Politique de confidentialité
Dernière mise à jour : 25 avril 2026
Lalla Kenza est une plateforme d'organisation de mariages opérée à destination du marché marocain. Cette politique décrit comment nous collectons, utilisons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi 09-08 marocaine.
1. Responsable du traitement
La plateforme est aujourd'hui exploitée à titre individuel par son fondateur. Une déclaration formelle auprès de la CNDP (Maroc) sera réalisée lors de la création d'une entité juridique dédiée, au plus tard avant l'ouverture publique du service à des couples non-beta. Pour toute question : hello@lallakenza.co.
2. Données collectées
Trois grandes catégories de données :
- Données de compte: email + mot de passe (haché). Indispensables pour créer votre espace.
- Données de mariage: prénoms du couple, date, ville, budget estimé, cérémonies activées, liste d'invités (que vous saisissez), photos uploadées sur le portail public, plan de table, messages du livre d'or laissés par vos invités.
- Données techniques: adresse IP (anti-brute-force, ≤ 1 heure), logs d'erreur (sans contenu identifiant — voir §4), événements analytiques anonymisés (uniquement si vous acceptez les cookies analytiques).
3. Finalités
- Vous permettre d'organiser votre mariage avec les outils de la plateforme.
- Vous authentifier et sécuriser votre compte.
- Recevoir et router les RSVP de vos invités vers votre tableau de bord (sans inscription de leur côté).
- Détecter et corriger les bugs (Sentry, sans données personnelles).
- Comprendre comment l'outil est utilisé pour l'améliorer (PostHog, uniquement avec votre consentement explicite via la bannière cookies).
Nous ne vendons jamais vos données. Nous ne les utilisons pas non plus pour de la publicité ciblée.
4. Sous-traitants
Pour faire fonctionner la plateforme, nous utilisons les sous-traitants suivants. Chacun a signé un accord de traitement des données (DPA) qui les engage au même niveau de confidentialité que nous.
| Sous-traitant | Finalité | Hébergement | Durée |
|---|---|---|---|
| Supabase Inc. | Hébergement de la base de données, authentification, stockage des photos. | AWS Europe (eu-west-3 / Paris) | Tant que votre compte existe + 30 jours après suppression (purge des sauvegardes). |
| Vercel Inc. | Hébergement de l'application web (rendu, edge, logs courts). | AWS / Vercel global edge (cache statique CDN). Données serveur en eu-west-1. | Logs : 24 heures (Hobby) → 30 jours (Pro). Aucun PII stocké côté Vercel. |
| Sentry (Functional Software, Inc.) | Suivi des erreurs applicatives pour corriger les bugs. | AWS Europe (Frankfurt). | 30 jours (free) → 90 jours (Pro). |
| PostHog (PostHog, Inc.) | Analytique produit (parcours utilisateur, fonctionnalités utilisées). Activé uniquement si vous acceptez les cookies analytiques. | PostHog EU Cloud (Francfort). | 12 mois. |
| Resend, Inc. | Envoi des emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe). Pas encore activé en prod. | AWS US-East. SCC + DPA en place. | 90 jours pour les statuts de remise. Contenu email non archivé. |
| Upstash, Inc. | Limitation de débit sur les endpoints d'authentification (anti-brute-force). | AWS Europe (Frankfurt). | ≤ 1 heure (clés Redis avec TTL). |
Détail des catégories de données par sous-traitant : src/data/subprocessors.ts.
5. Durée de conservation
Vos données restent disponibles aussi longtemps que votre compte existe. Si vous supprimez votre compte (depuis Paramètres → Mes données), nous purgeons toutes vos tables sous 24 heures et nos sauvegardes sous 30 jours. Cette purge est irréversible.
6. Vos droits
Conformément au RGPD et à la loi 09-08, vous disposez à tout moment du droit :
- D'accès et de portabilité (Art. 15 + 20 RGPD) — Téléchargez un export JSON complet depuis Paramètres → Mes données.
- De rectification (Art. 16 RGPD) — Modifiez vos informations directement depuis votre profil.
- D'effacement (Art. 17 RGPD) — Supprimez votre compte depuis la même page. Action immédiate, irréversible.
- D'opposition au traitement à des fins d'analyse — Refusez les cookies analytiques dans la bannière (vous pouvez changer d'avis à tout moment). Le service reste pleinement fonctionnel.
- De réclamation auprès de la CNDP au Maroc ou de la CNIL en France.
7. Cookies
| Nom | Type | Finalité | Durée |
|---|---|---|---|
| sb-* (Supabase Auth) | Essentiel | Maintien de votre session authentifiée. | Jusqu'à déconnexion ou expiration (1 semaine). |
| lk_locale | Essentiel | Mémorise votre langue d'interface (FR / EN). | 1 an. |
| lk_consent | Essentiel | Mémorise votre choix sur les cookies analytiques (accepté / refusé) — sans cela, la bannière reviendrait à chaque visite. | 1 an. |
| ph_* | Analytique | PostHog — analyse produit anonymisée. Posé uniquement si vous avez accepté les cookies analytiques. | 12 mois. |
8. Sécurité
Toutes les communications sont chiffrées (HTTPS/TLS). Les bases de données sont protégées par des règles d'accès au niveau ligne (Row Level Security) qui empêchent un utilisateur de voir les données d'un autre, même en cas de bug applicatif. Les tentatives d'authentification sont limitées (10/min/IP) pour bloquer les attaques par force brute. Nous menons un audit de couverture RLS sur chaque pull request.
9. Modifications
Cette politique peut évoluer pour refléter de nouvelles pratiques (changement de sous-traitant, nouvelle fonctionnalité). En cas de modification matérielle, vous serez informé par email à l'adresse de votre compte. La version actuelle est toujours consultable à /legal/privacy.
10. Contact
Pour exercer vos droits, demander des informations supplémentaires, ou poser une question sur cette politique : hello@lallakenza.co. Nous nous engageons à répondre sous 30 jours.