Politique de confidentialité

1. Identité du responsable du traitement

Le responsable du traitement des données personnelles traitées dans le cadre de la plateforme WPM, au sens de l'article 4, point 7), du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (le « RGPD ») et au sens de l'article 1er de la loi marocaine n° 09-08 du 18 février 2009 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (« Loi 09-08 »), est l'entité juridique qui exploite le site weddingplannermarrakech.com, la plateforme logicielle WPM et tout système associé de courriels et de notifications. L'identité d'entreprise complète, le siège social et les coordonnées de cette entité juridique figurent sur la page d'identité d'entreprise du présent site. Chaque fois que la présente Politique utilise les termes « WPM », « nous », « notre » ou « nos », la référence est à cette entité juridique en sa qualité de responsable du traitement.

2. Représentant dans l'Union européenne

Lorsque l'article 27 du RGPD l'exige, WPM a désigné un représentant dans l'Union européenne pour agir en son nom à l'égard de ses obligations au titre du RGPD vis-à-vis des personnes concernées situées dans l'Union. Les coordonnées du représentant UE sont publiées sur la page d'identité d'entreprise du présent site et sont accessibles aux personnes concernées, aux autorités de contrôle et à toute autre partie intéressée pour toute question liée au traitement des données personnelles par WPM. La désignation d'un représentant UE ne limite en rien la responsabilité juridique de WPM en tant que responsable du traitement, ni n'affecte les actions qui pourraient être engagées contre WPM lui-même.

3. Délégué à la protection des données (DPO)

WPM a désigné un point de contact interne responsable des questions de protection des données. Bien que la nomination d'un Délégué à la protection des données ne soit pas obligatoire au titre des activités de WPM en vertu de l'article 37 du RGPD, WPM met volontairement à disposition un point de contact unique pour toute question liée au traitement des données personnelles, à l'exercice des droits des personnes concernées et à toute plainte motivée. Ce contact est joignable à privacy@weddingplannermarrakech.com. Les communications reçues à cette adresse sont traitées conformément aux procédures énoncées aux Sections 12 et 17 de la présente Politique.

4. Termes définis

Les termes utilisés dans la présente Politique qui sont définis à l'article 4 du RGPD (tels que « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « destinataire », « tiers », « consentement », « violation de données à caractère personnel » et « profilage ») ont le sens qui y est défini. Les termes supplémentaires suivants sont utilisés dans la présente Politique.

Sous-traitant

Un sous-traitant engagé par WPM qui traite des données personnelles pour le compte de WPM, au sens de l'article 28 du RGPD. La liste actuelle des sous-traitants figure à la Section 8 de la présente Politique.

Utilisateur

Toute personne physique qui interagit avec la plateforme WPM, qu'elle soit enregistrée ou non, y compris les Couples, les Prestataires, les employés des Prestataires, les employés des entreprises partenaires de WPM, les journalistes, les régulateurs et les visiteurs occasionnels du site public.

Utilisateur-Couple

Personne physique qui crée un compte WPM avec le rôle « Couple ».

Utilisateur-Prestataire

Personne physique qui crée un compte WPM avec le rôle « Prestataire », « Vendor-Admin » ou tout autre rôle côté Prestataire, que ce soit en son nom propre ou pour le compte de l'entreprise Prestataire dont elle est employée, mandataire, dirigeante ou représentante.

Données de catégories particulières

Données personnelles des catégories énumérées à l'article 9, paragraphe 1, du RGPD (données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale ; données génétiques ; données biométriques aux fins d'identifier une personne physique de manière unique ; données concernant la santé ; données concernant la vie sexuelle ou l'orientation sexuelle). WPM ne collecte pas délibérément de Données de catégories particulières ; lorsque de telles données sont collectées de manière incidente (par exemple, des informations sur les pratiques religieuses divulguées volontairement par un Utilisateur-Couple dans le cadre de la planification de mariage), elles sont traitées uniquement sur la base juridique du consentement explicite au titre de l'article 9, paragraphe 2, point a), et uniquement aux fins strictes pour lesquelles elles ont été fournies.

5. Bases légales par activité de traitement

Chaque activité de traitement effectuée par WPM repose sur une ou plusieurs des bases légales énoncées à l'article 6, paragraphe 1, du RGPD (et, lorsque des Données de catégories particulières sont en jeu, à l'article 9, paragraphe 2). Le tableau suivant indique, pour chaque activité principale, les catégories de données traitées, la finalité, la base légale et la durée de conservation.

5.1 Création de compte et authentification

Catégories de données : identifiants (adresse email, mot de passe haché, identifiant OAuth lorsque applicable), données de profil (nom, rôle, préférence linguistique). Finalité : créer et maintenir le compte, authentifier l'Utilisateur à chaque session, permettre la récupération du compte. Base légale : exécution d'un contrat au titre de l'article 6, paragraphe 1, point b) (le contrat étant les Conditions générales d'utilisation auxquelles l'Utilisateur a adhéré). Durée de conservation : pour la durée du compte plus trente (30) jours après la demande de suppression, puis suppression définitive (sous réserve de la Section 10).

5.2 Espace de planification de mariage (Utilisateurs-Couples)

Catégories de données : éléments de planification fournis volontairement par l'Utilisateur-Couple (date du mariage, nombre d'invités, fourchettes budgétaires, préférences de lieux, shortlists de prestataires, éléments de checklist, notes, documents téléchargés, photographies téléchargées). Finalité : fournir l'espace de planification et les fonctionnalités transversales achetées par l'Utilisateur-Couple. Base légale : exécution d'un contrat au titre de l'article 6, paragraphe 1, point b). Durée de conservation : pour la durée du compte ; les données de planification sont purgées dans les soixante (60) jours suivant la suppression du compte.

5.3 Profil prestataire et routage de briefs

Catégories de données : identifiants commerciaux (raison sociale, siège social, identifiant fiscal le cas échéant), données de capacité (services proposés, capacité, langues), grilles tarifaires (lorsque divulguées volontairement). Finalité : exploiter le Vendor Portal, router les briefs de couples anonymisés vers les Prestataires pertinents, soutenir les flux de devis. Base légale : exécution d'un contrat au titre de l'article 6, paragraphe 1, point b), et intérêt légitime de WPM au titre de l'article 6, paragraphe 1, point f), à exploiter un catalogue éditorial de prestataires.

5.4 Recherche et publication éditoriales

Catégories de données : identifiants commerciaux et personnels des Planners et Prestataires faisant l'objet d'un examen éditorial, déclarations attribuées faites par les Couples-clients lors d'entretiens structurés, observations attribuées faites lors de Visites sur site. Finalité : rechercher, rédiger, vérifier les faits et publier les Contenus éditoriaux. Base légale : intérêt légitime de WPM au titre de l'article 6, paragraphe 1, point f), à publier un journalisme exact de protection des consommateurs, mis en balance avec les droits et libertés des Sujets, et le cas échéant la liberté d'expression et d'information au titre de l'article 11 de la Charte des droits fondamentaux de l'Union européenne et de l'exemption journalistique codifiée à l'article 85 du RGPD.

5.5 Facturation et traitement des paiements

Catégories de données : nom, adresse de facturation, pays, montant de la transaction, devise, identifiant d'Abonnement. Catégories non collectées directement par WPM : numéro de carte, expiration de carte, code de sécurité de carte, coordonnées bancaires (collectées et traitées par Paddle en tant que notre Merchant of Record). Finalité : traiter l'achat d'Abonnement, émettre les factures, détecter et prévenir la fraude. Base légale : exécution d'un contrat au titre de l'article 6, paragraphe 1, point b), et respect d'une obligation légale (droit fiscal et comptable) au titre de l'article 6, paragraphe 1, point c).

5.6 Courriels transactionnels et de sécurité

Catégories de données : adresse email, nom, événements de compte (connexion, réinitialisation du mot de passe, événement de facturation, événement de sécurité). Finalité : envoyer des communications transactionnelles et de sécurité essentielles au fonctionnement du compte. Base légale : exécution d'un contrat au titre de l'article 6, paragraphe 1, point b).

5.7 Communications marketing (opt-in)

Catégories de données : adresse email, préférence linguistique, mesures d'engagement aux campagnes. Finalité : envoyer des communications marketing ou de mises à jour produit aux Utilisateurs ayant donné leur consentement. Base légale : consentement au titre de l'article 6, paragraphe 1, point a). Retrait du consentement : chaque courriel marketing contient un lien de désabonnement en un clic ; le consentement peut également être retiré à tout moment en écrivant à privacy@weddingplannermarrakech.com ou en activant le commutateur de consentement marketing dans les paramètres du compte de l'Utilisateur.

5.8 Analyse produit et amélioration du service

Catégories de données : identifiants pseudonymes d'appareil et de session, événements de pages vues, événements d'utilisation de fonctionnalités, métriques de performance. Finalité : mesurer l'utilisation, détecter les défauts techniques, informer les priorités de développement produit. Base légale : intérêt légitime de WPM au titre de l'article 6, paragraphe 1, point f), à exploiter et améliorer la plateforme, mis en balance avec les intérêts de confidentialité des Utilisateurs et mis en œuvre avec des paramètres préservant la vie privée par défaut (pas de pistage intersites, pas d'identifiants publicitaires tiers, troncature de l'adresse IP activée lorsque le fournisseur d'analyse le permet).

6. Catégories de données personnelles

WPM traite les catégories suivantes de données personnelles, selon la nature de l'interaction de l'Utilisateur avec la plateforme : (i) identifiants de compte (adresse email, mot de passe haché, identifiant OAuth lorsque l'Utilisateur se connecte avec Google) ; (ii) données de profil (nom d'affichage, rôle, préférence linguistique, photo de profil si téléchargée volontairement) ; (iii) données de planification de mariage saisies volontairement par les Utilisateurs-Couples (date du mariage, nombre d'invités, fourchettes budgétaires, préférences de lieux, shortlists, éléments de checklist, notes, fichiers téléchargés, photographies) ; (iv) contenu des communications (messages dans la plateforme, réponses par email, demandes de support) ; (v) données commerciales du Prestataire (raison sociale, siège social, identifiant fiscal le cas échéant, données de capacité, grilles tarifaires, actifs de portfolio) ; (vi) données de recherche éditoriale (transcriptions et enregistrements audio attribués d'entretiens avec les Couples-clients, observations enregistrées lors des Visites sur site, preuves documentaires collectées pour les Audits) ; (vii) données de facturation (nom, adresse de facturation, pays, montant de la transaction, identifiant d'Abonnement) ; (viii) données d'appareil, de session et d'événements (identifiant pseudonyme d'appareil, identifiant de session, événements de pages vues, événements d'utilisation de fonctionnalités, métriques de performance, adresse IP tronquée lorsque pris en charge, chaîne user-agent).

7. Sources des données personnelles

WPM obtient des données personnelles auprès des sources suivantes : (i) directement auprès de la personne concernée, lorsque celle-ci crée un compte, complète un profil, alimente des espaces de planification, envoie un message ou interagit autrement avec la plateforme ; (ii) auprès des registres publics (le Registre du Commerce et des Sociétés du Royaume du Maroc et registres étrangers équivalents) pour les identifiants commerciaux des Prestataires ; (iii) auprès d'entretiens attribués accordés volontairement par des tiers (Couples-clients, anciens employés, fournisseurs) dans le cadre de la recherche éditoriale ; (iv) auprès des Visites sur site conduites conformément à notre Politique éditoriale ; (v) auprès des fournisseurs d'authentification (Google, lorsque l'Utilisateur se connecte avec Google), limité aux revendications OAuth expressément autorisées par l'Utilisateur lors du flux de connexion ; (vi) auprès de Paddle, à l'égard de la charge utile d'événement de facturation renvoyée à WPM après une transaction d'Abonnement.

8. Destinataires et sous-traitants

WPM engage les sous-traitants suivants, chacun étant lié par un accord écrit de traitement des données conforme à l'article 28 du RGPD. Le lieu de traitement, le rôle, les catégories de données traitées et le mécanisme de transfert (le cas échéant) sont indiqués ci-dessous. WPM met à jour cette liste chaque fois qu'un sous-traitant est ajouté, retiré ou remplacé ; les personnes concernées qui ont consenti à recevoir des communications transactionnelles peuvent choisir de recevoir notification des changements de sous-traitants par email.

Vercel Inc.

Rôle : hébergement et diffusion en périphérie mondiale du site et de l'API WPM. Lieu de traitement principal : États-Unis, avec traitement en périphérie dans plusieurs juridictions, dont l'Union européenne. Catégories de données : toutes les catégories transitant par le site et l'API. Mécanisme de transfert : Clauses contractuelles types adoptées par la Commission européenne (Décision 2021/914), complétées par des mesures techniques et organisationnelles supplémentaires telles que recommandées par le Comité européen de la protection des données.

Neon (base de données Postgres)

Rôle : hébergement de base de données Postgres gérée pour les données applicatives. Lieu de traitement principal : Union européenne (région Francfort). Catégories de données : identifiants de compte, données de profil, données de planification de mariage, données commerciales des Prestataires, contenu des communications, références de facturation. Mécanisme de transfert : les données résident au sein de l'Espace économique européen ; aucun transfert vers un pays tiers dans le cours normal des activités.

Sanity.io

Rôle : système de gestion de contenu headless pour le contenu éditorial. Lieu de traitement principal : Union européenne et États-Unis. Catégories de données : contenu éditorial (Contenus éditoriaux et médias associés), données commerciales limitées des Prestataires reflétées depuis la base opérationnelle. Mécanisme de transfert : Clauses contractuelles types (Décision 2021/914), telles que complétées.

Paddle.com Market Limited

Rôle : Merchant of Record pour tous les Abonnements payants ; sous-traitant des données de carte et bancaires ; émetteur des factures. Lieu de traitement principal : Royaume-Uni et Union européenne. Catégories de données : nom, adresse de facturation, pays, données de moyen de paiement (numéro de carte, expiration de carte, code de sécurité de carte, coordonnées bancaires), montant de la transaction, devise. Paddle agit en tant que responsable du traitement à l'égard des données de moyen de paiement et en tant que sous-traitant à l'égard de la charge utile de facturation renvoyée à WPM. Mécanisme de transfert : décision d'adéquation Royaume-Uni (Décision d'exécution (UE) 2021/1772) pour les transferts vers le Royaume-Uni ; Clauses contractuelles types lorsqu'un transfert ultérieur en dehors de l'EEE ou du Royaume-Uni a lieu.

PostHog Inc.

Rôle : analyse produit. Lieu de traitement principal : Union européenne (instance UE, région Francfort). Catégories de données : identifiants pseudonymes d'appareil et de session, événements de pages vues, événements d'utilisation de fonctionnalités, métriques de performance, adresse IP tronquée. Mécanisme de transfert : les données résident au sein de l'Espace économique européen ; aucun transfert vers un pays tiers dans le cours normal des activités.

Resend, Inc.

Rôle : envoi d'emails transactionnels et marketing. Lieu de traitement principal : Union européenne et États-Unis. Catégories de données : adresse email, nom, corps de l'email, événements de remise et d'ouverture. Mécanisme de transfert : Clauses contractuelles types (Décision 2021/914), telles que complétées.

Cloudflare, Inc.

Rôle : DNS, réseau de diffusion de contenu, protection contre le déni de service distribué. Lieu de traitement principal : infrastructure de périphérie distribuée mondialement. Catégories de données : métadonnées de connexion (adresse IP, URL de la requête, statut de la réponse, chaîne user-agent). Mécanisme de transfert : Clauses contractuelles types le cas échéant ; la liste publiée des emplacements certifiés de traitement des données de Cloudflare s'applique.

Google LLC (connexion uniquement)

Rôle : authentification OAuth 2.0 pour les Utilisateurs qui se connectent avec Google. Lieu de traitement principal : infrastructure Google distribuée mondialement. Catégories de données : identifiant OAuth, nom, adresse email, photographie de profil (uniquement les revendications expressément autorisées par l'Utilisateur lors de la connexion). Mécanisme de transfert : Clauses contractuelles types (Décision 2021/914), telles que complétées par les conditions publiées de Google.

9. Transferts internationaux de données

Lorsque des données personnelles sont transférées en dehors de l'Espace économique européen, WPM s'appuie sur un ou plusieurs des mécanismes de transfert énoncés au chapitre V du RGPD (articles 44 à 49). En particulier, WPM s'appuie sur (i) les décisions d'adéquation adoptées par la Commission européenne au titre de l'article 45 du RGPD (y compris la Décision d'exécution (UE) 2021/1772 à l'égard du Royaume-Uni et la Décision d'exécution (UE) 2023/1795 à l'égard des États-Unis dans le cadre du EU-US Data Privacy Framework, lorsque le destinataire est certifié au titre de ce cadre) ; (ii) les Clauses contractuelles types adoptées par la Commission européenne dans la Décision (UE) 2021/914 du 4 juin 2021, lorsque l'adéquation n'est pas disponible ; (iii) les mesures supplémentaires recommandées par le Comité européen de la protection des données dans ses Recommandations 01/2020 sur les mesures qui complètent les outils de transfert, lorsque l'évaluation indique que des mesures supplémentaires sont nécessaires. Toute personne concernée peut obtenir copie de la documentation pertinente du mécanisme de transfert en écrivant à privacy@weddingplannermarrakech.com.

10. Durées de conservation

WPM ne conserve les données personnelles que pour la durée nécessaire aux finalités pour lesquelles elles sont traitées, conformément à l'article 5, paragraphe 1, point e), du RGPD. Les durées de conservation suivantes s'appliquent.

• 10.1 Données de compte : pour la durée du compte ; suppression dans les trente (30) jours suivant une demande de suppression vérifiée, sous réserve des dérogations de conservation légale énoncées ci-dessous.
• 10.2 Données de planification de mariage : pour la durée du compte plus soixante (60) jours suivant la suppression, après quoi toutes les données de planification sont purgées.
• 10.3 Messages dans la plateforme : pour la durée du compte plus quatre-vingt-dix (90) jours suivant la suppression, afin de permettre d'étayer tout litige ou plainte ouverts.
• 10.4 Données de facturation : pendant dix (10) ans à compter de la date de la transaction concernée, en conformité avec les obligations comptables et fiscales de conservation applicables au Maroc et dans les juridictions européennes pertinentes de fourniture.
• 10.5 Données de recherche éditoriale (transcriptions d'entretiens, notes de Visite sur site, preuves documentaires collectées pour les Audits) : pour les durées énoncées à la Section 4 de notre Politique éditoriale (minimum cinq ans pour les preuves de Niveau 2, minimum sept ans pour les preuves de Niveau 1).
• 10.6 Journaux d'accès au serveur et journaux de sécurité : pendant quatre-vingt-dix (90) jours à compter de la création, sauf pour les journaux pertinents pour un incident de sécurité ou une enquête juridique, qui sont conservés pendant la durée de l'incident plus deux (2) ans.
• 10.7 Enregistrements de préférences de cookies et trackers : pendant treize (13) mois à compter de la date d'enregistrement de la préférence, conformément aux orientations de la CNIL française (Délibération n° 2020-091).
• 10.8 Enregistrements de consentement marketing : tant que le consentement est en vigueur plus trente-six (36) mois après le retrait, afin de permettre la conservation de la preuve du consentement et de son retrait conformément à l'article 7, paragraphe 1, du RGPD.

11. Mesures de sécurité

Conformément à l'article 32 du RGPD, WPM met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Ces mesures comprennent (sans limitation) : chiffrement des données personnelles en transit au moyen du protocole Transport Layer Security 1.2 ou supérieur ; chiffrement des données personnelles au repos dans notre base de données Postgres gérée et notre stockage objet ; utilisation de bcrypt ou équivalent pour le hachage des mots de passe ; principe du moindre privilège pour l'accès aux systèmes de production ; authentification multi-facteur pour tout accès administratif ; revue trimestrielle des privilèges d'accès ; journalisation des actions administratives ; tests périodiques de restauration des sauvegardes de base de données ; procédure documentée de réponse aux incidents ; revue périodique des postures de sécurité des sous-traitants ; ségrégation des données de production et de hors-production ; pseudonymisation et minimisation des données personnelles dans les environnements hors production ; utilisation de composants open source et propriétaires bien maintenus et bénéficiant d'un support de sécurité ; publication d'un fichier security.txt à /.well-known/security.txt pour faciliter la divulgation responsable des vulnérabilités. WPM réexamine ces mesures au moins annuellement et les met à jour en réponse aux évolutions de l'état de l'art et du paysage des risques.

12. Droits des personnes concernées

Aux termes des articles 15 à 22 du RGPD (et des dispositions analogues de la Loi 09-08), les personnes concernées disposent des droits suivants, qui peuvent être exercés gratuitement en écrivant à privacy@weddingplannermarrakech.com. WPM répond aux demandes vérifiées dans un délai d'un (1) mois à compter de la réception, avec la possibilité de prolonger la période de deux (2) mois supplémentaires si nécessaire, compte tenu de la complexité et du nombre de demandes, conformément à l'article 12, paragraphe 3, du RGPD.

• 12.1 Droit d'accès (article 15). Le droit d'obtenir la confirmation que des données personnelles vous concernant sont ou non traitées et, lorsqu'elles le sont, l'accès à ces données et aux informations énumérées à l'article 15, paragraphe 1, du RGPD.
• 12.2 Droit de rectification (article 16). Le droit d'obtenir la rectification des données personnelles inexactes et l'achèvement des données personnelles incomplètes.
• 12.3 Droit à l'effacement (article 17). Le droit d'obtenir l'effacement des données personnelles sans retard injustifié lorsque l'un des motifs de l'article 17, paragraphe 1, s'applique. Le droit à l'effacement est soumis aux exceptions de l'article 17, paragraphe 3, en particulier lorsque le traitement est nécessaire à l'exercice du droit à la liberté d'expression et d'information (article 17, paragraphe 3, point a)) et à la constatation, à l'exercice ou à la défense de droits en justice (article 17, paragraphe 3, point e)).
• 12.4 Droit à la limitation du traitement (article 18). Le droit d'obtenir la limitation du traitement lorsque l'un des motifs de l'article 18, paragraphe 1, s'applique.
• 12.5 Droit à la portabilité des données (article 20). Le droit de recevoir les données personnelles vous concernant que vous avez fournies à WPM, dans un format structuré, couramment utilisé et lisible par machine, et le droit de transmettre ces données à un autre responsable du traitement sans que WPM y fasse obstacle, lorsque le traitement est fondé sur le consentement ou sur un contrat et est effectué à l'aide de procédés automatisés.
• 12.6 Droit d'opposition (article 21). Le droit de s'opposer, pour des motifs tenant à votre situation particulière, à tout moment au traitement de données personnelles vous concernant fondé sur l'article 6, paragraphe 1, point e) ou f), y compris au profilage fondé sur ces dispositions. Le droit d'opposition au traitement à des fins de prospection directe est absolu et peut être exercé à tout moment.
• 12.7 Droit de ne pas faire l'objet d'une décision automatisée (article 22). Le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire, sous réserve des exceptions de l'article 22, paragraphe 2.
• 12.8 Droit de retrait du consentement (article 7, paragraphe 3). Lorsque le traitement est fondé sur le consentement, le droit de retirer ce consentement à tout moment. Le retrait n'affecte pas la licéité du traitement fondé sur le consentement avant le retrait.

13. Droit d'introduire une réclamation auprès d'une autorité de contrôle

Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle, en particulier dans l'État membre de sa résidence habituelle, de son lieu de travail ou du lieu de la violation alléguée, conformément à l'article 77 du RGPD. Les personnes concernées au Maroc peuvent introduire une réclamation auprès de la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP), conformément à l'article 18 de la Loi 09-08. Les personnes concernées en France peuvent saisir la Commission Nationale de l'Informatique et des Libertés (CNIL) ; en Espagne l'Agencia Española de Protección de Datos (AEPD) ; en Italie le Garante per la protezione dei dati personali ; en Belgique l'Autorité de protection des données / Gegevensbeschermingsautoriteit ; en Irlande la Data Protection Commission ; et ainsi de suite pour chaque État membre. WPM prend au sérieux l'introduction de toute réclamation, coopère pleinement avec les autorités de contrôle et utilise tout retour reçu pour améliorer ses opérations de traitement.

14. Décisions automatisées et profilage

WPM ne prend aucune décision fondée exclusivement sur un traitement automatisé, au sens de l'article 22, paragraphe 1, du RGPD, produisant des effets juridiques pour la personne concernée ou l'affectant de manière significative de façon similaire. Les notes éditoriales publiées à l'égard des Planners et Prestataires sont produites selon la méthodologie énoncée aux Sections 7 et 8 de notre Politique éditoriale et sont examinées et approuvées par l'Équipe éditoriale WPM avant publication ; elles ne sont pas le résultat d'une décision automatisée au sens de l'article 22. Le rapprochement des Prestataires pour les briefs de couples est assisté par un logiciel qui filtre et classe les candidats par rapport aux critères du brief, mais l'inclusion finale d'un Prestataire dans la shortlist routée est soumise à un contrôle éditorial lorsque l'algorithme de rapprochement est matériellement incertain.

15. Données des enfants

La plateforme WPM est destinée à un usage par des adultes âgés d'au moins dix-huit (18) ans. WPM ne collecte pas sciemment de données personnelles d'enfants. Lorsque les lois de la résidence habituelle de la personne concernée fixent un seuil d'âge différent pour le consentement parental relatif aux services de la société de l'information offerts à un enfant (seize (16) ans au titre de l'article 8 du RGPD, avec la possibilité pour les États membres d'abaisser le seuil à treize (13) ans), WPM refusera l'inscription de tout Utilisateur indiquant un âge inférieur au seuil applicable. Lorsque WPM prend connaissance du fait que des données personnelles d'un enfant ont été traitées en violation de la présente Section 15, les données sont supprimées sans retard injustifié.

16. Cookies et technologies de suivi équivalentes

La présente Section énonce les cookies, entrées de stockage local et technologies de suivi équivalentes (collectivement les « traceurs ») utilisés par WPM. Le placement et la lecture de traceurs sur l'appareil de l'Utilisateur sont conformes à l'article 5, paragraphe 3, de la Directive 2002/58/CE (la « Directive ePrivacy ») et aux orientations d'application des autorités nationales pertinentes, y compris la Délibération n° 2020-091 du 17 septembre 2020 de la CNIL française. Les traceurs strictement nécessaires sont placés sans consentement préalable ; tous les autres traceurs ne sont placés qu'après que l'Utilisateur a donné un consentement libre, spécifique, éclairé et univoque par l'intermédiaire de la bannière de consentement.

16.1 Strictement nécessaires

Traceurs sans lesquels la plateforme WPM ne peut fonctionner correctement : identifiant de session (pour maintenir la session authentifiée de l'Utilisateur), jeton CSRF (pour protéger contre la falsification de requête intersites), préférence linguistique (pour servir le contenu localisé correct), enregistrement de consentement (pour mémoriser les décisions de consentement aux traceurs de l'Utilisateur). Base légale : article 5, paragraphe 3, deuxième phrase, Directive ePrivacy (exemption strictement nécessaire). Conservation : durée de la session ou jusqu'à treize (13) mois pour l'enregistrement de consentement.

16.2 Fonctionnels

Traceurs qui améliorent l'expérience de l'Utilisateur sans être strictement nécessaires : préférence de thème, mémoire du dernier outil visité, drapeaux de masquage dans l'application. Base légale : consentement au titre de l'article 5, paragraphe 3, Directive ePrivacy. Conservation : jusqu'à douze (12) mois.

16.3 Analyse

Traceurs utilisés pour mesurer l'utilisation et détecter les défauts techniques, déposés par PostHog (instance UE). Base légale : consentement au titre de l'article 5, paragraphe 3, Directive ePrivacy (ou, lorsque l'outil d'analyse est configuré d'une manière qui répond aux critères d'exemption de la CNIL pour la mesure d'audience, l'exemption strictement nécessaire). Conservation : jusqu'à treize (13) mois.

16.4 Marketing et publicité

WPM ne dépose pas de traceurs marketing ou publicitaires tiers dans le cours normal des activités. Si un tel traceur devait être introduit à l'avenir, l'Utilisateur se verrait présenter une bannière de consentement actualisée avant le placement du traceur.

17. Notification des violations de données personnelles

WPM a mis en place des procédures pour détecter, documenter et répondre aux violations de données personnelles au sens de l'article 4, point 12), du RGPD. Lorsqu'une violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, WPM notifie l'autorité de contrôle compétente dans les soixante-douze (72) heures après en avoir pris connaissance, conformément à l'article 33, paragraphe 1, du RGPD. Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, WPM communique la violation aux personnes concernées affectées sans retard injustifié, conformément à l'article 34 du RGPD, en termes clairs et simples et en utilisant les canaux de contact enregistrés. WPM documente toute violation de données personnelles, y compris ses faits, ses effets et l'action corrective, conformément à l'article 33, paragraphe 5.

18. Mises à jour de la présente Politique

WPM peut mettre à jour la présente Politique de confidentialité de temps à autre pour refléter les changements de ses opérations de traitement, du paysage juridique ou de l'infrastructure technique. Les changements matériels (changements qui, selon l'évaluation raisonnable de WPM, affectent les droits des personnes concernées ou les catégories de données traitées) sont communiqués aux Utilisateurs enregistrés par email au moins trente (30) jours avant la prise d'effet. Les changements non matériels (corrections typographiques, clarifications, références) sont effectués en continu et reflétés dans le numéro de version et la date de dernière mise à jour en tête de la présente Politique. L'historique complet des versions est conservé et peut être consulté sur demande écrite à privacy@weddingplannermarrakech.com.

19. Contact

Toutes les questions relatives à la présente Politique de confidentialité, toutes les demandes d'exercice des droits des personnes concernées, toutes les plaintes et toutes les demandes des autorités de contrôle doivent être adressées à privacy@weddingplannermarrakech.com. WPM accuse réception de toute demande dans un délai de cinq (5) jours ouvrables et y répond sur le fond dans les délais énoncés dans la présente Politique.