Accord de Traitement des Données (DPA)

1. PARTIES

Responsable du traitement (Contrôleur): L'utilisateur (« vous ») qui crée un compte sur la plateforme Sama Kopar.

Prestataire de traitement (Processeur): Sama Kopar SAS, exploitant la plateforme de gestion des finances personnelles à www.samakopar.com (« nous », « notre »).

Délégué à la Protection des Données (DPO): dpo@samakopar.com

2. OBJET ET CHAMP D'APPLICATION

Le présent Accord de Traitement des Données (« DPA ») complète les Conditions d'utilisation et la Politique de confidentialité de Sama Kopar. Il régit le traitement des données personnelles par Sama Kopar au nom de ses utilisateurs, en conformité avec :

• RGPD (Règlement général sur la protection des données 2016/679)
• Loi sénégalaise sur la protection des données personnelles (Loi n° 2008-12)
• Réglementations BCEAO/UEMOA sur les données financières
• CCPA (Loi californienne sur la confidentialité des consommateurs) le cas échéant

3. DÉFINITIONS

Données personnelles: Toute information relative à une personne physique identifiée ou identifiable.

Traitement: Toute opération effectuée sur des données personnelles (collecte, enregistrement, stockage, adaptation, consultation, utilisation, divulgation, effacement, destruction).

Personne concernée: La personne physique dont les données personnelles sont traitées.

Sous-traitant: Un tiers engagé par Sama Kopar pour traiter des données personnelles.

CDP: Commission des Données Personnelles du Sénégal (Autorité de protection des données sénégalaise).

4. DÉTAILS DU TRAITEMENT DES DONNÉES

4.1 Catégories de personnes concernées

• Utilisateurs enregistrés de la plateforme Sama Kopar
• Utilisateurs de compte de démonstration (accès en lecture seule)

4.2 Catégories de données personnelles traitées

4.3 Finalités du traitement

1. Fourniture du service de suivi des finances personnelles
2. Recommandations financières alimentées par l'IA et détection d'anomalies
3. Traitement des paiements pour les niveaux d'abonnement
4. Surveillance de la sécurité et détection de la fraude
5. Conformité aux obligations légales (conservation BCEAO 7 ans)
6. Amélioration des services et analyse (avec consentement)

4.4 Durée du traitement

• Comptes actifs: Pendant la durée de la relation de compte
• Comptes inactifs: Suppression après 2 ans d'inactivité (période de grâce de 30 jours)
• Journaux d'audit financiers: 7 ans conformément aux exigences BCEAO
• Post-suppression: Les données analytiques anonymisées sont conservées; les données personnelles sont définitivement supprimées

5. OBLIGATIONS DU PRESTATAIRE DE TRAITEMENT (SAMA KOPAR)

5.1 Instructions de traitement

Sama Kopar traite les données personnelles uniquement selon les instructions documentées du responsable du traitement (utilisateur), sauf si requis par la loi.

5.2 Confidentialité

Tout le personnel ayant accès aux données personnelles est lié par des obligations de confidentialité.

5.3 Mesures de sécurité

Sama Kopar met en œuvre les mesures techniques et organisationnelles suivantes:

Mesures techniques:

• Chiffrement AES-256 pour les données financières sensibles
• HTTPS/TLS pour toutes les données en transit
• Authentification Firebase avec support MFA
• Verrouillage de compte avec échelle exponentielle
• RBAC 6 niveaux de hiérarchie d'accès
• Règles de sécurité Firestore avec validation au niveau du champ
• Protection CSRF avec jetons cryptographiques
• Limitation de débit (auth: 5/min, paiement: 5/min, admin: 50/min)
• Vérification de signature webhook (HMAC-SHA256)
• En-têtes Content Security Policy (CSP)
• Journaux d'audit immuables avec intégrité en chaîne de hachage

Mesures organisationnelles:

• Délégué à la Protection des Données désigné (dpo@samakopar.com)
• Programme d'audit de sécurité (trimestriel)
• Procédures de réponse aux incidents (SLA P0-P3)
• Application de la politique de conservation des données (automatisée quotidiennement)
• Examens d'accès et gestion des rôles

5.4 Sous-traitants

Sama Kopar fait appel aux sous-traitants suivants:

Les utilisateurs sont informés des changements de sous-traitants par e-mail avec un préavis de 30 jours.

5.5 Assistance pour l'exercice des droits des personnes concernées

Sama Kopar aide les utilisateurs à exercer leurs droits:

• Accès: Export de données (CSV, PDF) via Paramètres > Confidentialité
• Rectification: Édition de profil dans l'application
• Effacement: Suppression de compte avec période de grâce de 30 jours
• Portabilité: Téléchargement de données structurées (format JSON)
• Opposition: Formulaire de demande RGPD dans l'application
• Limitation: Demande de limitation du traitement

Délai de réponse: Maximum 15 jours ouvrables.

5.6 Notification de violation

• Sama Kopar notifie le responsable du traitement dans les 72 heures suivant la découverte d'une violation de données personnelles (Article 33 RGPD)
• Les rapports de violation incluent: nature de la violation, catégories de données affectées, nombre approximatif d'enregistrements, conséquences, mesures d'atténuation
• Les violations critiques déclenchent une notification automatique à la CDP Sénégal
• Les rapports de violation sont conservés pendant 7 ans

5.7 Retour et suppression des données

À la résiliation de la relation de service:

• Les utilisateurs peuvent exporter leurs données avant suppression de compte
• Les données personnelles sont supprimées dans les 30 jours suivant la fermeture du compte
• Les journaux d'audit financiers sont conservés pendant 7 ans conformément aux exigences BCEAO
• Un certificat de suppression est fourni sur demande

6. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT (UTILISATEUR)

6.1 Traitement licite

L'utilisateur s'assure que son utilisation de Sama Kopar est conforme aux lois applicables en matière de protection des données.

6.2 Exactitude des données

L'utilisateur est responsable du maintien des données personnelles exactes et à jour.

6.3 Consentement

Lorsque le traitement repose sur le consentement, l'utilisateur fournit un consentement valide via le système de gestion du consentement de la plateforme.

7. TRANSFERTS INTERNATIONAUX DE DONNÉES

7.1 Localisation des données

Le traitement principal des données s'effectue en europe-west1 (Belgique, UE) via Google Cloud Platform.

7.2 Garanties de transfert

Pour les transferts vers des sous-traitants en dehors de l'UE/EEE:

• Des clauses contractuelles types (CCT) sont en place
• Des mesures supplémentaires sont appliquées conformément aux orientations Schrems II
• Des analyses d'impact de transfert sont menées pour chaque sous-traitant

8. AUDITS ET CONFORMITÉ

8.1 Droits d'audit

Les utilisateurs peuvent demander des informations sur la conformité de Sama Kopar avec ce DPA en contactant dpo@samakopar.com.

8.2 Documentation de conformité

Sama Kopar maintient les enregistrements des activités de traitement (Article 30 RGPD), incluant:

• Journaux d'audit (conservation 7 ans)
• Enregistrements de consentement
• Rapports de conservation des données
• Rapports d'incidents de sécurité
• Documentation DPIA

9. RESPONSABILITÉ ET INDEMNISATION

Chaque partie est responsable des dommages causés par son non-respect de ce DPA et des lois applicables en matière de protection des données. La responsabilité est limitée selon les Conditions d'utilisation.

10. DURÉE ET RÉSILIATION

Ce DPA est en vigueur à partir de la date de création du compte Sama Kopar par l'utilisateur et reste en effet pendant la durée de la relation de service, plus toute période de conservation obligatoire.

11. LOI APPLICABLE

Ce DPA est régi par les lois de la République du Sénégal, les dispositions du RGPD prévalant pour les personnes concernées de l'UE.