Article 1 — Identité du responsable de traitement
Le responsable du traitement des données à caractère personnel collectées via la plateforme PayQit est :
| Champ | Information |
|---|---|
| Raison sociale | KoneXione SARL |
| Forme juridique | Société à Responsabilité Limitée Unipersonnelle de droit ivoirien |
| RCCM | CI-ABJ-03-2026-B13-02245 |
| Numéro CC | 2601034R |
| Siège social | Abidjan, Côte d'Ivoire |
| Email DPO / Juridique | legal@payqit.com |
| Plateforme concernée | https://payqit.com |
KoneXione SARL est immatriculée au Registre du Commerce et du Crédit Mobilier d'Abidjan et exerce son activité en conformité avec la législation ivoirienne.
Article 2 — Cadre légal
La présente Politique de Confidentialité est rédigée en application des textes suivants :
- Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel (Côte d'Ivoire — ARTCI)
- Loi n° 2013-546 du 30 juillet 2013 relative aux transactions électroniques
- Actes uniformes OHADA, en ce qu'ils imposent la conservation des données comptables et transactionnelles pendant dix (10) ans
- Clauses contractuelles types (SCC) de l'Union européenne, applicables aux transferts de données vers des sous-traitants établis en dehors de la Côte d'Ivoire
Article 3 — Données collectées et finalités
PayQit collecte uniquement les données strictement nécessaires à l'exécution de ses services.
3.1 Compte Acheteur (inscription)
| Donnée collectée | Finalité |
|---|---|
| Numéro de téléphone | Identifiant unique de connexion, gestion du compte, envoi de notifications SMS |
| Nom et prénom | Identification de l'Acheteur, traçabilité des transactions |
| Adresse email (optionnelle) | Envoi de notifications transactionnelles et récapitulatifs |
| Mot de passe (hashé) | Sécurité d'accès au compte — jamais stocké en clair |
Compte Vendeur (inscription + KYC obligatoire)
| Donnée collectée | Finalité |
|---|---|
| Numéro de téléphone | Identifiant unique de connexion, notifications SMS |
| Adresse email | Notifications transactionnelles, réinitialisation mot de passe |
| Nom et prénom | Identité légale — immuable après vérification |
| Nom de boutique | Identifiant public sur la plateforme |
| Secteur d'activité | Cohérence avec l'activité déclarée (LBC/FT) |
| Type et numéro de pièce d'identité | Vérification d'identité (KYC) — obligation LBC/FT |
| Photo recto et verso de la pièce | Vérification d'identité (KYC) |
| Numéro Wave personnel | Compte de réception des fonds après finalisation des ventes |
| Nom complet Wave | Correspondance identité légale / compte Wave |
| Mot de passe (hashé) | Sécurité d'accès — jamais stocké en clair |
Compte Silencieux (Shadow Account)
Définition : lors du premier paiement effectué depuis un numéro de téléphone non encore enregistré sur PayQit, un Compte Silencieux est automatiquement créé et associé à ce numéro. Ce compte ne dispose pas de mot de passe jusqu'à son activation volontaire par l'Acheteur.
Base légale : exécution du contrat de service de séquestre (Loi n° 2013-450, article 8b).
Information obligatoire : un SMS est envoyé immédiatement après confirmation du paiement, indiquant la création du compte et les modalités d'activation ou d'exercice des droits.
Conservation : les données transactionnelles sont conservées dix (10) ans (OHADA). Les données de profil non transactionnelles peuvent être anonymisées après vingt-quatre (24) mois d'inactivité.
3.2 Données collectées lors des transactions
| Donnée collectée | Finalité |
|---|---|
| Contenu de la vente (titre, description, état, photos produit) | Affichage page de paiement, instruction de litige éventuel |
| Montant de la transaction, frais, total | Calcul tarifaire, comptabilité, audit |
| Mode logistique choisi (Livraison / Expédition) | Gestion du cycle de vie de la transaction |
| Photo preuve d'envoi (Expédition obligatoire, Livraison optionnelle) | Instruction de litige, preuve de conformité |
| Code de sécurité (OTP à 4 chiffres) | Déclenchement du transfert de fonds — jamais affiché en clair après remise |
| Historique des statuts et horodatages | Traçabilité légale, audit, instruction de litige |
| Messages du chat de litige | Instruction du litige par l'administrateur |
| Numéro Wave Acheteur (remboursement uniquement) | Traitement des remboursements Wave |
3.3 Données collectées automatiquement
| Donnée | Finalité / Base légale |
|---|---|
| Logs de connexion (adresse IP anonymisée, horodatage) | Sécurité, détection d'attaques — intérêt légitime |
| Logs d'audit des actions sur les transactions | Traçabilité légale obligatoire (OHADA) — obligation légale |
| Données comportementales anonymes (Plausible Analytics) | Amélioration du produit — hors champ Loi 2013-450, pas de consentement requis |
| Données de sécurité PostHog (sans identifiant utilisateur, IP anonymisée) | Détection d'attaques, rate limiting — intérêt légitime (rétention 12 mois) |
Article 4 — Bases légales des traitements
Conformément à la Loi n° 2013-450, chaque traitement repose sur une base légale identifiée :
| Traitement | Base légale | Article Loi 2013-450 |
|---|---|---|
| Création de compte Acheteur / Vendeur | Exécution du contrat | Art. 8a |
| Création du Compte Silencieux | Exécution du contrat | Art. 8b |
| KYC Vendeur (pièce d'identité) | Obligation légale (LBC/FT) | Art. 8c |
| Conservation décennale des données transactionnelles | Obligation légale (OHADA) | Art. 8c |
| Logs de sécurité / PostHog | Intérêt légitime | Art. 8e |
| Analytics Plausible (données anonymes) | Hors champ (données non personnelles) | N/A |
| Notifications transactionnelles (email, SMS) | Exécution du contrat | Art. 8a |
| Réponse aux réquisitions judiciaires | Obligation légale | Art. 8c |
Article 5 — Durées de conservation
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données transactionnelles (montants, statuts, logs d'audit, OTP) | 10 ans à compter de la date de la transaction | Obligation légale OHADA |
| Données KYC Vendeur (pièce d'identité, photos) | 10 ans à compter de la clôture du compte | Obligation LBC/FT |
| Données de profil Vendeur / Acheteur actif | Durée de la relation contractuelle + 10 ans | OHADA |
| Données de profil non transactionnelles — compte inactif | 24 mois d'inactivité puis anonymisation | Principe de minimisation |
| Données de profil du Compte Silencieux non activé | 24 mois d'inactivité puis anonymisation (données transactionnelles conservées 10 ans) | Loi 2013-450 + OHADA |
| Logs de sécurité / PostHog | 12 mois glissants | Intérêt légitime limité |
| Messages du chat de litige | 10 ans (partie intégrante du dossier transactionnel) | OHADA |
| Tokens de réinitialisation de mot de passe | 1 heure à compter de la génération | Sécurité |
Article 6 — Destinataires et transferts de données
6.1 Destinataires internes
Les données personnelles des Utilisateurs sont accessibles uniquement aux membres de l'équipe KoneXione SARL habilités, dans le cadre strict de leurs missions (traitement des KYC, instruction des litiges, traitement des retraits).
6.2 Sous-traitants techniques
PayQit fait appel aux sous-traitants techniques suivants, avec lesquels des accords de traitement des données (Data Processing Agreements — DPA) sont conclus :
| Sous-traitant | Rôle | Localisation des données |
|---|---|---|
| Vercel Inc. (USA) | Hébergement de l'application web et API — infrastructure principale | États-Unis d'Amérique |
| Supabase (eu-west-1) | Base de données PostgreSQL, authentification, stockage de fichiers (pièces KYC, photos produits) | Irlande, Union européenne |
| Wave Mobile Money CI | Traitement des flux financiers (collecte, remboursement, décaissement) — EME agréé BCEAO | Côte d'Ivoire |
| Plausible Analytics | Analytics produit — données anonymes, hors champ données personnelles | Union européenne |
| PostHog | Sécurité applicative uniquement (sans identifiant utilisateur, IP anonymisées, rétention 12 mois) | Union européenne |
6.3 Autorités compétentes
PayQit peut être tenu de communiquer des données personnelles aux autorités suivantes, sur réquisition judiciaire ou administrative légalement fondée :
- ARTCI (Autorité de Régulation des Télécommunications / TIC de Côte d'Ivoire)
- CENTIF (Cellule Nationale de Traitement des Informations Financières) — en cas de déclaration de soupçon
- Juridictions civiles et pénales d'Abidjan
- Direction Générale des Impôts (DGI)
Toute communication aux autorités fait l'objet d'un enregistrement dans le registre des traitements de KoneXione SARL. Conformément à ses obligations légales en matière de LBC/FT, PayQit ne peut informer l'Utilisateur concerné d'une déclaration de soupçon en cours.
6.4 Absence de vente ou cession de données
PayQit ne vend, ne loue et ne cède en aucun cas les données personnelles de ses Utilisateurs à des tiers à des fins commerciales. Aucun accord de partage de données à des fins publicitaires n'est conclu.
Article 7 — Droits des personnes concernées
Conformément à la Loi n° 2013-450, tout Utilisateur dispose des droits suivants à l'égard de ses données personnelles :
| Droit | Description et modalités d'exercice |
|---|---|
| Droit d'accès (art. 17) | Obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie. Délai de réponse : 30 jours calendaires. |
| Droit de rectification (art. 18) | Faire corriger les données inexactes ou incomplètes. Délai de réponse : 30 jours calendaires. Note : les données KYC Vendeur ne sont modifiables qu'après vérification par l'administrateur. |
| Droit à l'effacement (art. 19) | Demander la suppression des données. Ce droit est limité par les obligations légales de conservation (OHADA — 10 ans pour les données transactionnelles). Seules les données non soumises à obligation légale peuvent être supprimées. |
| Droit d'opposition (art. 20) | S'opposer à tout traitement reposant sur la base légale de l'intérêt légitime (ex. : logs PostHog). |
| Droit à la portabilité | Recevoir vos données dans un format structuré et lisible par machine. Applicable aux données fournies volontairement. |
| Droit à la limitation du traitement | Obtenir la restriction du traitement de vos données dans les cas prévus par la loi. |
Article 8 — Sécurité des données
KoneXione SARL met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données personnelles des Utilisateurs contre tout accès non autorisé, divulgation, altération ou destruction.
8.1 Mesures techniques
- Chiffrement des communications par protocole TLS (HTTPS obligatoire sur toutes les routes)
- Stockage des mots de passe par hachage cryptographique (bcrypt) — aucun mot de passe n'est stocké en clair
- Authentification sécurisée par sessions (expiration automatique après 30 minutes d'inactivité)
- Verrouillage temporaire des comptes après 3 tentatives de connexion infructueuses consécutives (durée : 30 minutes)
- Isolation des données sensibles KYC (photos de pièces d'identité) dans un stockage dédié à accès restreint
- Logs d'audit complets sur toutes les actions critiques (statuts de transactions, accès KYC, retraits)
- Anonymisation des adresses IP dans les outils d'analyse (PostHog)
8.2 Mesures organisationnelles
- Accès aux données personnelles limité aux membres de l'équipe habilités selon le principe du moindre privilège
- Obligations contractuelles de confidentialité pour tous les membres de l'équipe
- Contrats de sous-traitance (DPA) avec tous les prestataires traitant des données personnelles
8.3 Notification de violation de données
En cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour les droits et libertés des Utilisateurs, KoneXione SARL s'engage à notifier les personnes concernées dans les meilleurs délais et à en informer l'ARTCI conformément aux dispositions de la Loi n° 2013-450.
Article 9 — Cookies et traceurs
La plateforme PayQit utilise les traceurs suivants :
| Traceur | Type | Finalité |
|---|---|---|
| Cookies de session (httpOnly, Secure) | Technique — strictement nécessaire | Maintien de la session authentifiée — aucun consentement requis |
| Plausible Analytics | Analytique anonyme | Mesure d'audience — données agrégées sans identifiant personnel — aucun consentement requis |
| PostHog | Sécurité | Détection d'attaques, rate limiting — sans identifiant utilisateur, IP anonymisées — base légale : intérêt légitime |
PayQit n'utilise aucun cookie publicitaire ou de ciblage. Aucun traceur tiers à des fins marketing n'est déposé sur les terminaux des Utilisateurs.
Article 10 — Spécificités du traitement LBC/FT
En sa qualité de plateforme de services de paiement, KoneXione SARL est soumise à des obligations de vigilance en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT). À ce titre :
- Vérification d'identité (KYC) obligatoire pour les Vendeurs : les données d'identité collectées dans ce cadre sont conservées pendant dix (10) ans à compter de la clôture du compte.
- Surveillance comportementale des transactions : PayQit analyse les patterns de transactions afin de détecter des comportements anormaux susceptibles de constituer un soupçon de blanchiment ou de financement du terrorisme. Cette surveillance est fondée sur le comportement, non sur un seuil de montant.
- Déclaration de soupçon à la CENTIF : en cas de détection d'un comportement suspect, PayQit procède à une déclaration de soupçon auprès de la CENTIF conformément à la réglementation en vigueur. Conformément à ses obligations légales, PayQit ne peut informer l'Utilisateur d'une telle déclaration.
- KYC renforcé (applicable à compter de la phase V1.5) : tout Vendeur dont le volume de transactions cumulé dépasse cinq millions (5 000 000) FCFA sur un mois calendaire sera soumis à une demande de justificatif d'activité, effectuée une seule fois.
Article 11 — Modifications de la Politique de Confidentialité
KoneXione SARL se réserve le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour refléter les évolutions réglementaires, les changements de pratiques de traitement ou les modifications du produit PayQit.
Toute modification substantielle est notifiée aux Utilisateurs par email et par notification sur la plateforme, avec un préavis minimum de trente (30) jours calendaires avant son entrée en vigueur. La poursuite de l'utilisation des services PayQit après la date d'entrée en vigueur vaut acceptation de la nouvelle Politique de Confidentialité.
Les versions antérieures de la Politique de Confidentialité sont archivées et accessibles sur la plateforme.
Article 12 — Droit applicable et autorité de contrôle
La présente Politique de Confidentialité est régie par la Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, et plus généralement par le droit ivoirien.
L'autorité de contrôle compétente est l'ARTCI (Autorité de Régulation des Télécommunications / TIC de Côte d'Ivoire). En cas de réclamation relative à l'exercice de vos droits restée sans réponse satisfaisante dans le délai imparti, vous disposez du droit de saisir l'ARTCI.
Article 13 — Contacts
| Canal | Coordonnées |
|---|---|
| Email DPO / Juridique | legal@payqit.com |
| Email service client | service@payqit.com |
| WhatsApp service client | +225 01 510 411 00 — 7j/7, 24h/24 |
| Adresse postale | KoneXione SARL — Abidjan, Côte d'Ivoire |
PayQit — édité par KoneXione SARL — RCCM CI-ABJ-03-2026-B13-02245 — Abidjan, Côte d'Ivoire