Politique de Confidentialité

Djambar AI FZCO Dubai Silicon Oasis, Dubaï, Émirats Arabes Unis Email : privacy@myumrah.ai Pour les données des pèlerins, l'agence de voyage cliente est responsable de traitement et Djambar AI FZCO agit en qualité de sous-traitant.

Données des agences : nom, adresse, SIRET/registre du commerce, email, téléphone, coordonnées bancaires, numéro de TVA intracommunautaire. Données des pèlerins (collectées par l'agence via la plateforme) : • Identité : nom, prénom, date de naissance, nationalité • Documents : numéro de passeport, visa (chiffrés AES-256) • Santé : informations médicales nécessaires au voyage (chiffrées AES-256) • Contact : email, téléphone, contact d'urgence • Voyage : dates, formule, préférences Données de paiement : type de carte bancaire (Visa, Mastercard, Amex), quatre derniers chiffres de la carte, identifiant de transaction Stripe. Les numéros de carte complets, codes de sécurité (CVV/CVC) et dates d'expiration ne sont jamais collectés, traités ni stockés par MyUmrah.ai. Ces données sont traitées exclusivement par Stripe, prestataire certifié PCI DSS Niveau 1. Données de navigation : pages visitées, durée de session (via Umami Analytics, sans cookies, sans données personnelles).

• Gestion de la relation commerciale avec les agences • Fourniture des services de la plateforme (gestion forfaits, CRM, messaging) • Conformité réglementaire (RGPD, PDPL) via le module vDPO • Amélioration de la plateforme (analytics anonymisées) • Sécurité de la plateforme (détection de fraude, audit trail)

• Exécution du contrat (Art. 6.1.b RGPD) : fourniture des services souscrits • Intérêt légitime (Art. 6.1.f RGPD) : sécurité, amélioration des services • Obligation légale (Art. 6.1.c RGPD) : conformité fiscale et réglementaire • Consentement explicite (Art. 9 RGPD) : données de santé et convictions religieuses

Les données sont accessibles uniquement à : • L'agence de voyage concernée (via isolation RLS) • L'équipe technique de Djambar AI FZCO (support, maintenance) • Nos sous-traitants techniques : Supabase (hébergement), Vercel (CDN), Stripe (paiement), Anthropic (IA) Chaque sous-traitant est lié par un DPA conforme à l'article 28 du RGPD.

Les données peuvent être traitées dans les pays suivants : • Union Européenne (Supabase EU) • États-Unis (Vercel, Stripe, Anthropic) - Clauses Contractuelles Types (CCT) en place • Émirats Arabes Unis (siège Djambar AI) Tous les transferts sont encadrés par des garanties appropriées conformément au Chapitre V du RGPD et aux exigences du PDPL saoudien.

• Données critiques (passeport, santé) : suppression automatique 6 mois après le voyage • Données sensibles (financières, contacts d'urgence) : 3 ans maximum • Données standard (identité, préférences) : durée du contrat + 1 an • Données de facturation : 10 ans (obligation légale) • Analytics : anonymisées en continu, aucune donnée personnelle conservée

Conformément au RGPD (articles 15 à 22) et au PDPL, vous disposez des droits suivants : • Droit d'accès à vos données • Droit de rectification • Droit à l'effacement (« droit à l'oubli ») • Droit à la limitation du traitement • Droit à la portabilité • Droit d'opposition Pour exercer ces droits : privacy@myumrah.ai Délai de réponse : 30 jours maximum. Vous pouvez également introduire une réclamation auprès de la CNIL (France), de la SDAIA (Arabie Saoudite), ou de toute autorité de protection des données compétente.

MyUmrah.ai utilise Umami Analytics, une solution d'analyse respectueuse de la vie privée qui ne dépose aucun cookie et ne collecte aucune donnée personnelle. Stripe, notre prestataire de paiement, peut utiliser des cookies strictement nécessaires à la prévention de la fraude et à la sécurité des transactions lors du processus de paiement. Ces cookies sont exemptés du recueil de consentement conformément à l'article 5(3) de la Directive 2002/58/CE (Directive ePrivacy), car ils sont indispensables à la fourniture du service de paiement. En dehors de ces cookies fonctionnels, aucun bandeau de consentement n'est nécessaire.

Nous mettons en œuvre les mesures suivantes : • Chiffrement AES-256 des données sensibles au repos • TLS 1.3 pour toutes les communications • Row Level Security (RLS) pour l'isolation des données par agence • Authentification MFA disponible • Audit trail de tous les accès aux données sensibles • Tests de sécurité réguliers • Conformité NIST Cybersecurity Framework et CIS Benchmarks Level 1

Conformément au Personal Data Protection Law (PDPL) : • Enregistrement auprès de la SDAIA : documentation pré-remplie disponible • Double opt-in pour les données sensibles (santé, religion) • Consentement parental requis pour les données de mineurs • Notification de violation sous 72 heures à la SDAIA • Durée de conservation limitée conformément à l'article 18 du PDPL

Nous nous réservons le droit de modifier cette politique. Toute modification substantielle sera notifiée par email aux Clients au moins 30 jours avant son entrée en vigueur.

Pour toute question relative à cette politique : Djambar AI FZCO Email : privacy@myumrah.ai Adresse : Dubai Silicon Oasis, Dubaï, EAU