Document légal
Politique de confidentialité
Dernière mise à jour : 11 juillet 2026
L'essentiel en bref
- VizoraMail lit les boîtes email autorisées en lecture seule pour détecter les notifications des centres de visas — rien n'est jamais modifié, déplacé ni supprimé.
- Vos données ne sont jamais vendues, jamais utilisées pour de la publicité, jamais transmises à des tiers, et jamais utilisées pour entraîner des modèles d'intelligence artificielle.
- Les identifiants et jetons d'accès sont chiffrés ; chaque agence n'accède qu'à ses propres données.
- Vous pouvez révoquer l'accès à une boîte à tout moment et demander l'effacement complet de vos données.
1.Qui sommes-nous
VizoraMail (« le Service », « nous ») est une plateforme de surveillance d'emails destinée aux agences de voyages et de services de visas. Elle détecte automatiquement, dans des boîtes email explicitement autorisées, les notifications émises par les centres de visas (TLScontact, VFS Global, consulats…) et alerte l'agence concernée.
Le Service est édité et exploité par :
- Éditeur : Ahmed Bouguerba
- Email : [email protected]
- Téléphone : +212 626 559 561
Pour toute question relative à cette politique ou à vos données, contactez-nous à l'adresse ci-dessus (voir aussi la section 16).
2.Définitions et champ d'application
- Agence : le professionnel (agence de voyages ou de services de visas) titulaire d'un compte sur la plateforme.
- Titulaire de boîte : la personne à qui appartient une boîte email surveillée. Il peut s'agir de l'Agence elle-même ou d'un client de l'Agence.
- Boîte surveillée : une boîte Gmail ou Outlook connectée au Service avec l'autorisation de son titulaire.
- Utilisateur : toute personne qui se connecte à l'interface du Service.
Cette politique s'applique au site public de VizoraMail, à son application web et à son moteur de surveillance. Elle couvre toutes les données traitées par le Service, y compris les données obtenues via les API de Google et de Microsoft.
3.Données que nous collectons
| Catégorie | Données | Origine |
|---|---|---|
| Compte Agence | Nom de l'agence, email de connexion, mot de passe (stocké uniquement sous forme hachée, irréversible), email de notification. | Saisies à la création du compte. |
| Dossier client | Nom, prénom, numéro de téléphone du client, adresse de la boîte surveillée, dates de suivi du dossier (début, échéance de paiement). | Saisies par l'Agence. |
| Contenu email | Pour chaque email traité : expéditeur, objet, date, corps du message (texte et HTML) et noms des pièces jointes. Le contenu des pièces jointes n'est jamais téléchargé ni stocké. | Lues dans les boîtes autorisées, via les interfaces officielles de Google et Microsoft (voir sections 5 et 6). |
| Jetons d'accès | Jetons OAuth (refresh tokens) et mots de passe d'application des boîtes, stockés chiffrés. | Fournis lors de l'autorisation de la boîte. |
| Données techniques | Historique des traitements (horodatages, nombre d'emails analysés, règles appliquées, erreurs) et journaux techniques du serveur. | Générées par le fonctionnement du Service. |
Nous ne collectons aucune donnée de navigation à des fins publicitaires et n'utilisons aucun outil de mesure d'audience (voir la section 9 — Cookies).
4.Finalités : pourquoi ces données
Les données décrites ci-dessus servent exclusivement aux fonctionnalités visibles du Service :
- Détection : comparer chaque nouvel email des boîtes surveillées aux règles définies par l'Agence (expéditeur attendu, mots-clés, format des numéros de dossier) ;
- Alerte : notifier l'Agence quand un email correspond (notification dans l'application et email récapitulatif) ;
- Consultation : permettre à l'Agence de consulter les emails détectés et l'archive de ses boîtes depuis son tableau de bord ;
- Suivi de dossier : rappeler à l'Agence les échéances qu'elle a saisies (paiement, ancienneté du dossier) ;
- Sécurité et fiabilité : journaliser les traitements pour diagnostiquer les erreurs et prévenir les abus.
Nous n'utilisons jamais ces données pour : la publicité ou le ciblage publicitaire, la vente ou la location à des tiers, le profilage, l'évaluation de solvabilité, ou l'entraînement de modèles d'intelligence artificielle ou d'apprentissage automatique.
5.Données utilisateur Google
5.1 Autorisations demandées (scopes OAuth)
Lorsqu'une boîte Gmail est connectée via « Se connecter avec Google », VizoraMail demande les autorisations suivantes :
openidetemail— uniquement pour vérifier que le compte Google autorisé correspond bien à la boîte déclarée dans le Service (protection contre les erreurs de compte) ;gmail.readonly— lecture seule de la boîte Gmail, via l'API officielle Gmail de Google. Cette autorisation ne permet, par construction, aucune écriture : aucun email ne peut être envoyé, modifié, marqué, déplacé ni supprimé — c'est l'autorisation la plus restreinte permettant la surveillance de la boîte de réception et du dossier Spam.
5.2 Ce que nous faisons de ces données
- Le moteur lit les nouveaux emails de la boîte de réception et du dossier Spam, à intervalles réguliers ;
- Pour chaque email, il enregistre l'expéditeur, l'objet, la date, le corps du message et les noms des pièces jointes, puis le compare aux règles de détection de l'Agence ;
- Le contenu binaire des pièces jointes n'est jamais téléchargé ;
- Le jeton d'accès (refresh token) est stocké chiffré et n'est utilisé que pour ouvrir la connexion de lecture.
5.3 Qui peut voir ces données
Le contenu des emails d'une boîte n'est visible que par : (a) les utilisateurs autorisés de l'Agence à laquelle la boîte est rattachée, dans le cadre du mandat confié par le titulaire de la boîte (voir section 7) ; et (b) l'exploitant du Service, uniquement lorsque c'est strictement nécessaire à la maintenance, à la sécurité ou au respect d'une obligation légale. Aucun autre accès humain n'a lieu.
5.4 Engagement « Limited Use » (exigence de Google)
L'utilisation et le transfert par VizoraMail des informations reçues des API Google respectent la Politique relative aux données utilisateur des services d'API Google (Google API Services User Data Policy), y compris ses exigences d'utilisation limitée (« Limited Use »).
English original: “VizoraMail's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.”
Concrètement, les données obtenues via les API Google : ne servent qu'à fournir les fonctionnalités décrites à la section 4 ; ne sont jamais vendues ; ne servent jamais à la publicité ; ne sont jamais utilisées pour entraîner des modèles d'IA généralisés ; et ne sont lues par des humains que dans les cas décrits à la section 5.3.
6.Données utilisateur Microsoft
Lorsqu'une boîte Outlook est connectée, VizoraMail demande l'autorisation
Mail.Read de Microsoft Graph : elle permet uniquement la
lecture des emails, sans aucune possibilité d'envoi,
de modification ou de suppression.
Les mêmes engagements que pour Google s'appliquent : lecture des dossiers Boîte de réception et Courrier indésirable, stockage de l'expéditeur, de l'objet, de la date, du corps et des noms de pièces jointes (jamais leur contenu), jeton d'accès chiffré, aucun usage publicitaire ni commercial, aucun transfert à des tiers, accès humain limité aux cas de la section 5.3.
7.Consentement du titulaire de la boîte
Une boîte ne peut être surveillée qu'avec le consentement explicite de son titulaire, exprimé lors de l'écran d'autorisation de Google ou de Microsoft (ou par la fourniture volontaire d'un mot de passe d'application).
Lorsque l'Agence connecte la boîte d'un client dans le cadre du suivi de son dossier de visa, l'Agence garantit avoir préalablement informé le client et recueilli son accord explicite sur : la surveillance de sa boîte par le Service, la consultation par l'Agence des emails détectés et archivés, et la durée de cette surveillance.
Le titulaire peut retirer son consentement à tout moment, sans motif, par l'un des moyens décrits à la section 12. Le retrait met fin immédiatement à la surveillance de la boîte.
8.Partage et divulgation
Nous ne vendons, ne louons et ne partageons vos données avec aucun tiers, à l'exception de :
- Notre hébergeur (Kamatera Inc.), qui fournit le serveur privé sur lequel le Service fonctionne, en qualité de sous-traitant technique. L'hébergeur n'a aucun droit d'utilisation des données ;
- Les autorités compétentes, uniquement si une obligation légale nous l'impose (réquisition judiciaire, par exemple), et dans la stricte limite de ce qui est exigé.
Chaque Agence n'accède qu'à ses propres données : les espaces des agences sont strictement cloisonnés les uns des autres.
9.Cookies
L'application utilise un unique cookie de session, strictement nécessaire au fonctionnement de l'espace connecté (il prouve que vous êtes identifié). Il est marqué HttpOnly (illisible par les scripts) et expire à la déconnexion ou après une période d'inactivité.
Nous n'utilisons aucun cookie publicitaire, aucun traceur et aucun outil de mesure d'audience.
Les pages publiques chargent des polices de caractères depuis Google Fonts : lors de ce chargement, votre adresse IP est transmise à Google au même titre que pour l'affichage de tout contenu hébergé par un tiers.
10.Sécurité
- Chiffrement en transit : les échanges avec les serveurs de Google et Microsoft utilisent TLS ; l'accès à l'application s'effectue en HTTPS ;
- Chiffrement au repos : les jetons OAuth et les mots de passe d'application des boîtes sont chiffrés en base de données (chiffrement symétrique authentifié, clé conservée hors de la base) ;
- Mots de passe : les mots de passe des comptes utilisateurs sont hachés avec un algorithme à sel (jamais stockés en clair, jamais déchiffrables) ;
- Cloisonnement : chaque requête vérifie que la donnée demandée appartient bien à l'agence connectée ;
- Protections applicatives : protection CSRF sur toutes les actions, blocage automatique après plusieurs tentatives de connexion échouées, sessions à durée limitée ;
- Moindre privilège : lecture seule sur les boîtes, pièces jointes jamais téléchargées, accès administrateur restreint.
Aucun système n'est infaillible : en cas de violation de données susceptible de vous affecter, nous vous en informerons dans les meilleurs délais, ainsi que les autorités compétentes lorsque la loi l'exige.
11.Conservation et suppression
- Jetons d'accès : conservés tant que la boîte est surveillée ; supprimés dès la révocation de l'autorisation ou la suppression de la boîte, ainsi que dès que nous constatons un retrait d'accès effectué depuis votre compte Google ou Microsoft (le jeton devenu inutilisable est effacé) ;
- Emails détectés et archives : conservés dans l'espace de l'Agence tant qu'elle en a besoin pour le suivi des dossiers. L'Agence peut à tout moment vider l'archive d'une boîte depuis son interface ;
- Dossier client (nom, téléphone…) : conservé tant que la boîte existe dans l'espace de l'Agence ;
- Historique technique des traitements : conservé à des fins de fiabilité et de diagnostic.
Effacement complet sur demande : le titulaire d'une boîte ou une Agence peut demander à tout moment l'effacement définitif de toutes les données le concernant (contenu email, dossier client, jetons, archives) en écrivant à [email protected]. L'effacement est effectué dans un délai maximal de 30 jours, y compris dans nos copies de sauvegarde.
12.Révocation des accès
L'accès du Service à une boîte peut être retiré à tout moment, par trois moyens indépendants :
- Depuis l'application : suppression de l'autorisation ou de la boîte dans la page « Boîtes » (l'Agence) — la surveillance cesse immédiatement, le jeton stocké est supprimé et, pour les comptes Google, l'autorisation est également révoquée auprès de Google (VizoraMail disparaît de la liste des applications tierces de votre compte) ;
- Depuis votre compte Google : myaccount.google.com/permissions — retirez l'accès de « VizoraMail » : les jetons deviennent immédiatement inutilisables ;
- Depuis votre compte Microsoft : account.live.com/consent/Manage (comptes personnels) — même effet.
13.Vos droits
Conformément à la loi marocaine n° 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, vous disposez des droits suivants :
- Droit d'accès : savoir quelles données nous détenons sur vous et en obtenir une copie ;
- Droit de rectification : faire corriger une donnée inexacte ;
- Droit d'opposition et de retrait : vous opposer au traitement et retirer votre consentement à tout moment ;
- Droit de suppression : obtenir l'effacement de vos données (voir section 11).
Pour exercer ces droits, écrivez à [email protected]. Nous répondons dans un délai maximal de 30 jours. Vous pouvez également saisir la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP).
Si vous résidez dans l'Espace économique européen, les droits équivalents du Règlement général sur la protection des données (RGPD) s'appliquent, y compris le droit à la portabilité et le droit de réclamation auprès de votre autorité de contrôle locale.
14.Mineurs
Le Service s'adresse à des professionnels. Lorsqu'un dossier de visa concerne une personne mineure, l'Agence garantit disposer de l'accord du représentant légal pour la surveillance de la boîte associée au dossier.
15.Modifications de cette politique
Nous pouvons faire évoluer cette politique pour refléter des évolutions du Service ou des obligations légales. La date de dernière mise à jour figure en haut de la page. En cas de changement substantiel (nouvelle finalité, nouveau partage), les Agences en seront informées via l'application ou par email avant l'entrée en vigueur.
16.Contact
Pour toute question sur cette politique ou sur vos données :
- Email : [email protected]
- Téléphone : +212 626 559 561