1. Préambule
Le Mahorais accorde une importance primordiale à la protection de vos données personnelles. La présente Politique de Confidentialité (ci-après « la Politique ») a pour objet de vous informer, de manière transparente, sur la nature des données que nous collectons, les finalités pour lesquelles elles sont traitées, les conditions de leur conservation et les droits dont vous disposez à leur égard.
La présente Politique s’applique à l’ensemble des traitements de données personnelles mis en œuvre par Le Mahorais dans le cadre de l’exploitation du site internet accessible à l’adresse lemahorais.com (ci-après « le Site ») et des services associés.
Elle est rédigée conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), ainsi qu’à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa version modifiée.
2. Identité du Responsable du Traitement
| Champ | Information |
|---|---|
| Dénomination | Le Mahorais |
| SIRET | 895 007 730 00024 |
| Siège social | Mayotte |
| Contact | Via le formulaire de contact disponible sur le Site |
| Délégué à la Protection des Données (DPO) | L’éditeur du Site assure lui-même cette fonction |
Le Mahorais agit en qualité de responsable du traitement au sens de l’article 4, paragraphe 7, du RGPD pour l’ensemble des traitements décrits dans la présente Politique.
3. Données Collectées
3.1 Données d’identification (obligatoires à l’inscription)
| Donnée | Stockage | Caractère |
|---|---|---|
| Identifiant / pseudo | wp_users.user_login | Obligatoire |
| Adresse email | wp_users.user_email | Obligatoire |
| Mot de passe (hashé, non lisible) | wp_users.user_pass | Obligatoire |
3.2 Données de profil (optionnelles)
| Donnée | Stockage | Caractère |
|---|---|---|
| Prénom | wp_usermeta.first_name | Optionnel |
| Nom | wp_usermeta.last_name | Optionnel |
| Date de naissance | _habari_birthdate | Optionnel |
| Photo de profil / avatar | habari_custom_avatar_url, habari_avatar_history | Optionnel |
| Choix d’affichage du nom | _habari_display_name_choice | Optionnel |
3.3 Données d’activité
| Donnée | Stockage | Caractère |
|---|---|---|
| Favoris (articles sauvegardés) | _habari_bookmarks | Généré par utilisation |
| Historique de lecture | _habari_read_history | Généré par utilisation |
| Progression e-learning (leçons) | wp_habari_apprendre_progress | Généré par utilisation |
| Scores et réponses aux exercices | wp_habari_apprendre_scores | Généré par utilisation |
| Badges obtenus | wp_habari_apprendre_badges | Généré par utilisation |
| Séries d’activité (streaks) | wp_habari_apprendre_streak | Généré par utilisation |
3.4 Données d’abonnement LM+
| Donnée | Stockage / Source | Caractère |
|---|---|---|
| Identifiant client Stripe | _habari_stripe_customer_id | Généré à l’abonnement |
| Identifiant abonnement Stripe | _habari_stripe_subscription_id | Généré à l’abonnement |
| Statut de l’abonnement | _habari_subscription_status | Généré à l’abonnement |
| Historique de paiement | _habari_payment_history (100 entrées max) | Généré par Stripe |
| Date de prochain paiement | Webhook Stripe | Généré par Stripe |
| Montant de l’abonnement | Stripe + get_option('habari_lmplus_price') | Généré à l’abonnement |
Les données de carte bancaire (numéro, cryptogramme, date d’expiration) ne sont jamais stockées par Le Mahorais. Elles sont traitées exclusivement par Stripe, qui agit en qualité de sous-traitant certifié PCI-DSS.
3.5 Données de communication
| Donnée | Stockage | Caractère |
|---|---|---|
| Commentaires publiés | wp_habari_comments | Généré par utilisation |
| Votes sur les commentaires | wp_habari_comment_votes | Généré par utilisation |
| Abonnements aux fils de discussion | wp_habari_comment_subscriptions | Généré par utilisation |
| Notifications système | wp_habari_notifications | Généré par le système |
| Messages de messagerie interne | wp_habari_messages | Généré par utilisation |
| Messages envoyés via le formulaire de contact | Transmission par email, non stockés | Ponctuel |
3.6 Données de sécurité
| Donnée | Usage | Conservation |
|---|---|---|
| Adresse IP | Rate limiting (formulaires, commentaires), logs de suppression de compte | Durée du traitement concerné |
| User-Agent (tronqué) | Détection de sessions suspectes en e-learning | Durée de la session |
| Logs de tentatives suspectes | Sécurité de la plateforme e-learning | _habari_apprendre_suspect_log |
3.7 Données collectées par les cookies et traceurs
Voir la section 9 « Cookies et Traceurs » pour le détail complet.
4. Finalités des Traitements
| Finalité | Données concernées | Base légale (art. 6 RGPD) |
|---|---|---|
| Création et gestion du compte utilisateur | Identifiant, email, mot de passe | Exécution du contrat (6.1.b) |
| Personnalisation du profil | Prénom, nom, date de naissance, avatar | Consentement (6.1.a) |
| Fourniture des services gratuits (lecture, commentaires, favoris) | Données d’activité, commentaires | Exécution du contrat (6.1.b) |
| Gestion de l’abonnement LM+ et facturation | Données d’abonnement Stripe | Exécution du contrat (6.1.b) |
| Accès à la section e-learning et suivi de progression | Progression, scores, badges, streaks | Exécution du contrat (6.1.b) |
| Génération et téléchargement de certificats PDF | Prénom, nom, progression | Exécution du contrat (6.1.b) |
| Envoi de la newsletter | Email, prénom, statut d’abonnement | Consentement (6.1.a) |
| Notifications système (commentaires, messagerie) | Email, notifications | Intérêt légitime (6.1.f) |
| Sécurité de la plateforme et lutte contre la fraude | IP, User-Agent, logs | Intérêt légitime (6.1.f) |
| Modération des commentaires | Commentaires, signalements | Intérêt légitime (6.1.f) |
| Mesure d’audience et statistiques (Google Analytics) | Données de navigation | Consentement (6.1.a) |
| Affichage de publicités | Statistiques agrégées uniquement | Intérêt légitime (6.1.f) |
| Gestion des demandes de contact et des réclamations | Email, contenu du message | Intérêt légitime (6.1.f) |
| Respect des obligations légales (comptabilité, archivage) | Données d’abonnement, facturation | Obligation légale (6.1.c) |
| Journal d’audit des suppressions de compte | IP anonymisée, horodatage | Intérêt légitime (6.1.f) |
5. Destinataires des Données
5.1 Accès interne
L’accès aux données personnelles est strictement limité aux personnes habilitées au sein de l’équipe éditoriale et technique du Mahorais, dans le cadre de leurs attributions.
5.2 Sous-traitants et prestataires
Le Mahorais fait appel à des prestataires techniques agissant en qualité de sous-traitants au sens du RGPD. Chaque prestataire est lié par un contrat de traitement de données garantissant un niveau de protection adéquat.
| Prestataire | Rôle | Données transmises | Localisation |
|---|---|---|---|
| Stripe | Paiement en ligne | Données de paiement (CB, Google Pay, Apple Pay), email | USA (accord DPA + Clauses Contractuelles Types) |
| Brevo | Emailing / Newsletter | Email, prénom, statut d’abonnement | France (UE) |
| Nahouda Auth (OpenID Connect) | SSO pour comptes staff | Identifiants SSO (admins/éditeurs uniquement) | France |
| CAP (Captcha) | Protection anti-spam | Token CAPTCHA, adresse IP | France |
| RustFS / S3 self-hosted | Stockage de médias et certificats PDF | Fichiers médias, certificats PDF | France |
| DiceBear API | Génération d’avatars | Seed anonymisé (sans données personnelles directes) | Allemagne (UE) |
| Google Analytics 4 + Tag Manager | Mesure d’audience | Pages vues, comportement (avec Consent Mode v2) | USA (accord DPA + Clauses Contractuelles Types) |
| OVH SAS | Hébergement du Site | Ensemble des données hébergées | France |
5.3 Autorités compétentes
Le Mahorais peut être amené à communiquer des données personnelles aux autorités judiciaires, administratives ou réglementaires compétentes sur réquisition légale ou dans le cadre d’une obligation légale.
5.4 Ce que nous ne faisons pas
Le Mahorais ne vend, ne loue et ne cède jamais vos données personnelles à des tiers à des fins commerciales.
6. Transferts de Données Hors de l’Union Européenne
Certains de nos prestataires sont établis en dehors de l’Union européenne, notamment aux États-Unis. Pour ces transferts, Le Mahorais s’assure qu’ils reposent sur des garanties appropriées conformément au chapitre V du RGPD :
6.1 Stripe (USA)
Stripe est soumis aux Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, complétées par un Accord de Traitement de Données (DPA) couvrant les exigences du RGPD. Stripe est également certifié PCI-DSS niveau 1 pour le traitement des données de paiement.
Pour plus d’informations : stripe.com/privacy
6.2 Google Analytics 4 / Google Tag Manager (USA)
Les données sont traitées par Google LLC dans le cadre des Clauses Contractuelles Types. Le Mahorais a activé le Consent Mode v2 de Google : aucune donnée de comportement n’est collectée par Google tant que l’utilisateur n’a pas donné son consentement explicite via notre bandeau de gestion des cookies (Complianz GDPR).
L’adresse IP est anonymisée avant tout transfert vers les serveurs de Google.
Pour plus d’informations : policies.google.com/privacy
6.3 DiceBear API (Allemagne, UE)
DiceBear est établi en Allemagne au sein de l’Union européenne. Aucun transfert hors UE n’est opéré pour ce service. De plus, seul un identifiant aléatoire (seed) est transmis, sans donnée personnelle directement identifiante.
6.4 Tous les autres prestataires
Brevo, CAP, RustFS, Nahouda Auth, OVH et Postiz sont hébergés en France ou au sein de l’Union européenne. Aucun transfert hors UE n’est réalisé pour ces services.
7. Durées de Conservation
Le Mahorais conserve vos données personnelles pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, dans le respect des obligations légales applicables.
7.1 Données du compte actif
| Catégorie | Durée de conservation |
|---|---|
| Données d’identification (login, email, mot de passe) | Durée du compte, + 3 ans après la dernière connexion en l’absence de réactivation |
| Données de profil optionnelles | Durée du compte |
| Historique de lecture | 12 mois glissants |
| Favoris (bookmarks) | Jusqu’à suppression par l’utilisateur ou fermeture du compte |
| Progression e-learning, scores, badges | Durée du compte |
| Commentaires publiés | Durée du compte (anonymisation à la suppression) |
7.2 Données d’abonnement LM+
| Catégorie | Durée de conservation |
|---|---|
| Données d’abonnement actif (Stripe IDs, statut) | Durée de l’abonnement |
| Historique de paiement | 10 ans (obligation comptable — art. L.123-22 Code de commerce) |
| Données post-résiliation (identifiants Stripe) | 5 ans après résiliation (délai de prescription contractuelle) |
7.3 Données de newsletter
| Catégorie | Durée de conservation |
|---|---|
| Email et prénom (abonné actif) | Jusqu’au désabonnement |
| Email (désinscrit) | 3 ans à des fins de preuve du désabonnement, puis suppression |
7.4 Données de sécurité et de modération
| Catégorie | Durée de conservation |
|---|---|
| Logs de rate limiting (IP) | 1 heure (durée de la fenêtre de rate limiting) |
| Logs de suppression de compte | 3 ans, puis anonymisation automatique (journal d’audit, 1 000 entrées max) |
| Signalements de commentaires | 1 an après clôture du signalement |
| Logs de tentatives suspectes (e-learning) | 6 mois |
7.5 Après suppression du compte
À la suppression du compte, les données suivantes sont supprimées ou anonymisées :
- Suppression définitive : données de profil, historique de lecture, favoris, progression e-learning, messages, notifications, avatar et certificats PDF hébergés.
- Anonymisation : commentaires publiés (le contenu est conservé mais dissocie du compte), données de paiement (conservation des montants agrégés anonymisés à des fins comptables).
- Résiliation automatique : abonnement Stripe résilié, désinscription de la newsletter Brevo.
- Journal d’audit : une entrée horodatée et anonymisée est conservée 3 ans.
8. Sécurité des Données
Le Mahorais met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre toute destruction, perte, altération, divulgation non autorisée ou accès non autorisé.
8.1 Mesures techniques
- Chiffrement en transit : toutes les communications entre votre navigateur et le Site sont chiffrées via le protocole HTTPS (TLS 1.2 minimum).
- Hashage des mots de passe : les mots de passe ne sont jamais stockés en clair ; ils sont hashés via l’algorithme bcrypt de WordPress (compatibilité phpass).
- Authentification sécurisée : protection par nonces WordPress sur tous les formulaires et endpoints AJAX, protection CSRF, cookies de session HTTPOnly et Secure.
- Rate limiting : limitation automatique des soumissions de formulaires (5 soumissions/heure par IP pour le formulaire de contact, limites distinctes pour les commentaires selon le statut de l’utilisateur).
- CAPTCHA : protection des formulaires publics via le service CAP (anti-spam).
- En-têtes de sécurité HTTP : Content Security Policy (CSP), X-Frame-Options, X-Content-Type-Options et autres en-têtes de sécurité déployés sur le Site.
- Cache sécurisé : Redis (cache objet) et W3 Total Cache (cache page) configurés pour ne pas exposer de données personnelles.
- Isolation des données de paiement : aucune donnée bancaire ne transite par les serveurs du Mahorais ; le paiement est entièrement géré par le Payment Element de Stripe dans un iframe isolé.
8.2 Mesures organisationnelles
- Accès aux données limité aux personnes habilitées, selon le principe du moindre privilège.
- Connexion administrateur via SSO sécurisé (Nahouda Auth / OpenID Connect), sans accès possible à
/wp-login.phppour les comptes non-administrateurs. - Sauvegardes régulières via UpdraftPlus.
- Suppression sécurisée des données à la clôture du compte (voir section 7.5).
En cas de violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés, Le Mahorais s’engage à notifier la CNIL dans les délais réglementaires (72 heures) et à vous en informer si la violation est susceptible d’engendrer un risque élevé.
9. Cookies et Traceurs
Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, tablette, smartphone) lors de votre visite sur le Site. Conformément à la réglementation en vigueur (directive ePrivacy et recommandations CNIL), les cookies non strictement nécessaires sont soumis à votre consentement préalable.
La gestion de votre consentement est assurée par Complianz GDPR, qui affiche un bandeau de gestion des cookies lors de votre première visite.
9.1 Cookies strictement nécessaires (exemptés de consentement)
| Nom | Émetteur | Finalité | Durée |
|---|---|---|---|
wordpress_[hash] | Le Mahorais | Authentification WordPress (session) | Session |
wordpress_logged_in_[hash] | Le Mahorais | Maintien de la session utilisateur | Session / 14 jours |
wp-settings-[userId] | Le Mahorais | Préférences d’interface utilisateur | 1 an |
habari_maintenance_access | Le Mahorais | Accès en mode maintenance autorisé | 7 jours |
complianz_policy_id | Complianz | Référence de la politique de confidentialité | 365 jours |
complianz_consent_status | Complianz | Stockage du consentement cookies | 365 jours |
cmplz_functional | Complianz | Cookies fonctionnels acceptés | 365 jours |
9.2 Cookies de mesure d’audience (soumis à consentement)
| Nom | Émetteur | Finalité | Durée |
|---|---|---|---|
_ga | Google Analytics | Identifiant de session pour la mesure d’audience | 2 ans |
_ga_[ID] | Google Analytics | Persistance de la session Google Analytics 4 | 2 ans |
_gid | Google Analytics | Distinction des utilisateurs | 24 heures |
_gat | Google Analytics | Limitation du taux de requêtes | 1 minute |
_gtm_[ID] | Google Tag Manager | Gestion des tags de tracking | Session |
Ces cookies ne sont déposés qu’après votre consentement explicite via le bandeau Complianz. Le Consent Mode v2 est activé : si vous refusez, aucune donnée comportementale n’est transmise à Google.
9.3 Cookies de paiement (déposés uniquement sur les pages d’abonnement)
| Nom | Émetteur | Finalité | Durée |
|---|---|---|---|
__stripe_mid | Stripe | Détection de fraude et prévention des impayés | 1 an |
__stripe_sid | Stripe | Identifiant de session Stripe | 30 minutes |
Ces cookies sont déposés uniquement lorsque vous accédez au formulaire de paiement LM+. Ils sont nécessaires à la sécurité des transactions.
9.4 Gestion de vos préférences cookies
Vous pouvez à tout moment modifier vos préférences en matière de cookies :
- En cliquant sur le lien « Gérer mes cookies » disponible en pied de page du Site.
- En configurant votre navigateur pour refuser les cookies (attention : certaines fonctionnalités du Site peuvent être affectées).
- Via les paramètres de confidentialité de votre compte Google : myaccount.google.com
10. Droits des Personnes Concernées
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
10.1 Droit d’accès (art. 15 RGPD)
Vous avez le droit d’obtenir la confirmation que des données vous concernant sont ou non traitées, et, le cas échéant, d’en obtenir une copie ainsi que des informations sur les finalités du traitement, les catégories de données, les destinataires, les durées de conservation et l’existence de droits.
10.2 Droit de rectification (art. 16 RGPD)
Vous avez le droit d’obtenir la rectification des données inexactes vous concernant et de compléter des données incomplètes. Vous pouvez directement modifier la plupart de vos informations depuis votre espace Mon Compte.
10.3 Droit à l’effacement / Droit à l’oubli (art. 17 RGPD)
Vous avez le droit d’obtenir l’effacement de vos données personnelles dans les cas prévus par le RGPD (données collectées avec consentement, données plus nécessaires à la finalité, opposition légitime, traitement illicite).
Depuis votre espace Mon Compte, vous pouvez demander la suppression de votre compte. La suppression est :
- Immédiate pour les comptes sans abonnement actif (sous réserve de vérification par mot de passe).
- Programmée à la fin de la période d’abonnement en cours pour les comptes LM+ actifs (résiliation de l’abonnement Stripe, puis suppression des données à l’échéance).
Ce droit est soumis aux exceptions légales relatives aux obligations comptables et fiscales.
10.4 Droit à la limitation du traitement (art. 18 RGPD)
Vous avez le droit d’obtenir la limitation du traitement de vos données dans certaines situations (contestation de l’exactitude des données, traitement illicite, besoin de conservation pour constater des droits en justice).
10.5 Droit à la portabilité des données (art. 20 RGPD)
Pour les traitements reposant sur votre consentement ou sur l’exécution d’un contrat, vous avez le droit de recevoir les données vous concernant dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement.
10.6 Droit d’opposition (art. 21 RGPD)
Vous avez le droit de vous opposer à tout moment au traitement de vos données fondé sur l’intérêt légitime du Mahorais (notamment pour les notifications par email ou les statistiques d’audience), pour des raisons tenant à votre situation particulière.
En matière de prospection commerciale (newsletter), vous pouvez vous désabonner à tout moment via le lien de désinscription présent dans chaque email.
10.7 Droit de ne pas faire l’objet d’une décision automatisée (art. 22 RGPD)
Le Mahorais ne met pas en œuvre de décision individuelle automatisée produisant des effets juridiques significatifs basée exclusivement sur un traitement automatisé de vos données personnelles.
10.8 Droit de définir des directives post-mortem (art. 85 Loi I&L)
Vous avez le droit de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès.
10.9 Modalités d’exercice de vos droits
Pour exercer l’un de ces droits :
- Depuis votre espace Mon Compte : certains droits (accès, rectification, suppression du compte) peuvent être exercés directement en ligne.
- Via le formulaire de contact : lemahorais.com/contact — précisez le droit que vous souhaitez exercer et joignez une copie d’un justificatif d’identité si nécessaire.
Délai de réponse : Le Mahorais s’engage à répondre à votre demande dans un délai d’un mois à compter de la réception de la demande complète. Ce délai peut être prorogé de deux mois supplémentaires en cas de demande complexe ou nombreuse (vous en serez informé dans le délai d’un mois).
Si vous estimez que Le Mahorais ne respecte pas ses obligations en matière de protection des données, vous avez le droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :
CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site web : www.cnil.fr
11. Mineurs
Le Site est accessible à toute personne. Toutefois, la création d’un compte utilisateur et l’accès aux services nécessitant une inscription (commentaires, e-learning, abonnement LM+) sont réservés aux personnes âgées d’au moins 15 ans.
Conformément à l’article 8 du RGPD et à l’article 45-1 de la loi Informatique et Libertés (seuil fixé à 15 ans en France), les mineurs âgés de moins de 15 ans ne peuvent utiliser les services du Site qu’avec le consentement conjoint d’au moins un titulaire de l’autorité parentale.
Si vous êtes parent ou tuteur légal et que vous avez connaissance de la création d’un compte par un mineur de moins de 15 ans sans votre consentement, nous vous invitons à nous contacter via le formulaire de contact afin que nous procédions à la suppression du compte dans les meilleurs délais.
12. Médiation et Règlement des Litiges
En cas de litige relatif à la protection de vos données personnelles, vous pouvez, après avoir contacté Le Mahorais :
- Saisir la CNIL : www.cnil.fr
- Porter le litige devant le Tribunal Judiciaire de Mamoudzou, juridiction compétente pour tout litige relatif à l’application de la présente Politique, à défaut de résolution amiable.
13. Modifications de la Politique de Confidentialité
Le Mahorais se réserve le droit de modifier la présente Politique à tout moment, notamment pour l’adapter aux évolutions réglementaires, jurisprudentielles ou techniques.
En cas de modification substantielle affectant vos droits ou les conditions de traitement de vos données, vous en serez informé :
- Par la mise à jour de la date « Dernière mise à jour » figurant en haut du présent document.
- Par une notification visible sur le Site lors de votre prochaine connexion.
- Le cas échéant, par un email envoyé à l’adresse associée à votre compte.
Il vous appartient de consulter régulièrement la présente Politique. La poursuite de l’utilisation du Site après modification vaut acceptation de la Politique mise à jour.
14. Contact
Pour toute question relative à la présente Politique de Confidentialité ou à l’exercice de vos droits :
Le Mahorais — Protection des données personnelles
Via le formulaire de contact disponible sur le Site
Le Mahorais s’engage à traiter votre demande avec sérieux et diligence, dans le respect de vos droits et des délais légaux applicables.
Dernière mise à jour le 4 juin 2026