Politique de Confidentialité

Le Délégué à la Protection des Données (DPO) est joignable par e-mail à dpo@antoinette-crm.com. Il est chargé de veiller au respect de la présente Politique, de répondre aux demandes d'exercice de droits et de maintenir les relations avec les autorités de contrôle compétentes.

Dualité des rôles : l'Éditeur agit en qualité de Responsable de Traitement pour les données des Utilisateurs (comptes, connexions, facturation) et en qualité de Sous-traitant pour les Données Client (données métier saisies par les Clients concernant leurs propres tiers).

2.1 Données d'identification (Responsable de Traitement)

• Prénom, nom, adresse e-mail professionnelle, numéro de téléphone professionnel
• Raison sociale, forme juridique, pays d'exercice, secteur d'activité
• Numéro d'immatriculation (RCCM, NIF, NINEA selon le pays)
• Photo de profil (optionnel, fournie par l'Utilisateur)

2.2 Données de connexion et navigation

• Adresse IP (également enregistrée lors de l'acceptation des CGU)
• Type et version du navigateur, système d'exploitation
• Horodatage des connexions, déconnexions et actions principales (audit trail)
• Token d'authentification JWT (durée de vie limitée, stocké en mémoire côté client)

2.3 Données d'utilisation du Service

• Journal complet des actions (qui a créé, modifié, supprimé quoi, quand)
• Métriques d'utilisation anonymisées (modules utilisés, fréquence)
• Préférences d'interface (thème, langue, configuration des tableaux de bord)
• Version des CGU acceptée et date d'acceptation

2.4 Données métier (Sous-traitant)

Ces données sont saisies, importées et gérées exclusivement par le Client dans le cadre de son activité. L'Éditeur ne les accède qu'à des fins techniques de maintenance et de sécurité.

• Données clients/fournisseurs/contacts du Client (CRM)
• Factures, devis, commandes, bulletins de paie, données comptables
• Données RH : employés, contrats, congés, présences, salaires
• Données opérationnelles sectorielles (réservations hôtelières, dossiers juridiques, etc.)
• Documents uploadés (GED)

2.5 Données de paiement

• Référence de transaction Mobile Money / carte bancaire
• Montant, date, devise et statut du paiement
• Important : les numéros de carte bancaire bruts et les identifiants Mobile Money ne sont jamais stockés sur les serveurs de l'Éditeur. Ils sont traités directement par FedaPay et CinetPay (opérateurs certifiés PCI-DSS et BCEAO).

2.6 Données non collectées

L'Éditeur ne collecte pas :

• Données de santé (sauf si le Client les saisit volontairement dans la GED)
• Données biométriques
• Données révélant les opinions politiques, religieuses ou syndicales
• Données de mineurs de moins de 18 ans (le Service est réservé aux professionnels)

4.1 Sous-traitants techniques

4.2 Transferts internationaux

Supabase Inc. et Vercel Inc. sont établis aux États-Unis. Ces transferts en dehors de la zone UEMOA sont encadrés par des garanties adéquates : clauses contractuelles types reconnues par les autorités de contrôle compétentes (APDP, CDP), engagements contractuels spécifiques et mise en œuvre des principes de minimisation des données.

Aucune donnée n'est vendue à des tiers à des fins commerciales, publicitaires ou de profilage. Aucun accès n'est accordé à des tiers hors des cas listés ci-dessus.

4.3 Divulgation légale obligatoire

L'Éditeur peut être tenu de divulguer des données sur requête d'une autorité judiciaire, administrative ou fiscale dûment habilitée dans un État membre. Le Client concerné en sera informé dans la mesure du possible, sauf interdiction légale.

À l'issue de chaque délai, les données sont supprimées de manière irréversible ou anonymisées. Les données soumises à des obligations légales de conservation ne peuvent être supprimées avant leur terme, même sur demande du Client.

L'Éditeur met en œuvre un niveau de sécurité conforme à l'état de l'art et aux exigences des législations applicables :

• Chiffrement en transit : TLS 1.3 (HTTPS obligatoire, HSTS activé)
• Chiffrement au repos : AES-256 sur l'ensemble des volumes Supabase
• Isolation des données : Row-Level Security (RLS) PostgreSQL — chaque Tenant ne voit que ses propres données
• Authentification : JWT à durée de vie limitée (session token 1h, refresh token 7j), MFA optionnelle
• Contrôle d'accès : RBAC granulaire (Super-Admin, Admin Tenant, Manager, Employé) avec principe du moindre privilège
• Audit trail : journal immuable de toutes les actions utilisateurs avec horodatage
• Sauvegardes : automatiques quotidiennes, rétention 30 jours, infrastructure Supabase géo-redondante
• Surveillance : monitoring 24/7 avec alertes automatiques sur anomalies
• Tests de sécurité : revues de code régulières orientées OWASP Top 10

6.1 Gestion des incidents

En cas de violation de données personnelles (accès non autorisé, perte, destruction accidentelle ou illicite), l'Éditeur :

• Notifie le Client concerné par e-mail dans les 72 heures (Art. 42 Loi CI 2013-450 ; Art. 110 Loi SN 2008-12)
• Notifie les autorités de contrôle compétentes conformément aux législations applicables
• Documente l'incident, les mesures prises et les recommandations dans un registre interne

Conformément aux législations applicables dans chaque pays couvert (Loi CI 2013-450, Loi SN 2008-12, Loi TG 2019-014, etc.) et à la Convention de Malabo (UA 2014), toute personne concernée dispose des droits suivants :

7.1 Comment exercer vos droits

Adressez votre demande à dpo@antoinette-crm.com en indiquant : vos nom et prénom, votre adresse e-mail enregistrée, la nature du droit que vous souhaitez exercer, et une copie d'un document d'identité valide. Toute demande incomplète sera retournée. Le DPO répond dans un délai maximum de 30 jourscalendaires, ce délai pouvant être prolongé de 30 jours supplémentaires sur notification motivée.

7.2 Limitations spécifiques

Le droit d'effacement et le droit à la portabilité ne s'appliquent pas aux données soumises à des obligations légales de conservation (comptabilité OHADA 10 ans, données fiscales 5 ans, journaux cybersécurité 12 mois). Ces données ne peuvent être supprimées avant l'écoulement du délai légal.

Le Service utilise uniquement des cookies et mécanismes de stockage strictement nécessaires à son fonctionnement :

L'Éditeur ne dépose aucun cookie de tracking publicitaire, aucun pixel de suivi et n'intègre aucun outil d'analytics tiers (pas de Google Analytics, Meta Pixel, Hotjar, Mixpanel, etc.) sur la plateforme.

Le site vitrine (page d'accueil publique) peut utiliser des mécanismes d'analyse de trafic anonymisés. La liste sera maintenue à jour dans la présente Politique.

En cas de litige concernant le traitement de vos données personnelles que vous ne parvenez pas à résoudre directement avec notre DPO, vous pouvez introduire une réclamation auprès de l'autorité de contrôle de votre pays :

Ces autorités ont compétence pour recevoir les plaintes des personnes résidant dans leur pays respectif concernant le traitement de leurs données personnelles.

Le Service n'est pas conçu pour le traitement de catégories particulières de données (données sensibles) au sens des législations applicables (données révélant les origines raciales ou ethniques, opinions politiques, convictions religieuses, données de santé, données biométriques, données d'infractions pénales).

Si un Client choisit de stocker de telles données dans la GED ou tout autre module, il agit sous sa propre responsabilité en qualité de Responsable de Traitement, est tenu d'en informer les personnes concernées, d'obtenir les consentements appropriés et de déclarer le traitement aux autorités de contrôle compétentes selon les réglementations locales (déclaration préalable ou autorisation selon les pays).

L'Éditeur n'effectue pas de profilage des personnes concernées à des fins de prise de décision automatisée produisant des effets juridiques (refus de crédit, refus d'emploi, etc.).

Les outils de recommandation et d'analyse intégrés au Service (tableaux de bord, rapports automatiques) sont des outils d'aide à la décision destinés aux Utilisateurs humains et ne constituent pas des décisions automatisées au sens des législations applicables.

Le Service Antoinette CRM est exclusivement destiné à un usage professionnel. Les personnes de moins de 18 ans ne sont pas autorisées à créer de compte ou à utiliser le Service. L'Éditeur ne collecte pas sciemment de données personnelles de mineurs de moins de 18 ans.

La présente Politique s'inscrit dans les cadres suivants :

• Convention de Malabo (UA, 2014) — Convention de l'Union Africaine sur la cybersécurité et la protection des données à caractère personnel. Premier instrument africain contraignant en la matière.
• Acte additionnel CEDEAO A/SA 1/01/10 — relatif à la protection des données personnelles dans l'espace de la Communauté Économique des États de l'Afrique de l'Ouest.
• Lignes directrices OCDE sur la vie privée (2013) — principes fondamentaux reconnus universellement : collecte limitée, qualité des données, spécification de la finalité, limitation d'utilisation, mesures de sécurité, transparence, participation individuelle, responsabilité.
• Principes directeurs UNGP (ONU) — Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l'homme, applicables aux traitements de données.
• OHADA — dispositions relatives à la preuve électronique et aux responsabilités des prestataires numériques.

La présente Politique peut être modifiée à tout moment pour refléter les évolutions légales, réglementaires ou techniques. Toute modification substantielle est communiquée aux Utilisateurs par notification dans l'application et par e-mail au moins 30 jours avant l'entrée en vigueur.

En cas de modification substantielle, une nouvelle acceptation explicite sera requise via le mécanisme d'acceptation des CGU intégré à l'interface (version 2.0). L'historique des versions est disponible sur demande à dpo@antoinette-crm.com.