprès de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP). Le numéro de récépissé sera publié ici dès réception.