Politique de confidentialite

NexAI (« nous », « NexOps ») s'engage a proteger la vie privee de ses utilisateurs. La presente politique decrit comment nous collectons, utilisons, stockons et protegeons vos donnees personnelles lorsque vous utilisez la plateforme NexOps.

Nous respectons la loi marocaine 09-08 relative a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel, sous le controle de la Commission Nationale de controle de la protection des Donnees a caractere Personnel (CNDP), ainsi que le Reglement General sur la Protection des Donnees (RGPD - Reglement UE 2016/679) pour nos clients europeens.

NexOps est une plateforme SaaS multi-tenant. Au sens de la loi 09-08 et du RGPD, deux roles coexistent :

• Le Client (Patron / etablissement souscripteur) agit comme responsable de traitementpour les donnees de ses employes (pointage, taches, planning, scores). Il determine les finalites de l'usage operationnel.
• NexAI agit comme sous-traitant technique pour le compte du Client, et comme responsable de traitementpour ses propres donnees (comptes, facturation, journaux d'audit, supports).

Coordonnees du sous-traitant :

• NexAI, representee par Stefan Arnoux, Co-fondateur
• Siege social : 11, rue El Wahda, Residence « Imam Ali », Appartement n°2, Casablanca, Maroc
• Telephone : +212 701-945191
• Email general : contact@nexops.ma
• Email protection des donnees : dpo@nexops.ma

Declaration CNDP : le traitement effectue par NexAI est declare aupres de la Commission Nationale de controle de la Protection des Donnees a caractere Personnel (CNDP) conformement a la loi 09-08 et au decret n° 2-09-165. Numero de recepisse : en cours d'attribution (declaration deposee le 03/04/2026). Les Clients agissant comme responsables de traitement restent tenus de proceder a leurs propres declarations CNDP pour le traitement des donnees de leurs employes lorsque la loi l'exige.

Nous collectons les categories de donnees suivantes :

3.1 Donnees d'identification

• Nom complet, adresse email, numero de telephone
• Photo de profil (facultative)
• Role au sein de l'organisation (patron, manager, employe)
• Poste occupe et departement

3.2 Donnees de geolocalisation

• Coordonnees GPS au moment du pointage (horodatees)
• Verification de presence dans le perimetre de l'etablissement (geofence)
• Adresse MAC WiFi de l'etablissement (alternative au GPS)

Important: la geolocalisation n'est collectee qu'au moment precis du pointage (entree/sortie), jamais en continu. L'employe est informe a chaque collecte par un indicateur visuel dans l'application.

3.3 Donnees d'activite professionnelle

• Horaires de pointage (entree, sortie, pauses)
• Taches assignees, completees, en retard
• Scores de performance et classement
• Plannings et shifts
• Demandes de conge et soldes
• Participation aux inventaires

3.4 Donnees de communication

• Messages publies dans le feed d'equipe
• Messages dans le chat d'equipe
• Commentaires et reactions

3.5 Donnees techniques

• Adresse IP, type de navigateur, systeme d'exploitation
• Journaux de connexion et d'audit
• Cookies de session (strictement fonctionnels)

Conformement aux articles 4 et 12 de la loi 09-08, vos donnees sont traitees uniquement sur la base d'un fondement legal explicite :

• Execution du contrat (art. 12-2) : gestion des comptes, pointage, planning, taches, inventaires, abonnement et facturation.
• Obligation legale (art. 12-3) : tenue des registres du personnel, droit du travail, conformite HACCP et tracabilite alimentaire, obligations fiscales et comptables.
• Consentement prealable, explicite et revocable (art. 4-i, art. 12-1) : geolocalisation au moment du pointage, photo de profil, scoring de performance affiche sur le leaderboard.
• Sauvegarde d'un interet vital ou execution d'une mission d'interet public (art. 12-4 et 12-5) : ne s'applique pas pour la plupart des traitements operationnels.

Le caractere obligatoire ou facultatif de chaque champ est indique a la collecte : les champs marques d'un asterisque (*) sont necessaires a l'execution du service. Les autres champs (photo de profil, telephone, biographie) sont facultatifs et leur non-renseignement n'empeche pas l'utilisation de la Plateforme.

NexOps applique le principe de souverainete des donnees : les donnees operationnelles sont hebergees dans la region geographique du Client.

• Clients marocains : donnees hebergees chez Supabase Inc. (infrastructure AWS), region Europe la plus proche (Paris — eu-west-3). Conformement aux articles 43 et 44 de la loi 09-08, ce transfert vers un Etat assurant un niveau de protection adequat est encadre par : (i) un Data Processing Agreement (DPA) avec Supabase incluant les clauses contractuelles types, (ii) la declaration prealable a la CNDP de ce flux transfrontalier, (iii) le chiffrement au repos AES-256 et en transit TLS 1.3.
• Clients europeens : donnees hebergees dans l'Union europeenne (Paris — eu-west-3), conformement au chapitre V du RGPD.

Sous-traitants accessoires hors Maroc : certains traitements limites font intervenir des sous-traitants situes a l'etranger :

• Vercel Inc. (USA) : hebergement du site marketing et CDN. Aucune donnee personnelle de production n'est stockee chez Vercel ; seuls les journaux d'acces transitoires (IP, user-agent) y transitent.
• Anthropic PBC (USA) : traitement IA des requetes de l'assistant et de la verification de taches. Les donnees envoyees sont minimisees et pseudonymisees ; Anthropic est sous DPA et ne reutilise pas les donnees pour entrainer ses modeles (Zero Data Retention activee).

Ces transferts vers les Etats-Unis sont autorises sur la base : (i) du consentement explicite recueilli a l'activation de l'assistant IA, (ii) des clauses contractuelles types signees avec chaque sous-traitant, (iii) de la declaration faite a la CNDP. Le Client peut a tout moment desactiver les fonctionnalites IA pour eviter tout transfert vers Anthropic.

• Donnees de compte : conservees pendant toute la duree de la relation contractuelle, puis 12 mois apres la suppression du compte
• Donnees de pointage et timesheet : 5 ans (obligation legale droit du travail)
• Donnees de geolocalisation : 12 mois
• Journaux d'audit : 3 ans
• Donnees HACCP : 5 ans (obligation reglementaire hygiene alimentaire)
• Messages du feed et chat : duree de la relation contractuelle

Vos donnees personnelles ne sont jamais vendues a des tiers. Elles peuvent etre partagees avec :

• Votre employeur (le patron et/ou manager de votre etablissement) : dans le cadre strict de la gestion operationnelle (presence, taches, planning)
• Sous-traitants techniques : Supabase (hebergement), Vercel (CDN et deploiement), Anthropic (traitement IA - donnees anonymisees)

Tous nos sous-traitants sont lies par des clauses contractuelles garantissant un niveau de protection adequat des donnees.

Nous mettons en oeuvre les mesures suivantes :

• Chiffrement des communications en transit (TLS 1.3)
• Chiffrement des donnees au repos (AES-256)
• Isolation des donnees par organisation et etablissement (Row Level Security)
• Authentification par email/mot de passe avec hachage bcrypt
• Revocation immediate des sessions en cas de suspension de compte
• Journal d'audit immutable pour toute action sensible
• Sauvegardes automatiques quotidiennes

Conformement a la loi 09-08 et au RGPD, vous disposez des droits suivants :

• Droit d'acces : obtenir une copie de vos donnees personnelles
• Droit de rectification : corriger des donnees inexactes ou incompletes
• Droit de suppression : demander l'effacement de vos donnees (sous reserve des obligations legales de conservation)
• Droit d'opposition : vous opposer au traitement de vos donnees pour motif legitime
• Droit a la portabilite : recevoir vos donnees dans un format structure et lisible (RGPD)
• Droit a la limitation : demander la restriction du traitement dans certains cas

Pour exercer vos droits, contactez-nous a dpo@nexops.ma. Nous repondrons dans un delai de 30 jours.

Clients marocains : vous pouvez egalement adresser une reclamation a la CNDP - www.cndp.ma

Clients europeens: vous pouvez adresser une reclamation a l'autorite de protection des donnees de votre pays de residence.

NexOps utilise uniquement des cookies strictement necessairesau fonctionnement de l'application :

• Cookie de session : authentification de l'utilisateur (expire a la deconnexion)
• Cookie de preferences : etablissement selectionne (persiste 30 jours)

Aucun cookie publicitaire, analytique ou de tracking tiers n'est utilise. Aucun consentement n'est donc requis pour ces cookies essentiels conformement a la directive ePrivacy et a la loi 09-08.

NexOps utilise des algorithmes et de l'intelligence artificielle pour :

• Calculer automatiquement les scores de ponctualite, performance et presence affiches sur le leaderboard.
• Verifier par IA les preuves photo associees aux taches HACCP (controles temperature, hygiene, etc.).
• Extraire les donnees structurees des factures et tickets via reconnaissance optique IA.
• Repondre aux questions de l'assistant IA NexOps (modeles de langage Anthropic).

Aucune decision produisant des effets juridiques ou affectant significativement l'Utilisateur(sanction disciplinaire, licenciement, refus d'embauche, augmentation salariale) n'est prise par la seule IA. Toute decision RH reste sous la responsabilite exclusive du Client ; l'IA n'intervient qu'a titre d'outil d'aide a la decision.

L'Utilisateur dispose du droit : (i) de demander des explications sur la logique sous-jacente aux scores le concernant, (ii) de contester un verdict IA et demander une revue humaine, (iii) de refuser de figurer sur le leaderboard public.

NexOps peut etre utilise par des apprentis ou stagiaires mineurs employes dans des etablissements CHR. Conformement a la loi 09-08 :

• Pour les Utilisateurs de moins de 18 ans, le consentement au traitement de la geolocalisation et a l'affichage du score sur le leaderboard doit etre obtenu aupres du representant legal.
• Le Client est responsable de la collecte et de la conservation de ces consentements parentaux.
• NexAI ne collecte ni ne traite sciemment de donnees de mineurs de moins de 16 ans.

En cas de violation de donnees personnelles susceptible d'engendrer un risque pour les droits et libertes des personnes concernees, NexAI s'engage a : (i) notifier la CNDP dans les meilleurs delais, (ii) informer le Client concerne dans un delai de 72 heures, (iii) documenter la violation dans son registre interne.

Nous nous reservons le droit de modifier la presente politique a tout moment. En cas de modification substantielle, les utilisateurs seront informes par notification dans l'application. La date de derniere mise a jour est indiquee en haut de cette page.

Pour toute question relative a la protection de vos donnees personnelles :

• Email : dpo@nexops.ma
• Courrier : NexAI - 11, rue El Wahda, Casablanca, Maroc