Politique de confidentialité
Comment SenWaAPI collecte, utilise et protège vos données personnelles
Le présent document est rédigé en français et en anglais. En cas de divergence d'interprétation, la version française fait foi.
1.Introduction
La présente Politique de confidentialité décrit la manière dont POULZZ SUARL (« nous », « notre », « nos ») collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs (« vous », « votre ») du service SenWaAPI (le « Service »).
Nous nous conformons au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD ») pour les personnes situées dans l'Union européenne, et à la loi sénégalaise n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel pour les personnes situées au Sénégal.
2.Responsable du traitement
Le responsable du traitement des données collectées via le Service est POULZZ SUARL, immatriculée au RCCM de Dakar sous le numéro SN DKR 2026 B 5030, dont le siège social est situé à Bène Baraque Ainoumady 2, Quartier Ainoumady 2, Dakar, Sénégal.
Pour les données liées aux transactions de paiement par carte bancaire (clients EUR/USD), le co-responsable du traitement est Monsieur Mamadou DIOP, entrepreneur individuel en France, agissant en qualité de distributeur autorisé.
Contact : [email protected]
3.Données collectées
Nous collectons les catégories de données suivantes :
| Catégorie | Données | Source |
|---|---|---|
| Compte utilisateur | Adresse email, nom (optionnel), mot de passe (haché bcrypt), date d'inscription | Renseignée par l'utilisateur |
| Authentification | Tokens JWT, refresh tokens (stockés en base de données hachés), historique de connexions, adresse IP | Générée par le Service |
| Paiement et facturation | Identifiant client Stripe ou Wave, statut d'abonnement, montant facturé, date de facturation, statut de paiement | Stripe / Wave / Service |
| Données de paiement | Numéros de carte, CVV, IBAN : NON STOCKÉS — gérés directement par Stripe | Stripe (jamais transmis à SenWaAPI) |
| Comptes WhatsApp | Identifiants techniques des sessions WhatsApp, numéro de téléphone associé, état de la session | Renseignée par l'utilisateur via QR code |
| Contenu des messages | Texte, médias (images, vidéos, documents), identifiants des destinataires (numéros WhatsApp) | Transmise via l'API par l'utilisateur |
| Logs et audit | Appels API, codes de réponse, audit_logs (actions sensibles), webhook_deliveries | Générée par le Service |
| Données techniques | User-Agent, langue préférée (cookie senwa-locale), horodatages | Navigateur |
| Analytique (intérêt légitime) | Pages consultées, événements produit (signup, plan_selected, etc.), identifiant pseudonymisé | PostHog |
4.Finalités du traitement
Nous traitons vos données pour les finalités suivantes :
- Fourniture du Service : création de compte, authentification, gestion des sessions WhatsApp, envoi et réception de messages, journalisation des appels API
- Facturation et gestion des abonnements : émission de factures, prélèvements récurrents, gestion des impayés
- Communication transactionnelle : confirmations d'inscription, alertes de sécurité, notifications de déconnexion de session WhatsApp, notifications de fin d'essai
- Sécurité : détection d'usages abusifs, audit, prévention de la fraude
- Conformité légale : conservation des factures (10 ans en droit français), réponse aux réquisitions judiciaires
- Amélioration produit : analyse statistique des usages (via PostHog, intérêt légitime)
- Support : traitement des demandes adressées à [email protected]
5.Bases légales (RGPD article 6)
| Finalité | Base légale RGPD |
|---|---|
| Fourniture du Service, facturation, gestion du compte | Exécution du contrat (art. 6(1)(b)) |
| Communication transactionnelle (sécurité, déconnexion, facturation) | Exécution du contrat (art. 6(1)(b)) |
| Conservation des factures, conformité fiscale | Obligation légale (art. 6(1)(c)) |
| Sécurité, prévention de la fraude | Intérêt légitime (art. 6(1)(f)) |
| Analytique produit (PostHog) | Intérêt légitime (art. 6(1)(f)) |
| Communication marketing (newsletter, le cas échéant) | Consentement (art. 6(1)(a)) |
6.Sous-traitants (prestataires tiers)
Nous faisons appel à des prestataires tiers pour fournir le Service. Chaque sous-traitant est lié par un contrat conforme à l'article 28 du RGPD garantissant un niveau de protection adéquat.
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Hébergement de la base de données (authentification, comptes, données utilisateurs) | Région UE — Francfort, Allemagne | DPA Supabase + SCCs UE |
| Stripe Payments Europe Ltd. | Traitement des paiements par carte bancaire | Irlande (UE) | DPA Stripe + PCI-DSS Level 1 |
| Wave Mobile Money | Traitement des paiements en XOF | Sénégal | Décision adéquation propre + contrat de prestation |
| IONOS SE | Envoi d'emails transactionnels (SMTP) | Allemagne (UE) | DPA IONOS |
| PostHog Inc. | Analytique produit (intérêt légitime) | Union européenne (PostHog Cloud EU, Francfort) | DPA PostHog (hébergement UE) |
| IONOS SE | Hébergement du serveur applicatif | Allemagne (UE) | DPA IONOS + certification ISO 27001 |
| Meta Platforms Inc. | Acheminement des messages WhatsApp (via WhatsApp Web) | Irlande (Meta Ireland Ltd) + États-Unis | Décision adéquation EU-US Data Privacy Framework |
La liste à jour des sous-traitants est mentionnée à l'Annexe III de notre Accord de Traitement des Données (DPA), accessible à l'adresse https://senwaapi.com/dpa.
7.Transferts internationaux de données
Certains de nos sous-traitants peuvent être amenés à traiter vos données en dehors de l'Union européenne, notamment aux États-Unis (Meta, Stripe Inc.) et au Sénégal (Wave, POULZZ SUARL).
Ces transferts sont encadrés par les mécanismes suivants :
- EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour les transferts vers les États-Unis avec des entreprises certifiées
- Clauses contractuelles types (SCCs) de la Commission européenne (décision 2021/914 du 4 juin 2021) pour les autres transferts
- Pour le Sénégal : la loi 2008-12 offre un cadre proche du RGPD ; les transferts intra-groupe sont encadrés par un accord interne
8.Durées de conservation
| Catégorie de données | Durée de conservation | Fondement |
|---|---|---|
| Compte utilisateur actif | Pendant toute la durée d'utilisation du Service | Exécution du contrat |
| Compte clôturé (volontairement ou par nous) | 30 jours après clôture, puis suppression définitive | Période de récupération en cas d'erreur |
| Factures et données comptables | 10 ans à compter de la clôture de l'exercice | Article L.123-22 Code de commerce (FR) |
| Logs d'authentification, refresh tokens | 12 mois maximum | Sécurité — intérêt légitime |
| Audit logs (actions sensibles) | 24 mois | Sécurité — intérêt légitime |
| Webhook deliveries | 90 jours | Débogage — intérêt légitime |
| Données analytiques (PostHog) | 24 mois maximum | Recommandation CNIL pour l'analytique |
| Contenu des messages WhatsApp en transit | Non conservé après livraison (pass-through) | Minimisation — RGPD art. 5(1)(c) |
9.Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi sénégalaise 2008-12, vous disposez des droits suivants :
- Droit d'accès (art. 15 RGPD) : obtenir confirmation que des données vous concernant sont traitées et en recevoir une copie
- Droit de rectification (art. 16 RGPD) : faire corriger des données inexactes ou incomplètes
- Droit à l'effacement / « droit à l'oubli » (art. 17 RGPD) : demander la suppression de vos données
- Droit à la limitation du traitement (art. 18 RGPD)
- Droit à la portabilité (art. 20 RGPD) : récupérer vos données dans un format structuré et machine-readable
- Droit d'opposition (art. 21 RGPD) : vous opposer au traitement fondé sur l'intérêt légitime
- Droit de retirer votre consentement à tout moment (art. 7 RGPD) pour les traitements fondés sur le consentement
- Droit de définir des directives post-mortem sur le sort de vos données (loi française Informatique et Libertés)
Pour exercer ces droits, contactez-nous à [email protected]. Nous nous engageons à répondre dans un délai d'un (1) mois conformément à l'article 12 du RGPD.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès :
- Pour les personnes en France : la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, 75007 Paris — www.cnil.fr
- Pour les personnes au Sénégal : la Commission de protection des données personnelles (CDP), Cité Keur Gorgui, Dakar — www.cdp.sn
- Pour les personnes dans un autre pays de l'UE : l'autorité de contrôle compétente de votre pays
11.Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'usage abusif, l'accès non autorisé, la divulgation, l'altération ou la destruction :
- Chiffrement TLS 1.2+ pour toutes les communications entre votre navigateur, l'API et nos sous-traitants
- Hachage bcrypt pour le stockage des mots de passe (jamais en clair)
- Hachage SHA-256 pour le stockage des clés API (jamais en clair)
- Authentification JWT à courte durée + refresh tokens hachés
- Tokens de réinitialisation à usage unique et durée limitée
- Journalisation des actions sensibles (audit_logs) pour traçabilité
- Sauvegardes chiffrées de la base de données
- Mises à jour de sécurité régulières du système et des dépendances
- Accès restreint à l'infrastructure (clés SSH, MFA sur les comptes admin)
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à la notifier à l'autorité de contrôle compétente dans les 72 heures (article 33 RGPD) et à vous informer dans les meilleurs délais si le risque est élevé (article 34 RGPD).
12.Données concernant les mineurs
Le Service n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données concernant des mineurs. Si vous constatez qu'un mineur nous a transmis des données, contactez-nous à [email protected] pour suppression immédiate.
13.Modifications de la présente Politique
Nous pouvons mettre à jour cette Politique de confidentialité pour refléter des évolutions du Service, des réglementations applicables ou des sous-traitants utilisés. La date de dernière mise à jour figure en tête de ce document.
Les modifications substantielles vous seront notifiées par email au moins trente (30) jours avant leur entrée en vigueur.
14.Contact
Pour toute question relative à cette Politique ou à l'exercice de vos droits, vous pouvez nous contacter à : [email protected].
POULZZ SUARL n'a pas désigné de Délégué à la Protection des Données (DPO) car nous n'y sommes pas légalement tenus au sens de l'article 37 du RGPD. Néanmoins, toute demande relative à la protection de vos données est traitée prioritairement à l'adresse [email protected].