Politique de Confidentialite

Nolloi (ci-apres "Nolloi", "nous", "notre" ou "la Societe") est une societe de technologie enregistree dans l'Etat du Wyoming, Etats-Unis, operant a l'international. Nolloi developpe et exploite une plateforme de receptionniste intelligente propulsee par l'intelligence artificielle, specialisee dans la gestion des appels telephoniques, des messages WhatsApp et des conversations de chat en ligne pour les entreprises et professionnels. Notre mission est de garantir que chaque appelant, client ou patient recoit une reponse rapide, professionnelle et confidentielle, 24 heures sur 24, 7 jours sur 7. La presente Politique de Confidentialite s'applique a toutes les personnes qui visitent notre site web nolloi.com, utilisent nos tableaux de bord ou API, interagissent avec nos services IA en tant qu'utilisateur final, ou nouent une relation contractuelle avec nous en tant que client professionnel.

• "Donnees Personnelles" : toute information se rapportant a une personne physique identifiee ou identifiable, au sens de l'article 1er de la Loi 09-08 et de l'article 4 du RGPD.
• "Traitement" : toute operation ou ensemble d'operations effectuees sur des Donnees Personnelles, qu'elles soient automatisees ou non, incluant la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication, la diffusion, le rapprochement, la limitation, l'effacement ou la destruction.
• "Responsable du traitement" : la personne physique ou morale qui determine les finalites et les moyens du Traitement des Donnees Personnelles. Nolloi agit en qualite de Responsable du traitement pour ses propres operations (site web, marketing, facturation).
• "Sous-traitant" : la personne physique ou morale qui traite des Donnees Personnelles pour le compte du Responsable du traitement. Nolloi agit en qualite de Sous-traitant lorsqu'elle traite les Donnees Client pour le compte de ses clients professionnels.
• "Donnees Client" : l'ensemble des donnees que nos clients professionnels (cliniques, cabinets medicaux) soumettent a la plateforme Nolloi ou qui sont generees dans le cadre de l'utilisation du Service, incluant les coordonnees de patients, les enregistrements et transcriptions d'appels, les messages WhatsApp, les rendez-vous et les metadonnees associees.
• "Donnees de Patients" : sous-ensemble des Donnees Client constitue des informations relatives aux patients des cliniques clientes, incluant les noms, numeros de telephone, motifs de consultation et historique des interactions.
• "Sorties IA" : les reponses, transcriptions, resumes, classifications et recommandations generes par nos systemes d'intelligence artificielle lors du traitement des interactions.
• "Cookies" : petits fichiers de donnees places sur votre appareil par notre site web pour stocker des informations de navigation, de preferences ou d'identification.
• "Sous-traitant ulterieur" : tout prestataire tiers auquel Nolloi fait appel pour traiter des Donnees Personnelles dans le cadre de la fourniture du Service.
• "Service" : l'ensemble des services fournis par Nolloi, incluant le receptionniste vocal IA, le receptionniste WhatsApp IA, le chat IA, les tableaux de bord, les API et les outils associes.
• "CNDP" : la Commission Nationale de controle de la protection des Donnees a caractere Personnel, autorite de controle marocaine creee par la Loi 09-08.
• "PHI" (Protected Health Information) : information de sante protegee au sens de la loi HIPAA americaine, applicable uniquement dans le cadre d'un BAA signe.

• Fournir, maintenir, securiser et ameliorer le Service, y compris la reception et le traitement des appels, messages WhatsApp et conversations de chat ;
• Transcrire, resumer, classifier, router et repondre aux interactions des patients via nos modeles d'intelligence artificielle ;
• Mesurer et optimiser la performance du Service (temps de reponse, taux de deflection, taux de reservation, qualite des transferts vers le personnel de la clinique) ;
• Detecter, prevenir et attenuer les activites frauduleuses, les abus, les tentatives d'injection de prompts et les menaces de securite ;
• Fournir l'assistance technique, la formation et les notifications de service a nos clients professionnels ;
• Analyser l'utilisation de nos services de maniere agregee et anonymisee afin de developper de nouvelles fonctionnalites et d'ameliorer notre technologie ;
• Nous conformer aux obligations legales, reglementaires et contractuelles applicables, faire respecter nos Conditions d'Utilisation et proteger nos droits, notre propriete et notre securite ;
• Produire des statistiques agregees et anonymisees (indicateurs de performance sectoriels, temps de reponse moyens) qui ne permettent jamais de re-identifier une personne physique ;
• Administrer notre comptabilite, notre facturation et nos obligations fiscales ;
• Gerer nos communications marketing (exclusivement sur la base de votre consentement prealable).

Declaration formelle : NOLLOE LLC ne vend pas, ne loue pas, ne partage pas et ne met pas a disposition les Donnees Personnelles des patients ou des utilisateurs a des tiers a des fins publicitaires, commerciales ou de marketing. Nous ne divulguons jamais de Donnees Personnelles a des tiers a des fins de prospection commerciale de leur propre chef. Les donnees vocales et textuelles traitees par le systeme IA sont utilisees exclusivement pour fournir le Service et ne sont jamais utilisees pour entrainer des modeles d'intelligence artificielle. Toute etude de cas ou metrique publiee est prealablement anonymisee ou fait l'objet d'une autorisation expresse.

Notre Service repose sur des technologies d'intelligence artificielle pour traiter les interactions vocales, textuelles et de chat. Il est essentiel que vous compreniez comment ces technologies interagissent avec vos donnees :

• Traitement conversationnel : Nos modeles IA traitent en temps reel les appels telephoniques (via nos partenaires technologiques de voix IA, incluant ElevenLabs, Retell AI et prestataires equivalents), les messages WhatsApp et les conversations de chat pour comprendre les demandes, y repondre de maniere appropriee et, le cas echeant, router l'interaction vers un membre du personnel du Client.
• Transcription vocale : Les appels telephoniques sont transcrits automatiquement en texte. Les transcriptions sont stockees dans la base de donnees du client pour une duree limitee (voir Section 11 - Conservation) et sont accessibles au personnel autorise de la clinique.
• Pas d'entrainement sur les Donnees d'Utilisateurs Finaux : Nolloi n'utilise pas les Donnees d'Utilisateurs Finaux identifiables pour entrainer, affiner ou ameliorer ses modeles d'IA fondamentaux. Nous ne fournissons pas de donnees identifiables d'utilisateurs finaux a nos fournisseurs de modeles IA (ElevenLabs, Retell AI, OpenRouter) a des fins d'entrainement.
• Apprentissage agrege anonymise : Nous pouvons extraire des patterns structurels anonymises (schemas conversationnels, taux de resolution par type de demande, temps de reponse optimaux) a partir de l'ensemble des interactions traitees. Ces patterns ne contiennent aucune donnee permettant d'identifier un patient ou une clinique specifique et servent uniquement a ameliorer la performance globale du Service.
• Decisions automatisees : Notre IA prend des decisions automatisees concernant le routage des appels, la classification des demandes et la priorisation des urgences. Ces decisions sont systematiquement supervisees par notre systeme de surveillance automatise. Aucune decision automatisee ayant des effets juridiques ou significatifs sur une personne physique n'est prise sans intervention humaine.
• Fiabilite des Sorties IA : Les reponses generees par l'IA peuvent contenir des inexactitudes ou des informations incompletes. Nos clients professionnels sont responsables de la verification des Sorties IA avant toute action clinique ou medicale. L'IA ne fournit jamais de diagnostics medicaux, de prescriptions ou de conseils de sante.
• Traitement par des prestataires IA tiers : Le systeme utilise des modeles d'intelligence artificielle tiers (OpenRouter, Retell AI) pour traiter les communications. Ces prestataires agissent en tant que sous-traitants et sont contractuellement tenus de ne pas conserver, reutiliser ou partager les donnees traitees au-dela de la duree necessaire a la fourniture du service. Aucune donnee identifiable n'est transmise a ces prestataires a des fins d'entrainement, d'amelioration de leurs modeles ou toute autre finalite etrangere a la fourniture du Service.

Conformement a la Loi 09-08 (articles 3 et 4), au RGPD (article 6) et au CPRA, nous fondons nos traitements de Donnees Personnelles sur les bases legales suivantes :

• Necessite contractuelle (Loi 09-08, art. 3-c ; RGPD, art. 6.1.b) : Le traitement est necessaire a l'execution du contrat de service conclu avec nos clients professionnels, y compris la fourniture du receptionniste IA, la gestion des comptes et la facturation.
• Interets legitimes (Loi 09-08, art. 3-e ; RGPD, art. 6.1.f) : Le traitement est necessaire aux fins de nos interets legitimes, notamment l'amelioration de la qualite du Service, la prevention de la fraude et des abus, la securite de nos systemes, l'analyse de l'utilisation agregee et le developpement de nouvelles fonctionnalites. Nous veillons a ce que ces interets ne prevalent pas sur vos droits et libertes fondamentaux.
• Consentement (Loi 09-08, art. 3-a ; RGPD, art. 6.1.a) : Lorsque le traitement repose sur votre consentement (communications marketing, cookies analytiques et publicitaires, enregistrement d'appels dans certaines juridictions), vous disposez du droit de retirer votre consentement a tout moment sans que cela n'affecte la licite du traitement effectue avant le retrait.
• Obligation legale (Loi 09-08, art. 3-b ; RGPD, art. 6.1.c) : Le traitement est necessaire au respect d'une obligation legale a laquelle nous sommes soumis, notamment en matiere de comptabilite, de fiscalite, de lutte contre le blanchiment, de reponse aux requisitions judiciaires ou de notification d'incidents de securite.
• Interet vital (RGPD, art. 6.1.d) : Dans des circonstances exceptionnelles, le traitement peut etre necessaire a la sauvegarde des interets vitaux d'une personne, notamment dans le cadre du routage d'appels d'urgence medicale.

Nous pouvons partager des Donnees Personnelles avec les categories de destinataires suivantes, exclusivement dans les limites necessaires aux finalites decrites dans cette Politique :

• Clients professionnels : Nous transmettons les Donnees Client (transcriptions, messages, rendez-vous) aux cliniques et cabinets medicaux pour lesquels nous assurons la reception. Le client professionnel demeure le Responsable du traitement de ces donnees.
• Sous-traitants ulterieurs technologiques : Nous faisons appel a des prestataires tiers pour des fonctions specifiques (voir Section 9 pour la liste detaillee). Chaque sous-traitant est lie par des obligations contractuelles de confidentialite et de securite.
• Prestataires de paiement : Les informations de facturation sont transmises a Polar, notre prestataire de paiement, qui agit en qualite de Marchand Delegue et est soumis aux normes PCI-DSS.
• Autorites publiques et judiciaires : Nous pouvons divulguer des Donnees Personnelles lorsque la loi l'exige, en reponse a une requisition judiciaire, une ordonnance de tribunal, une demande de la CNDP, d'une autorite de protection des donnees de l'UE ou de toute autre autorite competente.
• Conseillers professionnels : Nos avocats, auditeurs et consultants en securite peuvent acceder a des Donnees Personnelles dans le cadre de leurs prestations, sous reserve d'obligations de confidentialite strictes.
• Parties a des operations societaires : En cas de fusion, acquisition, cession d'actifs, restructuration ou procedure d'insolvabilite, les Donnees Personnelles peuvent etre transferees a l'entite cessionnaire, sous reserve de garanties appropriees et de notification prealable.

Nous exigeons contractuellement de tous les destinataires qu'ils protegent les Donnees Personnelles avec un niveau de securite au moins equivalent au notre et qu'ils les utilisent exclusivement aux fins autorisees.

Nolloi fait appel aux sous-traitants ulterieurs suivants pour la fourniture du Service. Chaque sous-traitant est lie par un accord de traitement des donnees conforme aux exigences de la Loi 09-08 et du RGPD :

• ElevenLabs (Etats-Unis/UE) : Technologie vocale conversationnelle et synthese vocale. Traite les flux audio en temps reel pour la reconnaissance vocale et la generation de voix. Les donnees audio sont traitees en transit et ne sont pas conservees par ElevenLabs au-dela de la duree de la session.
• Retell AI (Etats-Unis) : Plateforme d'agents vocaux IA. Traite les appels telephoniques en temps reel, incluant la transcription vocale, la generation de reponses et la gestion des flux conversationnels. Les donnees d'appel sont traitees conformement aux engagements contractuels de confidentialite de Retell AI.
• Supabase (Union Europeenne) : Hebergement de la base de donnees PostgreSQL. Les Donnees Client sont stockees dans des centres de donnees situes dans l'Union Europeenne, beneficiant des garanties du RGPD.
• OpenRouter (Etats-Unis) : Passerelle d'acces aux modeles d'IA, acheminant les requetes vers des fournisseurs de modeles tiers incluant OpenAI (Etats-Unis). Traite les prompts et genere les reponses textuelles. Les donnees sont transmises de maniere chiffree et ne sont pas utilisees par OpenRouter ni par les fournisseurs de modeles sous-jacents pour l'entrainement de modeles, conformement aux engagements contractuels en vigueur.
• Meta Platforms (Etats-Unis/Irlande) : Analytics et mesure publicitaire via le Pixel Meta et l'API Conversions (CAPI). Collecte des donnees de navigation anonymisees et des evenements de conversion.
• Google LLC (Etats-Unis) : Google Analytics pour la mesure de l'audience du site web. Google Drive pour les sauvegardes chiffrees des donnees operationnelles. Google Calendar pour la synchronisation des rendez-vous.
• Polar (Etats-Unis) : Traitement des paiements et gestion des abonnements. Certifie PCI-DSS.
• Evolution API (auto-heberge) : Passerelle WhatsApp Business API. Heberge sur nos propres serveurs, aucune donnee transmise a des tiers.
• Resend (Etats-Unis) : Service d'envoi d'emails transactionnels. Traite les adresses email des destinataires et le contenu des messages pour la delivrabilite.
• DocuSeal (auto-heberge) : Plateforme de signature electronique pour les contrats de service. Traite les noms, adresses email, informations contractuelles et signatures electroniques des clients professionnels. Heberge sur nos propres serveurs, aucune donnee transmise a des tiers.
• Titan Email / Hostinger (Union Europeenne) : Service d'hebergement de messagerie professionnelle. Traite les emails entrants et sortants, incluant les adresses email et le contenu des correspondances.
• DIDlogic (Pays-Bas) : Operateur de telephonie SIP/PSTN. Fournit l'infrastructure telephonique pour les appels entrants et sortants du receptionniste vocal IA. Traite les metadonnees d'appel (numeros de telephone, duree, horodatages).

Processus de gestion : Avant d'engager un nouveau sous-traitant ulterieur, nous realisons une evaluation de ses pratiques de securite et de protection des donnees. Chaque sous-traitant est lie par un accord de traitement des donnees incluant des clauses de confidentialite, de securite, de notification d'incidents et de cooperation pour l'exercice des droits des personnes concernees. Nous notifions nos clients professionnels de tout changement de sous-traitant ulterieur au minimum trente (30) jours avant sa mise en oeuvre effective, leur permettant de formuler des objections motivees.

Du fait de la localisation de certains de nos sous-traitants, des Donnees Personnelles peuvent etre transferees en dehors du Maroc et de l'Espace Economique Europeen. Nous mettons en oeuvre les garanties suivantes :

• Transferts Maroc vers UE : Les donnees hebergees par Supabase sont stockees dans l'Union Europeenne. L'UE est reconnue comme offrant un niveau de protection adequat par la CNDP.
• Transferts vers les Etats-Unis : Pour les sous-traitants bases aux Etats-Unis (ElevenLabs, Retell AI, OpenRouter, Google, Meta, Polar, Resend), nous nous appuyons sur les Clauses Contractuelles Types (CCT) adoptees par la Commission Europeenne (decision d'execution 2021/914) et, le cas echeant, sur le Data Privacy Framework UE-Etats-Unis.
• Transferts vers le Royaume-Uni : Le cas echeant, nous utilisons l'Addendum UK aux CCT conformement aux exigences de l'ICO.
• Mesures supplementaires : En complement des garanties juridiques, nous mettons en oeuvre des mesures techniques supplementaires incluant le chiffrement des donnees en transit (TLS 1.3) et au repos (AES-256), la pseudonymisation lorsque possible, et la minimisation des donnees transferees.
• Evaluations d'impact : Nous realisons des evaluations de l'impact des transferts (Transfer Impact Assessments) pour les sous-traitants situes dans des pays ne beneficiant pas d'une decision d'adequation, conformement aux recommandations du Comite Europeen de la Protection des Donnees (CEPD).

Nous conservons les Donnees Personnelles uniquement pendant la duree strictement necessaire aux finalites pour lesquelles elles ont ete collectees. Les periodes de conservation sont les suivantes :

• Conversations et messages (WhatsApp, chat) : douze (12) mois a compter de la derniere interaction, puis suppression automatique ou anonymisation. Configurable par le client professionnel.
• Enregistrements audio d'appels : six (6) mois a compter de l'enregistrement, puis suppression automatique. Configurable par le client professionnel selon les exigences reglementaires applicables.
• Transcriptions d'appels : douze (12) mois a compter de la creation, puis suppression automatique ou anonymisation.
• Donnees d'analytics et de mesure de performance : vingt-quatre (24) mois, puis agregation et anonymisation.
• Sauvegardes chiffrees : douze (12) mois. Les sauvegardes sont chiffrees au repos (AES-256) et en transit (TLS 1.3).
• Donnees de compte professionnel : pour la duree du contrat, puis trois (3) ans apres la resiliation ou la fin de la relation contractuelle (delai de prescription legale marocain).
• Donnees de facturation et comptables : dix (10) ans conformement aux obligations comptables et fiscales marocaines (Code General des Impots, art. 211) et au Code de Commerce (art. 22).
• Donnees de consentement (preuves) : cinq (5) ans a compter du retrait du consentement ou de la derniere interaction.
• Journaux de securite et d'audit : trois (3) ans, puis suppression.

A l'expiration des periodes de conservation, les Donnees Personnelles sont supprimees de maniere securisee ou irreversiblement anonymisees. Les clients professionnels peuvent demander la suppression anticipee de leurs Donnees Client a tout moment, sous reserve des obligations legales de conservation.

Nolloi met en oeuvre des mesures de securite techniques, administratives et organisationnelles conformes aux normes industrielles et aux exigences de la Loi 09-08 (article 23) et du RGPD (article 32) :

• Chiffrement en transit : toutes les communications sont protegees par TLS 1.3. Les connexions WebSocket vers les services vocaux sont egalement chiffrees.
• Chiffrement au repos : les bases de donnees et les sauvegardes sont chiffrees avec AES-256.
• Authentification et controle d'acces : authentification multi-facteurs (MFA) obligatoire pour les comptes administrateurs, principe du moindre privilege, gestion des cles API avec rotation reguliere.
• Journalisation et surveillance : journalisation complete des acces, des modifications de donnees et des evenements de securite. Surveillance en temps reel des anomalies.
• Securite des applications : protection contre les injections de prompts (17 patterns de detection), protection CSRF, en-tetes de securite HTTP (HSTS, X-Frame-Options, X-Content-Type-Options, CSP), limitation de debit (rate limiting).
• Securite des webhooks : authentification par token (HMAC) pour chaque webhook, validation de l'origine des requetes.
• Tests de securite : evaluations regulieres de vulnerabilites, audits de code et tests d'intrusion par des prestataires independants.
• Plan de reponse aux incidents : procedure documentee de detection, confinement, eradication, recuperation et analyse post-incident (voir Section 23 - Notification de Violation).
• Separation des environnements : les environnements de developpement, de test et de production sont strictement separes. Les donnees de production ne sont jamais utilisees dans les environnements de test.
• Securite du personnel : les employes et sous-traitants ayant acces aux Donnees Personnelles sont soumis a des obligations de confidentialite et suivent une formation reguliere en matiere de protection des donnees.

Malgre ces mesures, aucun systeme de securite n'est infaillible. En cas de decouverte d'une vulnerabilite ou d'un incident de securite, veuillez nous contacter immediatement a security@nolloi.com.

En application de la Loi 09-08 relative a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel, vous disposez des droits suivants :

• Droit d'information (art. 5) : Vous avez le droit d'etre informe de l'existence d'un traitement, de ses finalites, des categories de donnees traitees, des destinataires et de la duree de conservation. La presente Politique vise a satisfaire cette obligation.
• Droit d'acces (art. 7) : Vous pouvez obtenir la confirmation que des Donnees Personnelles vous concernant sont ou ne sont pas traitees, ainsi qu'une copie de ces donnees dans un format intelligible.
• Droit de rectification (art. 8) : Vous pouvez demander la rectification de vos Donnees Personnelles lorsqu'elles sont inexactes, incompletes ou equivoques.
• Droit de suppression (arts. 8-9) : Vous pouvez demander la suppression de vos Donnees Personnelles lorsqu'elles ne sont plus necessaires aux finalites du traitement, sous reserve des obligations legales de conservation.
• Droit d'opposition (art. 9) : Vous pouvez vous opposer, pour des motifs legitimes, au traitement de vos Donnees Personnelles, sauf lorsque le traitement est impose par la loi ou est necessaire a l'execution d'un contrat.
• Plaintes aupres de la CNDP : Vous avez le droit de deposer une plainte aupres de la Commission Nationale de controle de la protection des Donnees a caractere Personnel (CNDP), autorite de controle marocaine, a l'adresse suivante : CNDP, Angle Boulevard Annakhil et Avenue Mehdi Ben Barka, Hay Riad, Rabat, Maroc. Site web : www.cndp.ma.

Si vous etes situe dans l'Espace Economique Europeen ou au Royaume-Uni, vous beneficiez des droits supplementaires suivants en vertu du Reglement General sur la Protection des Donnees (RGPD) :

• Droit d'acces (art. 15) : Vous pouvez obtenir une copie de vos Donnees Personnelles, accompagnee d'informations sur les finalites, les categories, les destinataires, la duree de conservation et l'existence de droits.
• Droit de rectification (art. 16) : Vous pouvez demander la correction de donnees inexactes ou incompletes.
• Droit a l'effacement (art. 17) : Vous pouvez demander la suppression de vos donnees lorsque le traitement n'est plus necessaire, lorsque vous retirez votre consentement, ou lorsque le traitement est illicite.
• Droit a la limitation du traitement (art. 18) : Vous pouvez demander la limitation du traitement dans certaines circonstances, notamment lorsque l'exactitude des donnees est contestee.
• Droit a la portabilite (art. 20) : Vous pouvez recevoir vos Donnees Personnelles dans un format structure, couramment utilise et lisible par machine, et les transmettre a un autre responsable du traitement.
• Droit d'opposition (art. 21) : Vous pouvez vous opposer au traitement fonde sur l'interet legitime ou sur une mission d'interet public, y compris le profilage. En cas d'opposition au traitement a des fins de prospection, le traitement cesse immediatement.
• Droits relatifs aux decisions automatisees (art. 22) : Vous avez le droit de ne pas faire l'objet d'une decision fondee exclusivement sur un traitement automatise produisant des effets juridiques ou vous affectant de maniere significative. Des mecanismes de controle garantissent une intervention humaine dans les processus automatises.
• Droit de retrait du consentement : Lorsque le traitement repose sur votre consentement, vous pouvez le retirer a tout moment sans que cela n'affecte la licite du traitement anterieur.
• Droit de recours : Vous pouvez deposer une reclamation aupres de l'autorite de protection des donnees de votre pays de residence dans l'UE/EEE.

Si vous etes un resident de Californie ou d'un autre Etat americain disposant d'une legislation de protection de la vie privee (Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana, etc.), vous disposez des droits suivants :

• Droit de connaissance et d'acces : Vous pouvez demander a connaitre les categories et les elements specifiques de Donnees Personnelles que nous avons collectes a votre sujet au cours des douze derniers mois, les sources de collecte, les finalites commerciales et les categories de tiers auxquels nous les avons divulguees.
• Droit de suppression : Vous pouvez demander la suppression de vos Donnees Personnelles, sous reserve de certaines exceptions legales (transactions en cours, obligations legales, securite, exercice de droits juridiques).
• Droit de correction : Vous pouvez demander la correction de Donnees Personnelles inexactes.
• Droit a la portabilite : Vous pouvez recevoir vos Donnees Personnelles dans un format portable et facilement utilisable.
• Droit de limiter l'utilisation des donnees sensibles : Si nous traitions des informations personnelles sensibles au-dela de ce qui est necessaire a la fourniture du Service, vous pourriez demander la limitation de cette utilisation. En pratique, nous ne traitons pas de donnees sensibles a des fins secondaires.
• Droit d'opt-out de la vente ou du partage : Nolloi ne vend pas et ne partage pas vos Donnees Personnelles a des fins de publicite comportementale intercontextuelle au sens du CPRA. Si cette pratique venait a changer, nous vous fournirions un mecanisme d'opt-out conforme.
• Droit a la non-discrimination : Nous ne vous discriminerons pas pour l'exercice de vos droits en matiere de vie privee (pas de refus de service, de tarification differente ou de niveau de service inferieur).

Notre site web nolloi.com utilise des cookies et des technologies similaires pour assurer son bon fonctionnement, mesurer son audience et optimiser nos campagnes marketing. Les categories de cookies utilises sont les suivantes :

• Cookies strictement necessaires : Indispensables au fonctionnement du site (gestion de session, securite CSRF, preferences de consentement). Ils ne peuvent pas etre desactives. Base legale : interet legitime.
• Cookies fonctionnels : Permettent de personnaliser votre experience (langue, preferences d'affichage, etat du chat). Base legale : interet legitime.
• Cookies analytiques : Google Analytics (identifiant de propriete G-DF0DNNZ7R5) collecte des donnees anonymisees sur la frequentation, les pages visitees, les sources de trafic et le comportement de navigation. Les adresses IP sont anonymisees. Base legale : consentement.
• Cookies marketing et de mesure : Le Pixel Meta et l'API Conversions (CAPI) cote serveur mesurent l'efficacite de nos campagnes publicitaires Facebook/Instagram. Les evenements serveur (CAPI) fonctionnent sans cookies cote client pour une mesure plus fiable et respectueuse de la vie privee. Base legale : consentement.

Vous pouvez gerer vos preferences en matiere de cookies de plusieurs manieres. Via notre banniere de consentement : lors de votre premiere visite, une banniere vous permet d'accepter ou de refuser les cookies analytiques et marketing. Vous pouvez modifier vos choix a tout moment en cliquant sur le lien "Gerer les cookies" en bas de page. Via les parametres de votre navigateur : vous pouvez configurer votre navigateur pour bloquer ou supprimer les cookies. Notez que le blocage de certains cookies peut affecter le fonctionnement du site. Via les mecanismes d'opt-out des tiers : Google Analytics (tools.google.com/dlpage/gaoptout), Meta (facebook.com/adpreferences). Le refus des cookies analytiques et marketing n'affecte pas votre acces au site ni au Service.

Nous ne repondons pas aux signaux Do Not Track (DNT) transmis par les navigateurs, car il n'existe pas de norme industrielle uniforme pour leur interpretation. En revanche, nous respectons les signaux Global Privacy Control (GPC) lorsque la legislation applicable l'exige. Lorsqu'un signal GPC est detecte depuis un navigateur californien, nous le traitons comme une demande valide d'opt-out de la vente et du partage de Donnees Personnelles au sens du CPRA. Ce choix est applique au niveau du navigateur. Si vous souhaitez l'appliquer a l'ensemble de votre compte, veuillez nous contacter a privacy@nolloi.com.

Nous vous envoyons des communications marketing uniquement sur la base de votre consentement prealable explicite, conformement a l'article 10 de la Loi 09-08, a l'article 7 du RGPD et a la Loi marocaine 31-08 sur la protection du consommateur. Vous pouvez vous desinscrire a tout moment en cliquant sur le lien de desinscription present dans chaque email marketing, en repondant STOP a nos SMS, ou en nous ecrivant a privacy@nolloi.com. Nous traiterons votre demande dans un delai maximum de dix (10) jours ouvrables. Les communications transactionnelles et de service (confirmations de commande, notifications de securite, mises a jour du Service, alertes de facturation) ne sont pas concernees par la desinscription et continueront a etre envoyees tant que vous disposez d'un compte actif.

Le Service Nolloi est destine exclusivement aux entreprises et professionnels, ainsi qu'a leurs clients et utilisateurs finaux. Il n'est pas concu pour etre utilise par des personnes de moins de dix-huit (18) ans. Nous ne collectons pas sciemment de Donnees Personnelles concernant des mineurs de moins de 18 ans. Si nous decouvrons que nous avons collecte par inadvertance des Donnees Personnelles d'un mineur, nous procederons a leur suppression dans les meilleurs delais. Si vous etes un parent ou un tuteur et que vous pensez que votre enfant nous a fourni des Donnees Personnelles, veuillez nous contacter a privacy@nolloi.com afin que nous puissions prendre les mesures necessaires.

Lorsque le Service est utilise dans un contexte reglemente (sante, juridique, financier ou tout autre secteur manipulant des donnees sensibles), des donnees pouvant etre qualifiees de donnees sensibles au sens de l'article 1er de la Loi 09-08 et de l'article 9 du RGPD peuvent etre traitees. Les garanties supplementaires suivantes s'appliquent dans ce cas :

• Qualification et base legale : Lorsque le Service est utilise dans un contexte medical, les informations relatives aux motifs de consultation, aux symptomes mentionnes lors des appels et aux rendez-vous medicaux constituent des donnees sensibles au sens de l'article 4 de la Loi 09-08. Leur traitement est fonde sur le consentement explicite de la personne concernee ou sur la necessite liee a la gestion de services de sante (art. 4-f de la Loi 09-08 ; art. 9.2.h du RGPD), sous la responsabilite du professionnel de sante (client Nolloi). Pour les autres secteurs reglementes, le Client est responsable d'identifier la base legale appropriee au traitement des donnees sensibles propres a son activite.
• Autorisation CNDP : Conformement a l'article 21 de la Loi 09-08, le traitement de donnees sensibles peut etre soumis a une autorisation prealable de la CNDP. Nos clients professionnels, en tant que Responsables du traitement, sont tenus d'obtenir les autorisations requises par la reglementation applicable pour les traitements qu'ils effectuent via notre plateforme.
• Interdiction de commercialisation : Les Donnees d'Utilisateurs Finaux ne sont jamais vendues, louees, partagees a des fins marketing, utilisees pour le ciblage publicitaire ou mises a disposition de tiers a des fins etrangeres a la fourniture du Service. Cette interdiction est absolue et irrevocable.
• Pas d'entrainement sur les donnees sensibles : Nolloi n'utilise pas les donnees sensibles identifiables pour entrainer, affiner ou ameliorer ses modeles d'IA. Seules des statistiques agregees et anonymisees (temps de reponse moyen par categorie, taux de reservation par creneau horaire) peuvent etre derivees de ces donnees.
• Secret professionnel : Les employes et sous-traitants de Nolloi ayant acces aux Donnees d'Utilisateurs Finaux sont soumis a des obligations strictes de confidentialite. Lorsque le Service est utilise dans un contexte medical, ces obligations sont equivalentes a celles prevues par les articles 446 du Code Penal marocain et 4 de la Loi 131-13 relative a l'exercice de la medecine.
• Protocole d'urgence : Lorsque notre receptionniste IA detecte une situation d'urgence (medicale ou autre selon la configuration du Client), l'appel est immediatement route vers le personnel du Client ou les services d'urgence competents, sans stockage prolonge des donnees de la conversation d'urgence au-dela de ce qui est strictement necessaire.

En cas de violation de Donnees Personnelles (acces non autorise, perte, destruction ou divulgation non prevue), Nolloi s'engage a appliquer le protocole suivant :

1. Notification au client professionnel : dans un delai de vingt-quatre (24) heures suivant la confirmation de la violation, nous notifions le client professionnel concerne par email et via le tableau de bord, en lui communiquant la nature de la violation, les categories et le nombre approximatif de personnes concernees, les consequences probables et les mesures prises ou envisagees.
2. Notification a la CNDP : dans un delai de soixante-douze (72) heures suivant la prise de connaissance de la violation, conformement a l'article 33 du RGPD et aux recommandations de la CNDP, nous notifions l'autorite de controle competente, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertes des personnes concernees.
3. Notification aux personnes concernees : lorsque la violation est susceptible d'engendrer un risque eleve pour les droits et libertes des personnes concernees, conformement a l'article 34 du RGPD, nous informons ces personnes dans les meilleurs delais en leur communiquant la nature de la violation, les donnees concernees, les mesures de protection recommandees et les coordonnees de notre point de contact.
4. Mesures correctives : nous mettons immediatement en oeuvre les mesures de confinement, d'eradication et de recuperation necessaires, realisons une analyse post-incident, et adaptons nos mesures de securite pour prevenir la recurrence.
5. Documentation : chaque incident fait l'objet d'un registre detaille incluant les faits, les effets, les mesures correctives et les enseignements tires, conserve pendant cinq (5) ans.

Nous pouvons modifier la presente Politique de Confidentialite pour refleter l'evolution de nos pratiques, de nos services ou de la legislation applicable. En cas de modification substantielle, nous vous en informerons au moins trente (30) jours avant la date d'effet par email (si vous disposez d'un compte) ou par publication d'un avis bien visible sur notre site web. Les modifications non substantielles (clarifications, corrections typographiques) prennent effet des leur publication. La date de derniere mise a jour est indiquee en haut de cette Politique. Votre utilisation continue du Service apres la date d'effet des modifications constitue votre acceptation de la Politique modifiee. Si vous n'acceptez pas les modifications, vous devez cesser d'utiliser le Service et nous contacter pour la suppression de vos donnees.

NOLLOE LLC (Nolloi)
Attn : Direction de la Protection des Donnees Personnelles
Agadir, Maroc

Email confidentialite : privacy@nolloi.com
Email securite : security@nolloi.com

Entite americaine : NOLLOE LLC, Sheridan, Wyoming, Etats-Unis

Compte tenu de la nature des donnees que nous traitons (donnees de sante), Nolloi a designe un point de contact dedie pour les questions relatives a la protection des donnees personnelles. Ce referent est joignable a l'adresse privacy@nolloi.com. Il est charge de veiller au respect de la presente Politique, de conseiller la direction sur les obligations legales, de cooperer avec la CNDP et les autorites de protection des donnees competentes, et de repondre a vos demandes relatives a l'exercice de vos droits. Si notre activite ou notre volumetrie de donnees l'exige a l'avenir, nous procederons a la designation formelle d'un Delegue a la Protection des Donnees (DPO) au sens de l'article 37 du RGPD.

Selon votre lieu de residence, vous pouvez adresser une reclamation aux autorites de controle suivantes :

• Maroc : Commission Nationale de controle de la protection des Donnees a caractere Personnel (CNDP), Angle Boulevard Annakhil et Avenue Mehdi Ben Barka, Hay Riad, Rabat. Site web : www.cndp.ma. Telephone : +212 5 37 57 11 24.
• Union Europeenne : l'autorite de protection des donnees de votre pays de residence. La liste complete est disponible sur le site du Comite Europeen de la Protection des Donnees (edpb.europa.eu).
• Royaume-Uni : Information Commissioner's Office (ICO), Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF. Site web : ico.org.uk.
• Californie (Etats-Unis) : California Privacy Protection Agency (CPPA), 2101 Arena Blvd, Sacramento, CA 95834. Site web : cppa.ca.gov. Vous pouvez egalement contacter le Procureur General de Californie.
• France : Commission Nationale de l'Informatique et des Libertes (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07. Site web : www.cnil.fr.

Le present resume synthetise les termes essentiels de l'Accord de Traitement des Donnees que nous concluons avec chacun de nos clients professionnels. Le DPA complet est disponible sur demande a privacy@nolloi.com.

• Roles : Le client professionnel est le Responsable du traitement des Donnees de Patients. Nolloi est le Sous-traitant qui traite les Donnees de Patients exclusivement selon les instructions documentees du client.
• Limitation des finalites : Nolloi traite les Donnees Client uniquement aux fins de la fourniture du Service tel que decrit dans le contrat. Tout traitement supplementaire requiert l'accord ecrit prealable du client.
• Sous-traitants ulterieurs : Nolloi tient a jour une liste de ses sous-traitants ulterieurs (cf. Section 9). Toute modification est notifiee au client trente (30) jours a l'avance, avec droit d'opposition motive.
• Securite : Nolloi met en oeuvre les mesures techniques et organisationnelles decrites a la Section 12, y compris le chiffrement, le controle d'acces, la journalisation et la gestion des vulnerabilites.
• Notification de violation : Nolloi notifie le client dans un delai de vingt-quatre (24) heures suivant la confirmation d'une violation de Donnees Personnelles.
• Assistance : Nolloi assiste le client pour repondre aux demandes d'exercice des droits des personnes concernees, pour la realisation d'analyses d'impact (AIPD) et pour les consultations prealables avec les autorites de controle.
• Retour et suppression des donnees : A la resiliation du contrat ou sur demande du client, Nolloi restitue l'ensemble des Donnees Client dans un format standard (JSON, CSV) et procede a leur suppression securisee de ses systemes dans un delai de trente (30) jours, sous reserve des obligations legales de conservation.
• Transferts internationaux : Les transferts en dehors de l'EEE sont encadres par les Clauses Contractuelles Types (CCT) et, le cas echeant, par l'Addendum UK. Des mesures techniques supplementaires sont mises en oeuvre conformement aux recommandations du CEPD.
• Audits : Le client dispose d'un droit d'audit annuel des pratiques de Nolloi en matiere de protection des donnees, sous reserve d'un preavis raisonnable et de la conclusion d'un accord de confidentialite.

Le present resume s'applique exclusivement lorsqu'un client professionnel est une Entite Couverte ou un Associe Commercial au sens de la loi HIPAA americaine et transmet des informations de sante protegees (PHI) a Nolloi. Un BAA complet doit etre signe avant toute transmission de PHI.

• Perimetre : S'applique uniquement lorsque le client est une Entite Couverte ou un Associe Commercial au sens de HIPAA et transmet des PHI via le Service.
• Utilisations permises : Nolloi ne traite les PHI que dans la mesure necessaire a la fourniture du Service, conformement au principe du minimum necessaire (45 CFR 164.502(b)).
• Mesures de securite : Nolloi met en oeuvre des mesures administratives, physiques et techniques conformes aux exigences de la Security Rule (45 CFR Part 164 Subpart C), incluant le chiffrement, le controle d'acces et la journalisation.
• Signalement d'incidents : Nolloi notifie rapidement le client de tout Incident de Securite ou Violation au sens de la Breach Notification Rule (45 CFR Part 164 Subpart D) et coopere pour les mesures d'attenuation et les notifications aux personnes concernees et au HHS.
• Sous-traitants : Tout sous-traitant ulterieur ayant acces a des PHI est lie par des conditions conformes a HIPAA, incluant les memes obligations de securite et de confidentialite.
• Resiliation : A la resiliation de la relation contractuelle, Nolloi restitue ou detruit les PHI si cela est raisonnablement possible. Si la restitution ou la destruction n'est pas possible, les protections du BAA continuent de s'appliquer aux PHI conservees.