Politique de Confidentialité

Version 1.0 · Loi n° 2013-450 (ARTCI) · DPO : legal@payqit.com

Article 1 — Identité du responsable de traitement

Le responsable du traitement des données à caractère personnel collectées via la plateforme PayQit est :

ChampInformation
Raison socialeKoneXione SARL
Forme juridiqueSociété à Responsabilité Limitée Unipersonnelle de droit ivoirien
RCCMCI-ABJ-03-2026-B13-02245
Numéro CC2601034R
Siège socialAbidjan, Côte d'Ivoire
Email DPO / Juridiquelegal@payqit.com
Plateforme concernéehttps://payqit.com

KoneXione SARL est immatriculée au Registre du Commerce et du Crédit Mobilier d'Abidjan et exerce son activité en conformité avec la législation ivoirienne.

Article 2 — Cadre légal

La présente Politique de Confidentialité est rédigée en application des textes suivants :

  • Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel (Côte d'Ivoire — ARTCI)
  • Loi n° 2013-546 du 30 juillet 2013 relative aux transactions électroniques
  • Actes uniformes OHADA, en ce qu'ils imposent la conservation des données comptables et transactionnelles pendant dix (10) ans
  • Clauses contractuelles types (SCC) de l'Union européenne, applicables aux transferts de données vers des sous-traitants établis en dehors de la Côte d'Ivoire

Article 3 — Données collectées et finalités

PayQit collecte uniquement les données strictement nécessaires à l'exécution de ses services.

3.1 Compte Acheteur (inscription)

Donnée collectéeFinalité
Numéro de téléphoneIdentifiant unique de connexion, gestion du compte, envoi de notifications SMS
Nom et prénomIdentification de l'Acheteur, traçabilité des transactions
Adresse email (optionnelle)Envoi de notifications transactionnelles et récapitulatifs
Mot de passe (hashé)Sécurité d'accès au compte — jamais stocké en clair

Compte Vendeur (inscription + KYC obligatoire)

Donnée collectéeFinalité
Numéro de téléphoneIdentifiant unique de connexion, notifications SMS
Adresse emailNotifications transactionnelles, réinitialisation mot de passe
Nom et prénomIdentité légale — immuable après vérification
Nom de boutiqueIdentifiant public sur la plateforme
Secteur d'activitéCohérence avec l'activité déclarée (LBC/FT)
Type et numéro de pièce d'identitéVérification d'identité (KYC) — obligation LBC/FT
Photo recto et verso de la pièceVérification d'identité (KYC)
Numéro Wave personnelCompte de réception des fonds après finalisation des ventes
Nom complet WaveCorrespondance identité légale / compte Wave
Mot de passe (hashé)Sécurité d'accès — jamais stocké en clair

Compte Silencieux (Shadow Account)

Définition : lors du premier paiement effectué depuis un numéro de téléphone non encore enregistré sur PayQit, un Compte Silencieux est automatiquement créé et associé à ce numéro. Ce compte ne dispose pas de mot de passe jusqu'à son activation volontaire par l'Acheteur.

Base légale : exécution du contrat de service de séquestre (Loi n° 2013-450, article 8b).

Information obligatoire : un SMS est envoyé immédiatement après confirmation du paiement, indiquant la création du compte et les modalités d'activation ou d'exercice des droits.

Conservation : les données transactionnelles sont conservées dix (10) ans (OHADA). Les données de profil non transactionnelles peuvent être anonymisées après vingt-quatre (24) mois d'inactivité.

3.2 Données collectées lors des transactions

Donnée collectéeFinalité
Contenu de la vente (titre, description, état, photos produit)Affichage page de paiement, instruction de litige éventuel
Montant de la transaction, frais, totalCalcul tarifaire, comptabilité, audit
Mode logistique choisi (Livraison / Expédition)Gestion du cycle de vie de la transaction
Photo preuve d'envoi (Expédition obligatoire, Livraison optionnelle)Instruction de litige, preuve de conformité
Code de sécurité (OTP à 4 chiffres)Déclenchement du transfert de fonds — jamais affiché en clair après remise
Historique des statuts et horodatagesTraçabilité légale, audit, instruction de litige
Messages du chat de litigeInstruction du litige par l'administrateur
Numéro Wave Acheteur (remboursement uniquement)Traitement des remboursements Wave

3.3 Données collectées automatiquement

DonnéeFinalité / Base légale
Logs de connexion (adresse IP anonymisée, horodatage)Sécurité, détection d'attaques — intérêt légitime
Logs d'audit des actions sur les transactionsTraçabilité légale obligatoire (OHADA) — obligation légale
Données comportementales anonymes (Plausible Analytics)Amélioration du produit — hors champ Loi 2013-450, pas de consentement requis
Données de sécurité PostHog (sans identifiant utilisateur, IP anonymisée)Détection d'attaques, rate limiting — intérêt légitime (rétention 12 mois)

Article 4 — Bases légales des traitements

Conformément à la Loi n° 2013-450, chaque traitement repose sur une base légale identifiée :

TraitementBase légaleArticle Loi 2013-450
Création de compte Acheteur / VendeurExécution du contratArt. 8a
Création du Compte SilencieuxExécution du contratArt. 8b
KYC Vendeur (pièce d'identité)Obligation légale (LBC/FT)Art. 8c
Conservation décennale des données transactionnellesObligation légale (OHADA)Art. 8c
Logs de sécurité / PostHogIntérêt légitimeArt. 8e
Analytics Plausible (données anonymes)Hors champ (données non personnelles)N/A
Notifications transactionnelles (email, SMS)Exécution du contratArt. 8a
Réponse aux réquisitions judiciairesObligation légaleArt. 8c

Article 5 — Durées de conservation

Catégorie de donnéesDurée de conservationJustification
Données transactionnelles (montants, statuts, logs d'audit, OTP)10 ans à compter de la date de la transactionObligation légale OHADA
Données KYC Vendeur (pièce d'identité, photos)10 ans à compter de la clôture du compteObligation LBC/FT
Données de profil Vendeur / Acheteur actifDurée de la relation contractuelle + 10 ansOHADA
Données de profil non transactionnelles — compte inactif24 mois d'inactivité puis anonymisationPrincipe de minimisation
Données de profil du Compte Silencieux non activé24 mois d'inactivité puis anonymisation (données transactionnelles conservées 10 ans)Loi 2013-450 + OHADA
Logs de sécurité / PostHog12 mois glissantsIntérêt légitime limité
Messages du chat de litige10 ans (partie intégrante du dossier transactionnel)OHADA
Tokens de réinitialisation de mot de passe1 heure à compter de la générationSécurité
Limite au droit à l'effacementEn application des obligations OHADA, les données transactionnelles ne peuvent pas être effacées avant l'expiration du délai légal de dix (10) ans, même sur demande de l'Utilisateur. En cas de clôture de compte, les données transactionnelles sont conservées et isolées ; seules les données de profil non transactionnelles peuvent être anonymisées.

Article 6 — Destinataires et transferts de données

6.1 Destinataires internes

Les données personnelles des Utilisateurs sont accessibles uniquement aux membres de l'équipe KoneXione SARL habilités, dans le cadre strict de leurs missions (traitement des KYC, instruction des litiges, traitement des retraits).

6.2 Sous-traitants techniques

PayQit fait appel aux sous-traitants techniques suivants, avec lesquels des accords de traitement des données (Data Processing Agreements — DPA) sont conclus :

Sous-traitantRôleLocalisation des données
Vercel Inc. (USA)Hébergement de l'application web et API — infrastructure principaleÉtats-Unis d'Amérique
Supabase (eu-west-1)Base de données PostgreSQL, authentification, stockage de fichiers (pièces KYC, photos produits)Irlande, Union européenne
Wave Mobile Money CITraitement des flux financiers (collecte, remboursement, décaissement) — EME agréé BCEAOCôte d'Ivoire
Plausible AnalyticsAnalytics produit — données anonymes, hors champ données personnellesUnion européenne
PostHogSécurité applicative uniquement (sans identifiant utilisateur, IP anonymisées, rétention 12 mois)Union européenne

6.3 Autorités compétentes

PayQit peut être tenu de communiquer des données personnelles aux autorités suivantes, sur réquisition judiciaire ou administrative légalement fondée :

  • ARTCI (Autorité de Régulation des Télécommunications / TIC de Côte d'Ivoire)
  • CENTIF (Cellule Nationale de Traitement des Informations Financières) — en cas de déclaration de soupçon
  • Juridictions civiles et pénales d'Abidjan
  • Direction Générale des Impôts (DGI)

Toute communication aux autorités fait l'objet d'un enregistrement dans le registre des traitements de KoneXione SARL. Conformément à ses obligations légales en matière de LBC/FT, PayQit ne peut informer l'Utilisateur concerné d'une déclaration de soupçon en cours.

6.4 Absence de vente ou cession de données

PayQit ne vend, ne loue et ne cède en aucun cas les données personnelles de ses Utilisateurs à des tiers à des fins commerciales. Aucun accord de partage de données à des fins publicitaires n'est conclu.

Article 7 — Droits des personnes concernées

Conformément à la Loi n° 2013-450, tout Utilisateur dispose des droits suivants à l'égard de ses données personnelles :

DroitDescription et modalités d'exercice
Droit d'accès (art. 17)Obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie. Délai de réponse : 30 jours calendaires.
Droit de rectification (art. 18)Faire corriger les données inexactes ou incomplètes. Délai de réponse : 30 jours calendaires. Note : les données KYC Vendeur ne sont modifiables qu'après vérification par l'administrateur.
Droit à l'effacement (art. 19)Demander la suppression des données. Ce droit est limité par les obligations légales de conservation (OHADA — 10 ans pour les données transactionnelles). Seules les données non soumises à obligation légale peuvent être supprimées.
Droit d'opposition (art. 20)S'opposer à tout traitement reposant sur la base légale de l'intérêt légitime (ex. : logs PostHog).
Droit à la portabilitéRecevoir vos données dans un format structuré et lisible par machine. Applicable aux données fournies volontairement.
Droit à la limitation du traitementObtenir la restriction du traitement de vos données dans les cas prévus par la loi.
Comment exercer vos droitsToute demande doit être adressée par email à legal@payqit.com, accompagnée d'un justificatif d'identité. Délai de réponse : 30 jours calendaires à compter de la réception de la demande complète. En cas de demande complexe, ce délai peut être prorogé de 30 jours supplémentaires, avec information de l'Utilisateur.

Article 8 — Sécurité des données

KoneXione SARL met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données personnelles des Utilisateurs contre tout accès non autorisé, divulgation, altération ou destruction.

8.1 Mesures techniques

  • Chiffrement des communications par protocole TLS (HTTPS obligatoire sur toutes les routes)
  • Stockage des mots de passe par hachage cryptographique (bcrypt) — aucun mot de passe n'est stocké en clair
  • Authentification sécurisée par sessions (expiration automatique après 30 minutes d'inactivité)
  • Verrouillage temporaire des comptes après 3 tentatives de connexion infructueuses consécutives (durée : 30 minutes)
  • Isolation des données sensibles KYC (photos de pièces d'identité) dans un stockage dédié à accès restreint
  • Logs d'audit complets sur toutes les actions critiques (statuts de transactions, accès KYC, retraits)
  • Anonymisation des adresses IP dans les outils d'analyse (PostHog)

8.2 Mesures organisationnelles

  • Accès aux données personnelles limité aux membres de l'équipe habilités selon le principe du moindre privilège
  • Obligations contractuelles de confidentialité pour tous les membres de l'équipe
  • Contrats de sous-traitance (DPA) avec tous les prestataires traitant des données personnelles

8.3 Notification de violation de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour les droits et libertés des Utilisateurs, KoneXione SARL s'engage à notifier les personnes concernées dans les meilleurs délais et à en informer l'ARTCI conformément aux dispositions de la Loi n° 2013-450.

Article 9 — Cookies et traceurs

La plateforme PayQit utilise les traceurs suivants :

TraceurTypeFinalité
Cookies de session (httpOnly, Secure)Technique — strictement nécessaireMaintien de la session authentifiée — aucun consentement requis
Plausible AnalyticsAnalytique anonymeMesure d'audience — données agrégées sans identifiant personnel — aucun consentement requis
PostHogSécuritéDétection d'attaques, rate limiting — sans identifiant utilisateur, IP anonymisées — base légale : intérêt légitime

PayQit n'utilise aucun cookie publicitaire ou de ciblage. Aucun traceur tiers à des fins marketing n'est déposé sur les terminaux des Utilisateurs.

Article 10 — Spécificités du traitement LBC/FT

En sa qualité de plateforme de services de paiement, KoneXione SARL est soumise à des obligations de vigilance en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT). À ce titre :

  • Vérification d'identité (KYC) obligatoire pour les Vendeurs : les données d'identité collectées dans ce cadre sont conservées pendant dix (10) ans à compter de la clôture du compte.
  • Surveillance comportementale des transactions : PayQit analyse les patterns de transactions afin de détecter des comportements anormaux susceptibles de constituer un soupçon de blanchiment ou de financement du terrorisme. Cette surveillance est fondée sur le comportement, non sur un seuil de montant.
  • Déclaration de soupçon à la CENTIF : en cas de détection d'un comportement suspect, PayQit procède à une déclaration de soupçon auprès de la CENTIF conformément à la réglementation en vigueur. Conformément à ses obligations légales, PayQit ne peut informer l'Utilisateur d'une telle déclaration.
  • KYC renforcé (applicable à compter de la phase V1.5) : tout Vendeur dont le volume de transactions cumulé dépasse cinq millions (5 000 000) FCFA sur un mois calendaire sera soumis à une demande de justificatif d'activité, effectuée une seule fois.

Article 11 — Modifications de la Politique de Confidentialité

KoneXione SARL se réserve le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour refléter les évolutions réglementaires, les changements de pratiques de traitement ou les modifications du produit PayQit.

Toute modification substantielle est notifiée aux Utilisateurs par email et par notification sur la plateforme, avec un préavis minimum de trente (30) jours calendaires avant son entrée en vigueur. La poursuite de l'utilisation des services PayQit après la date d'entrée en vigueur vaut acceptation de la nouvelle Politique de Confidentialité.

Les versions antérieures de la Politique de Confidentialité sont archivées et accessibles sur la plateforme.

Article 12 — Droit applicable et autorité de contrôle

La présente Politique de Confidentialité est régie par la Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, et plus généralement par le droit ivoirien.

L'autorité de contrôle compétente est l'ARTCI (Autorité de Régulation des Télécommunications / TIC de Côte d'Ivoire). En cas de réclamation relative à l'exercice de vos droits restée sans réponse satisfaisante dans le délai imparti, vous disposez du droit de saisir l'ARTCI.

Article 13 — Contacts

CanalCoordonnées
Email DPO / Juridiquelegal@payqit.com
Email service clientservice@payqit.com
WhatsApp service client+225 01 510 411 00 — 7j/7, 24h/24
Adresse postaleKoneXione SARL — Abidjan, Côte d'Ivoire

PayQit — édité par KoneXione SARL — RCCM CI-ABJ-03-2026-B13-02245 — Abidjan, Côte d'Ivoire