Politique de confidentialité

WeSchools (« nous », « notre plateforme ») est un système d'information de gestion scolaire (SIS) utilisé par des établissements pour gérer leurs élèves, enseignants, parents, notes, présences, paiements et communication. La plateforme est accessible via un site web (we-schools.com) et une application mobile Android et iOS.

Cette politique de confidentialité explique quelles données personnelles nous traitons pour le compte de votre établissement, comment elles sont utilisées, qui peut y accéder et quels sont vos droits. Elle s'applique à toute personne qui utilise WeSchools : personnel administratif, enseignants, parents et — indirectement — élèves dont les informations sont enregistrées par l'établissement.

Dans la plupart des cas, votre établissement scolaire est le responsable du traitement de vos données. WeSchools agit en tant que sous-traitant technique : nous fournissons l'outil, mais les décisions sur les données (quoi collecter, pour quel élève, pour combien de temps) restent celles de l'école.

Nous traitons uniquement les données nécessaires au fonctionnement d'un établissement scolaire. Les catégories sont :

• Compte utilisateur : nom, prénom, adresse email, mot de passe (haché, jamais stocké en clair), langue préférée, préférence d'apparence (clair/sombre).
• Informations élèves : nom, prénom, date et lieu de naissance, sexe, adresse, ville, pays, photo (si fournie), identifiant Massar, année d'intégration, établissement précédent, numéro d'inscription.
• Famille : données des parents et membres de famille déclarés (lien de parenté, CIN, téléphone, email, profession le cas échéant), personnes autorisées à venir chercher l'élève.
• Académique : notes, contrôles, moyennes, bulletins, présences et absences, retards, observations de comportement, lacunes pédagogiques, devoirs, cahier de textes, planning.
• Financier : paiements de scolarité et de services, montants dus et payés, méthode de paiement, identité du payeur, reçus, historique d'inscriptions aux services (transport, cantine, activités).
• Communication : messages internes échangés, pièces jointes, réactions, réclamations, réponses aux sondages, demandes de réunion et comptes-rendus.
• Santé (donnée sensible) : allergies, besoins spécifiques, vaccinations, notes médicales — uniquement lorsque l'établissement choisit explicitement de les enregistrer pour assurer la santé et la sécurité de l'élève.
• Documents : dossier d'inscription, photocopies de pièces d'identité, attestations d'assurance, certificats demandés par l'établissement.
• Technique : adresse IP, agent utilisateur du navigateur, identifiant de session, modèle d'appareil et version d'application pour l'app mobile, journaux d'erreurs (page consultée, action tentée, message d'erreur) pour diagnostiquer les pannes.

Vos données servent uniquement à faire fonctionner le service scolaire. Concrètement :

• Fournir et maintenir la plateforme pour votre établissement.
• Authentifier les utilisateurs et sécuriser les comptes (sessions, mot de passe oublié, gestion des rôles).
• Calculer les moyennes, générer les bulletins PDF, suivre les présences et les paiements.
• Envoyer des notifications utiles : absence d'un enfant, nouveau message, événement scolaire, réception d'un paiement.
• Permettre la communication interne entre direction, enseignants et parents.
• Détecter et corriger les erreurs techniques via des journaux automatiques (anonymisés au niveau utilisateur quand c'est possible).
• Respecter les obligations légales et réglementaires (registres scolaires, comptabilité).

Au Maroc, le traitement des données personnelles est encadré par la loi 09-08 et supervisé par la CNDP (Commission Nationale de protection des Données à caractère Personnel). Pour les établissements opérant en Europe, le RGPD s'applique également. Nos bases juridiques sont :

• Exécution du contrat entre votre établissement et WeSchools (pour la majorité des traitements opérationnels).
• Obligation légale (tenue des registres scolaires, archivage comptable).
• Consentement pour les traitements optionnels (photos publiées sur la vie scolaire, données de santé).
• Intérêt légitime pour la sécurité de la plateforme, la détection de fraudes et l'amélioration du service.

L'accès aux données est strictement cloisonné par notre système de rôles et de permissions :

• Vous-même avez accès à vos propres informations de compte.
• Le personnel autorisé de votre établissement (direction, secrétariat, comptabilité) selon les permissions qui lui ont été accordées.
• Les enseignants ne voient que les classes qui leur sont assignées — pas les autres classes de l'école.
• Les parents ne voient que les données de leurs propres enfants — jamais celles d'autres élèves.
• Notre équipe technique peut accéder aux données uniquement pour la maintenance ou en réponse à une demande de support, sous engagement de confidentialité, et uniquement avec l'accord de l'établissement.

Chaque accès sensible est journalisé. Une page d'audit interne permet à la direction de vérifier qui a fait quoi sur quelles données.

Pour faire fonctionner la plateforme, nous nous appuyons sur un nombre minimal de prestataires :

• Hébergement web : serveurs basés en Europe (OVH). Vos données sont stockées dans des centres de données soumis au RGPD.
• Email transactionnel : SMTP via OVH pour l'envoi des emails (mot de passe oublié, notifications).
• Notifications mobiles : services standards d'appareil (Firebase Cloud Messaging pour Android, Apple Push Notification service pour iOS). Seul le contenu de la notification transite par ces services ; vos données restent sur nos serveurs.

Nous n'intégrons aucun traqueur publicitaire, aucun outil d'analyse comportementale tiers, et aucune solution de marketing externe.

Nous gardons les données aussi longtemps que nécessaire à leur finalité :

• Dossiers scolaires (notes, bulletins, présences) : conservés conformément aux obligations légales marocaines en matière d'archivage scolaire.
• Données financières (reçus, paiements) : conservées 10 ans pour répondre aux obligations comptables et fiscales.
• Comptes utilisateurs : tant que l'établissement maintient son abonnement. En cas de fermeture, nous procédons à l'anonymisation ou à la suppression sur demande.
• Sessions et journaux techniques : suppression automatique après 90 jours.
• Sauvegardes : cycle de rotation de 30 jours, chiffrées au repos.

Les données supprimées via les boutons « Supprimer » de l'interface sont d'abord placées dans une corbeille interne (« soft-delete ») pour permettre une restauration en cas d'erreur. La suppression définitive depuis cette corbeille n'est faite que par un super-administrateur, après confirmation.

Conformément à la loi 09-08 et au RGPD, vous disposez des droits suivants :

• Droit d'accès : demander une copie des données vous concernant.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l'effacement : demander la suppression de vos données, dans les limites des obligations légales (par exemple, l'archivage scolaire imposé).
• Droit à la portabilité : recevoir vos données dans un format structuré, exploitable par une autre solution.
• Droit d'opposition : vous opposer à certains traitements fondés sur l'intérêt légitime.
• Droit de retirer le consentement : pour les traitements basés sur le consentement (photos, données de santé), à tout moment.
• Droit de plainte : auprès de la CNDP au Maroc (www.cndp.ma) ou de l'autorité compétente de votre pays.

Pour exercer votre droit à l'effacement, le moyen le plus simple est de remplir notre formulaire de suppression de compte. La demande est examinée d'abord par votre établissement (qui contrôle votre compte) puis traitée par notre équipe. Vous pouvez aussi y accéder depuis votre profil dans l'application mobile ou la version web (Profil → Zone dangereuse → Supprimer mon compte).

Pour les autres droits, contactez d'abord votre établissement (responsable du traitement) ou écrivez-nous directement (voir section 14).

WeSchools traite des données concernant des mineurs uniquement parce que les établissements scolaires ont besoin de gérer leurs élèves. Les protections spécifiques que nous appliquons :

• Aucun mineur ne crée son propre compte. Les comptes (et les données qui s'y rapportent) sont créés exclusivement par l'établissement scolaire ou les parents.
• Aucun ciblage publicitaire, aucun contenu promotionnel ne sont affichés aux mineurs.
• La collecte est strictement limitée à ce qui est nécessaire à la scolarité.
• Les photos d'élèves ne sont visibles que par le personnel autorisé et les parents concernés.
• Les données de santé d'un mineur ne sont enregistrées qu'avec l'accord des parents et restent visibles uniquement par le personnel habilité.

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables :

• Mots de passe hachés avec bcrypt ; jamais stockés en clair, jamais transmis par email.
• Authentification par session sécurisée pour le web et par jeton (Laravel Sanctum) pour l'application mobile.
• HTTPS / TLS sur toutes les communications.
• Contrôle d'accès basé sur les rôles et permissions, avec cloisonnement par classe et par enfant.
• Journaux d'audit pour les actions sensibles (suppressions, modifications de paiements, changements de permissions).
• Sauvegardes régulières chiffrées au repos.
• Mises à jour de sécurité appliquées en continu (Laravel, dépendances, serveur).
• Tableau de bord interne de signalement des erreurs (« Journal des erreurs ») permettant à l'administration de réagir vite en cas d'anomalie.

Aucune mesure n'est infaillible. En cas d'incident de sécurité avec impact sur vos données, nous nous engageons à informer votre établissement dans les meilleurs délais.

L'application WeSchools demande uniquement les permissions strictement nécessaires :

• Notifications : pour vous alerter (absence de votre enfant, nouveau message, événement, paiement reçu). Vous pouvez les désactiver à tout moment depuis les réglages de votre téléphone.
• Caméra et galerie : uniquement lorsque vous choisissez d'ajouter une photo (photo de profil élève, pièce jointe à un message ou à un document).
• Stockage : pour télécharger les bulletins PDF, reçus et pièces jointes que vous demandez.
• Réseau : pour communiquer avec nos serveurs.

Nous ne demandons jamais : accès à votre position GPS, accès à vos contacts, accès à vos SMS, accès à vos appels, microphone, ni accès à vos autres applications.

Sur le web, nous utilisons uniquement les cookies et le stockage local strictement nécessaires :

• Cookie de session : obligatoire pour vous garder connecté pendant votre visite.
• Jeton CSRF : protège vos actions contre les attaques de type Cross-Site Request Forgery.
• localStorage du navigateur : stocke vos préférences (langue, mode sombre) et un curseur pour ne pas vous re-notifier d'événements déjà vus.

Nous n'utilisons aucun cookie tiers, aucun traceur publicitaire, et aucun outil d'analyse de comportement externe.

Nous pouvons mettre à jour cette politique pour refléter des évolutions de la plateforme ou des obligations légales. La date de dernière mise à jour est toujours visible en haut de cette page. En cas de modification importante, votre établissement sera notifié et pourra vous en informer via les canaux habituels.

Nous vous encourageons à consulter cette page de temps en temps pour rester informé.

Pour toute question liée à cette politique ou à vos données :

Pour les demandes concernant un élève ou un parent en particulier, le premier interlocuteur est votre établissement scolaire, qui est responsable du traitement principal des données qui vous concernent.