Politique de confidentialité

Nous collectons les données suivantes selon votre profil : Compte utilisateur (IAM) : • Email, prénom, nom, numéro de téléphone • Mot de passe (stocké sous forme de hash bcrypt, jamais en clair) • Langue préférée, fuseau horaire • Statut de vérification email et téléphone • Adresse IP et user-agent lors de la vérification OTP Profil Client : • Photo de profil • Adresses de prestation (rue, ville, code postal, coordonnées GPS) • Historique des réservations et statistiques d'utilisation • Prestataires favoris Profil Prestataire : • Titre professionnel, biographie, années d'expérience • Documents KYC : pièce d'identité (CIN recto/verso), certifications • Planning hebdomadaire et périodes de blocage • Zone de couverture géographique • Historique des missions et avis reçus Réservations (Booking) : • Adresse de prestation, date et créneau horaire • Instructions spécifiques • Prix convenu (snapshot) • Historique des statuts et motif d'annulation Notifications : • Tokens d'appareils (FCM pour les notifications push) • Préférences de notification par catégorie et canal • Journal de livraison des notifications Mesure d'audience (Google Analytics 4, uniquement après votre consentement) : • Identifiant utilisateur pseudonyme (identifiant technique de votre compte, sans nom ni email) • Rôle (client ou prestataire) et statut (nouvel utilisateur ou utilisateur récurrent) • Données de navigation agrégées (pages visitées, durée, performance)

Vos données sont traitées pour : • La gestion de votre compte et l'authentification sécurisée • La mise en relation Clients-Prestataires • Le traitement et le suivi des réservations • L'envoi de notifications transactionnelles (WhatsApp, email, push, in-app) • La vérification d'identité des Prestataires (KYC) • La facturation et le suivi des paiements • La modération des avis et la prévention de la fraude • L'amélioration de nos services et statistiques d'utilisation • Le respect de nos obligations légales

Le traitement de vos données est fondé sur les bases légales suivantes, conformément à la loi 09-08 et au Dahir n° 1-09-15 du 18 février 2009 : • L'exécution du contrat : fourniture du service, gestion des réservations, mise en relation Client-Prestataire • Votre consentement : notifications marketing, cookies non essentiels • L'intérêt légitime : sécurité de la Plateforme, prévention de la fraude, amélioration du service • L'obligation légale : obligations fiscales et comptables (Article 19 du Code de Commerce marocain — conservation 10 ans)

Les durées de conservation respectent les exigences de la loi 09-08 et du Code de Commerce marocain : • Données de compte actif : pendant toute la durée de l'inscription • Après suppression de compte : empreinte SHA-256 de l'email et du téléphone conservée 30 jours (anti-fraude) • Données de transaction : 10 ans (Article 19 du Code de Commerce marocain) • Documents KYC (Prestataire) : 5 ans après la fin de la relation contractuelle • Logs techniques (IP, user-agent) : 12 mois • Notifications inbox : purgées après 90 jours (conformité CNDP) • Cookies persistants : maximum 13 mois (recommandation CNDP)

Vos données peuvent être partagées avec : • Les Prestataires/Clients dans le cadre d'une réservation (nom, prénom, téléphone, adresse de prestation) • Nos sous-traitants techniques : — AWS (Amazon Web Services) : hébergement cloud (Casablanca + région de contrôle Paris) — Twilio (envoi WhatsApp et SMS) — Firebase / Google (notifications push) — Google Analytics (Google LLC) : mesure d'audience, déposé uniquement après votre consentement — Service email (notifications transactionnelles) • Les autorités compétentes sur demande judiciaire Nous ne vendons jamais vos données à des tiers à des fins commerciales.

Les données sont hébergées sur AWS (Amazon Web Services) via la Wavelength Zone Casablanca (Maroc), avec la région de contrôle AWS Europe Paris (France). Certaines données peuvent être transférées vers des serveurs situés hors du Maroc dans le cadre de nos sous-traitants techniques : • AWS Europe Paris (France / Union européenne) : région de contrôle de l'hébergement • Twilio (États-Unis) : envoi de messages WhatsApp et SMS • Firebase / Google Cloud (États-Unis) : notifications push • Google Analytics — Google LLC (États-Unis) : mesure d'audience, après consentement • Service email : notifications transactionnelles Tout transfert de données personnelles vers un pays étranger est encadré conformément aux articles 43 et 44 de la loi 09-08, au Dahir n° 1-09-15 et aux recommandations de la CNDP, et fait l'objet, le cas échéant, des autorisations requises de la CNDP.

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données : • Chiffrement des données en transit (HTTPS/TLS) • Hachage des mots de passe (bcrypt) • Tokens JWT avec expiration courte (15 min access, 7 jours refresh) • Accès restreint aux données sensibles (principe du moindre privilège) • Vérification OTP pour le téléphone (WhatsApp/SMS) • Vérification par email pour l'adresse email • Isolation des données par module (schémas PostgreSQL séparés)

Conformément à la loi 09-08, vous disposez des droits suivants : • Droit d'accès : obtenir une copie de vos données personnelles • Droit de rectification : corriger vos données inexactes • Droit de suppression : demander l'effacement de vos données • Droit d'opposition : vous opposer au traitement de vos données • Droit à la portabilité : recevoir vos données dans un format structuré Pour exercer vos droits : privacy@taskit.ma Vous pouvez également saisir la CNDP : Commission Nationale de contrôle de la protection des Données à caractère Personnel Site : www.cndp.ma

Cette politique peut être mise à jour pour refléter l'évolution de nos pratiques ou des exigences légales. En cas de modification substantielle, vous serez informé par notification dans l'application et par email. La date de dernière mise à jour est indiquée en haut de cette page.