Crystal IACrystal IA

Politique de confidentialité

Dernière mise à jour : 9 mai 2026

1. Identification du responsable de traitement

L'application Crystal IA (web et mobile Android) est éditée par CRYSTAL IT, société de droit marocain dont le siège est situé à Casablanca, Maroc. Pour toute question relative à la présente politique ou à l'exercice de vos droits, vous pouvez nous contacter par email à contact@crystalit.ma.

2. Données collectées

Crystal IA collecte les catégories de données suivantes :

  • Données de compte : nom, prénom, email, numéro de téléphone, rôle au sein de l'entreprise, mot de passe (stocké chiffré via bcrypt).
  • Données d'entreprise : raison sociale, ICE, RC, IF, CNSS, patente, RIB, adresse, secteur d'activité.
  • Données métier : clients, fournisseurs, factures, devis, commandes, paiements, écritures comptables, salariés (paie). Ces données sont la propriété exclusive de l'entreprise utilisatrice (tenant).
  • Données techniques : adresse IP, user-agent, journaux d'accès, identifiants de session, tokens de notification push (FCM) si l'application mobile est installée.
  • Contenus uploadés : photos de tickets/factures pour OCR, documents joints, photos de chantiers BTP, fichiers GED.
  • Caméra : utilisée à la demande de l'utilisateur pour scanner un code-barres en caisse ou prendre une photo (OCR, chantier). Aucune image n'est capturée sans action explicite.

3. Finalités du traitement

Vos données sont traitées exclusivement pour les finalités suivantes :

  • Fourniture du service ERP (gestion commerciale, comptabilité, paie, CRM).
  • Authentification et sécurité des accès.
  • Notifications (relances factures, alertes échéances fiscales, événements CRM).
  • Support technique et amélioration du service.
  • Respect des obligations légales (facturation, conservation comptable 10 ans).

4. Base légale

Les traitements reposent sur l'exécution du contrat de service (article 6.1.b RGPD / Loi 09-08 Maroc), le respect d'obligations légales (comptabilité, fiscalité) et l'intérêt légitime de l'éditeur pour la sécurité et l'amélioration continue du service.

5. Partage des données

Vos données métier ne sont JAMAIS partagées avec des tiers à des fins commerciales. Elles peuvent transiter par les sous-traitants techniques suivants, exclusivement pour faire fonctionner le service :

  • Hostinger (hébergement VPS, Lituanie/UE) — stockage de la base de données.
  • Groq, Anthropic, OpenAI, Mistral — traitement IA à la demande (analyse, OCR, transcription vocale). Les données envoyées sont anonymisées quand possible et ne sont pas utilisées pour entraîner des modèles publics.
  • Google Firebase Cloud Messaging — livraison des notifications push sur mobile (uniquement le contenu de la notification, pas les données métier).
  • Waha (auto-hébergé) — passerelle WhatsApp Business pour l'envoi des factures et messages.
  • Comptes SMTP configurés par l'utilisateur (Gmail, Outlook, etc.) — envoi des emails sortants.

Aucune donnée n'est revendue, louée ou cédée à des tiers à des fins publicitaires.

6. Localisation et transferts hors Maroc

Les bases de données principales sont hébergées en Union Européenne (Hostinger, Lituanie). Certains traitements IA peuvent transiter par les États-Unis ou l'Europe selon le fournisseur sélectionné par l'administrateur du tenant. Tous les fournisseurs cités appliquent des garanties contractuelles conformes au RGPD (clauses contractuelles types) et à la loi marocaine 09-08.

7. Durée de conservation

  • Données de compte actif : pendant toute la durée d'utilisation du service.
  • Données comptables et fiscales : 10 ans (article 211 CGI Maroc).
  • Données après résiliation : suppression sous 90 jours après la fin de l'abonnement, sauf obligation légale de conservation.
  • Journaux techniques : 12 mois maximum.
  • Tokens push FCM : supprimés automatiquement quand le device les invalide.

8. Vos droits

Conformément à la loi marocaine n° 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, et au Règlement Général sur la Protection des Données (RGPD) pour les utilisateurs situés dans l'Union Européenne, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données.
  • Droit de rectification : corriger les données inexactes.
  • Droit d'effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation).
  • Droit d'opposition : refuser certains traitements.
  • Droit à la portabilité : récupérer vos données dans un format structuré (export FEC, CSV, AAB).
  • Droit de retrait du consentement à tout moment.

Pour exercer ces droits, écrivez à contact@crystalit.ma en justifiant de votre identité. Une réponse vous sera apportée sous 30 jours maximum.

Vous pouvez également déposer une réclamation auprès de la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) au Maroc, ou auprès de votre autorité de contrôle nationale en Europe.

9. Sécurité

Crystal IA met en œuvre les mesures de sécurité techniques et organisationnelles suivantes :

  • Chiffrement TLS 1.3 sur toutes les communications (HTTPS, HSTS preload).
  • Mots de passe stockés avec bcrypt (12 rounds).
  • Isolation stricte multi-tenant : chaque entreprise voit uniquement ses propres données.
  • Headers de sécurité (CSP, X-Frame-Options DENY, Permissions-Policy).
  • Rate-limiting sur les endpoints sensibles.
  • Sauvegardes quotidiennes chiffrées.
  • Audit log de toutes les actions critiques (addon Audit Pro).

10. Cookies

Crystal IA utilise uniquement des cookies strictement nécessaires au fonctionnement du service (cookies de session NextAuth pour maintenir la connexion). Aucun cookie publicitaire ou de tracking tiers n'est déposé.

11. Application mobile Android

L'application mobile Crystal IA pour Android (disponible sur Google Play Store) est un wrapper natif de la version web. Elle accède aux fonctionnalités suivantes du téléphone :

  • Caméra : pour scanner les codes-barres en caisse, photographier des factures (OCR), documenter les chantiers BTP. Activée uniquement à la demande explicite de l'utilisateur.
  • Notifications : pour les alertes d'échéances fiscales, factures impayées, rappels. Désactivables dans les paramètres du téléphone.
  • Stockage : pour sélectionner des photos depuis la galerie.
  • Internet : pour communiquer avec le serveur Crystal IA.

Aucune donnée du téléphone n'est lue ou transmise sans action explicite de l'utilisateur. Aucune fonctionnalité de tracking, géolocalisation passive ou accès aux contacts n'est implémentée.

12. Modifications

La présente politique peut être modifiée à tout moment. La date de dernière mise à jour est indiquée en haut de cette page. En cas de modification substantielle, les utilisateurs seront notifiés par email ou notification dans l'application.

13. Contact

Pour toute question relative à cette politique :
CRYSTAL IT
Email : contact@crystalit.ma
Site web : crystalit.ma