Sécurité & confidentialité
Sécurité et confidentialité chez TakwinLink
TakwinLink traite des données B2B sensibles (coordonnées d'entreprises, besoins de formation, devis). Cette page résume comment nous protégeons ces informations en phase pilote.
Authentification
L'accès à TakwinLink passe par Clerk, une solution d'authentification professionnelle (sessions chiffrées, cookies HTTP-only, support 2FA optionnelle au niveau du compte).
- Connexion par email + mot de passe ou Google
- Vérification d'email systématique
- Session courte par défaut, renouvelée automatiquement
- Possibilité d'activer la 2FA (TOTP) côté utilisateur
Permissions par rôle
Chaque action sur la plateforme passe par une vérification de permissions à trois niveaux :
- Connexion requise pour tout accès aux espaces privés
- Membership actif requis pour accéder aux espaces entreprise / organisme (un utilisateur sans membership voit l'onboarding)
- Filtre par scope sur chaque action sensible : un organisme ne peut consulter ou modifier que ses propres formations et demandes ; une entreprise ne voit que ses propres devis ; un admin a accès au scope global mais ses actions sont auditées
Le filtre est appliqué côté serveur, pas côté client — un appel API forgé ne contourne pas le contrôle.
Données et confidentialité
Ce que vous voyez :
- Les organismes voient uniquement les demandes de devis qui concernent leurs formations
- Les entreprises voient uniquement leurs propres demandes et les devis reçus
- Aucun croisement entre organismes, ni entre entreprises
Ce que nous (TakwinLink) voyons :
- L'équipe admin a accès aux demandes pour qualification et modération du catalogue
- Toutes les actions admin sont enregistrées dans un journal d'audit interne
Ce que nous n'utilisons pas vos données pour :
- Entraîner un modèle d'IA
- Vendre / partager à des prospects tiers
- Faire de la publicité ciblée
Notifications et emails
Les emails transactionnels (nouvelle demande, devis reçu, devis accepté) sont envoyés via un prestataire spécialisé. Nous limitons volontairement le contenu :
- Pas d'identifiants légaux (ICE, RC, IFF, CNSS) dans les emails
- Pas de message libre saisi par l'utilisateur en clair dans les emails
- Les détails restent accessibles uniquement dans l'application, via un lien d'authentification
Pour les notifications in-app : chaque utilisateur ne voit que les notifications qui le concernent (filtre serveur strict).
Hébergement
La plateforme s'appuie sur des fournisseurs européens et internationaux établis (hébergement Vercel / Neon, authentification Clerk, monitoring optionnel). Pour les détails de configuration spécifiques à votre environnement et les exigences de conformité (RGPD, hébergement Maroc/UE), nous recommandons une discussion en amont — chaque pilote peut adapter sa configuration.
Limites de la phase pilote
TakwinLink est en phase pilote. À ce stade :
- Pas d'audit de sécurité externe formel (planifié avant ouverture publique)
- Pas de certification ISO / SOC 2 — c'est un travail post-pilote
- Le périmètre fonctionnel est volontairement réduit (pas de paiement, pas de PDF, pas de réservation directe)
Ces limites sont assumées et documentées. Elles ne sont pas masquées aux pilotes — c'est précisément le sens d'une phase pilote.
Vos droits
Vous pouvez à tout moment :
- Corriger les informations de votre profil ou de votre entreprise / organisme
- Demander la suppression de votre compte et de vos données
- Demander un export de vos données
- Soumettre un retour ou signaler un incident
Délai cible de traitement en pilote : 5 jours ouvrés.
Nous contacter
- 🛡️ Sécurité, vulnérabilité, incident : security@takwinlink.com
- 📧 Question générale ou opérationnelle : page contact
- ℹ️ Programme pilote : voir la page