Le responsable de traitement.
CRYPTASEC est une société de droit marocain. Les éléments d'immatriculation (raison sociale, RC, ICE, IF, siège) figurent dans nos mentions légales.
Nous opérons un Centre Opérationnel de Sécurité (SOC) souverain et fournissons des services managés de détection, réponse à incident et conformité. Dans le cadre de notre activité commerciale et de l'exploitation de ce site, nous traitons des données à caractère personnel en qualité de responsable de traitement.
Pour les données de nos clients que nous traitons dans le cadre de prestations SOC (logs, événements de sécurité, métadonnées réseau), nous agissons en qualité de sous-traitant au sens de la Loi 09-08. Le cadre contractuel applicable est défini dans l'Accord de Sous-Traitance (DPA) annexé à chaque contrat de service, distinct des présentes CGU.
L'autorité de contrôle compétente est la Commission Nationale de protection des Données à caractère Personnel (CNDP). CRYPTASEC est en cours d'enregistrement auprès de la CNDP en tant que responsable de traitement et sous-traitant pour ses activités MDR. Une fois l'enregistrement effectif, le numéro CNDP sera publié sur cette page.
Ce que nous collectons, et rien d'autre.
Nous collectons strictement les données nécessaires aux finalités annoncées. Aucune donnée n'est collectée à des fins publicitaires ou de revente.
Données collectées via le formulaire de contact
Le formulaire de contact du site recueille exclusivement les sept champs que vous nous communiquez de votre propre initiative :
- nom : votre identité (nom et prénom)
- fonction : votre rôle dans l'organisation
- email : adresse professionnelle pour vous répondre
- téléphone : facultatif, pour un rappel direct si vous le souhaitez
- raison sociale : nom de votre entreprise
- effectif : taille approximative de l'organisation
- message : le contenu libre que vous nous adressez
Conservation : les prospects sont conservés tant que la relation commerciale reste active. Sur demande adressée à contact@cryptasec.com, suppression effective sous 30 jours.
Données techniques de connexion
- Adresse IP : conservée 30 jours au maximum dans les journaux techniques du serveur (lutte contre les abus, journal d'audit sécurité).
- Horodatage : date et heure de soumission du formulaire, dans le but exclusif de retracer l'audit de sécurité du site.
Aucun cookie, aucun traceur tiers, aucun fingerprinting du navigateur ne sont déposés (voir §08).
Candidatures (page Carrières)
- Candidatures : nom, email, CV, lettre de motivation, profil LinkedIn ou GitHub si fourni volontairement. Conservation 2 ans · suppression sur demande.
Données traitées dans le cadre des prestations SOC
Lorsque CRYPTASEC opère un SOC pour le compte d'un client, les données de télémétrie collectées (logs, événements, métadonnées réseau, indicateurs de compromission) font l'objet d'un Accord de Sous-Traitance (DPA) signé séparément. Ces données ne quittent jamais le territoire marocain et ne sont jamais transmises à notre sous-traitant de délivrance courriel ni à aucun autre acteur hors du Maroc. Le périmètre exact, les sources et la nature des données traitées sont définis contractuellement dans la fiche de traitement annexée à chaque contrat de service.
Pourquoi nous traitons vos données.
| Finalité | Base légale | Conservation |
|---|---|---|
| Réponse aux demandes de contact / devis | Mesures précontractuelles à la demande de la personne concernée | 3 ans après dernier contact |
| Recrutement | Mesures précontractuelles · consentement | 2 ans · suppression sur demande |
| Mesure d'audience anonymisée | Intérêt légitime | 14 mois maximum |
| Détection & réponse à incident (clients) | Exécution du contrat · obligation légale (sectoriel) | Selon contrat · 12 à 36 mois |
| Conformité légale & comptable | Obligation légale | 10 ans (livre comptable) |
Pas plus longtemps que nécessaire.
Au terme des durées indiquées en §03, les données sont soit supprimées de manière irréversible, soit anonymisées (suppression de tout identifiant direct ou indirect permettant le rattachement à une personne physique).
Pour les logs de sécurité opérationnels, les durées par défaut sont les suivantes, sauf stipulation contractuelle plus longue exigée par la réglementation sectorielle du client (banque, assurance, opérateur d'importance vitale) :
- Logs bruts · 90 jours en accès chaud, 12 mois en accès froid chiffré.
- Alertes & tickets d'incident · 36 mois (justifications post-mortem, audits CNDP).
- Rapports CISO · durée du contrat + 5 ans.
- Données forensiques d'incident · scellées juridiquement, durée fixée par instruction.
Un seul sous-traitant. Aucune revente.
Nous ne vendons aucune donnée personnelle. Nous limitons strictement nos sous-traitants à ce qui est indispensable au fonctionnement du site et du formulaire de contact. Un seul sous-traitant intervient, pour la délivrance des courriels générés par notre formulaire de contact :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Sous-traitant de délivrance courriel | Délivrance du courriel généré par notre formulaire de contact. La donnée transférée se limite aux champs que vous nous communiquez de votre propre initiative dans le formulaire (nom, fonction, email, téléphone le cas échéant, raison sociale, effectif, message). Ce transfert ne concerne jamais les données de télémétrie de nos clients SOC/MDR, qui ne quittent jamais le Maroc. | Union européenne |
La mesure d'audience du site est auto-hébergée sur notre propre infrastructure au Maroc et n'implique aucun sous-traitant tiers.
Hébergement infrastructure : datacenter situé en territoire marocain, à Rabat (voir §06).
Nous pouvons être amenés à divulguer des données aux autorités judiciaires ou administratives marocaines sur réquisition légalement formée, et uniquement dans la stricte limite de cette réquisition.
100 % au Maroc.
Le site cryptasec.com et l'instance de mesure d'audience anonyme qui l'accompagne sont hébergés exclusivement dans un datacenter situé en territoire marocain, à Rabat. Les sauvegardes utilisent un stockage objet en territoire marocain avec chiffrement côté serveur natif (SSE-C) et clés détenues dans notre coffre-fort de secrets interne ; aucune copie ne quitte le datacenter marocain.
Pour les prestations SOC/MDR opérées pour le compte d'un client, l'ensemble des données de télémétrie est hébergé exclusivement sur le territoire marocain. Aucune copie, aucune sauvegarde, aucun journal d'audit ne quitte le territoire national. C'est conforme à la Loi 09-08 et c'est inscrit en clause résolutoire dans nos contrats clients.
Seule exception encadrée : les coordonnées que vous nous transmettez via le formulaire de contact transitent par notre sous-traitant de délivrance courriel (Union européenne) pour la délivrance du courriel (voir §05). Ce flux ne concerne jamais les données de télémétrie de nos clients SOC/MDR.
Vous gardez le contrôle.
Conformément à la loi 09-08, vous disposez à tout moment des droits suivants sur les données qui vous concernent :
- Accès : obtenir copie des données vous concernant, dans un format structuré et lisible.
- Rectification : corriger des données inexactes, incomplètes ou périmées.
- Suppression : droit à l'oubli, sous réserve des obligations légales de conservation.
- Opposition : vous opposer au traitement pour motif légitime.
- Limitation : geler temporairement le traitement de vos données.
- Portabilité : récupérer vos données dans un format ouvert et réutilisable.
- Réclamation : saisir directement la CNDP : cndp.ma
Toute demande est traitée sous 30 jours calendaires maximum. Nous accusons réception sous 48 h ouvrées et vous communiquons l'identité du chargé de dossier.
Notre engagement.
La sécurité de vos données est notre métier. À ce titre, nous appliquons à notre propre infrastructure les mêmes standards que ceux que nous opérons pour nos clients :
- Chiffrement systématique au repos et en transit, à l'état de l'art.
- Authentification multi-facteur obligatoire pour toute administration.
- Cloisonnement réseau, journalisation immuable.
En cas de violation de données impliquant un risque pour vos droits et libertés, nous notifions la CNDP sous 72 h et informons les personnes concernées sans délai injustifié, conformément à l'article 30 de la loi 09-08.
Une question ? Une demande ?
Pour exercer vos droits (accès, rectification, suppression, opposition, portabilité) ou pour toute question relative à la présente politique, écrivez à notre référent protection des données. Vous disposez par ailleurs d'un recours possible auprès de la CNDP.
contact@cryptasec.com : demandes relatives à vos données personnelles.
Réponse sous 30 jours calendaires.
Cette politique est susceptible d'évoluer. Toute évolution substantielle fait l'objet d'une notification préalable. L'historique des versions est conservé et consultable sur demande écrite.