Politique de confidentialité
Comment Wassa collecte, utilise et protège vos données personnelles.
Dernière mise à jour : 8 mai 2026
1. Qui sommes-nous ?
Wassa est une plateforme SaaS multi-tenant qui permet aux salons d'impression d'Afrique de l'Ouest de recevoir les fichiers de leurs clients via QR code. Le présent document décrit les traitements de données personnelles que nous effectuons en tant que responsable de traitement (pour les comptes gérants) et sous-traitant (pour les fichiers transmis par les clients finaux des salons).
Contact : [email protected]
2. Données collectées
2.1 Comptes gérants
- Identification : nom, prénom, email, mot de passe (chiffré via bcrypt), photo de profil (optionnelle).
- Salon : nom du salon, sous-domaine, logo, adresse, numéro de téléphone (optionnel pour les rappels).
- Facturation : montants payés, références de transactions Jeko, méthode de paiement utilisée. Aucune donnée de carte bancaire n'est stockée par Wassa.
- Logs techniques : adresse IP, user-agent, horodatages des connexions, événements de paiement.
2.2 Clients finaux des salons (uploads QR)
- Fichiers uploadés : PDF, images, documents Word. Conservés au maximum 2 heures par défaut puis supprimés automatiquement.
- Métadonnées : nom du fichier, taille, type MIME, adresse IP de l'upload, horodatage.
3. Finalités et bases légales
| Finalité | Base légale | Durée |
|---|---|---|
| Fournir le service (compte, dashboard, uploads) | Exécution du contrat | Durée du compte |
| Facturation et comptabilité | Obligation légale | 10 ans |
| Rappels par email/SMS | Intérêt légitime | Durée de l'abonnement |
| Mesure d'audience anonyme | Consentement | 13 mois |
| Lutte contre la fraude | Intérêt légitime | 3 ans |
4. Sous-traitants
Nous travaillons avec les prestataires suivants :
- Cloudflare R2 - stockage des fichiers (chiffrés au repos)
- Jeko - passerelle de paiement mobile money
- Resend - envoi des emails transactionnels
- Hébergement VPS - infrastructure serveur (Europe)
Tous nos sous-traitants présentent des garanties contractuelles conformes aux exigences applicables (RGPD, CDP-Côte d'Ivoire).
5. Transferts hors UEMOA / hors UE
Certains de nos sous-traitants peuvent traiter les données depuis l'extérieur de l'Union Économique et Monétaire Ouest Africaine. Ces transferts sont encadrés par des clauses contractuelles types ou des décisions d'adéquation.
6. Vos droits
Vous disposez à tout moment des droits suivants :
- Accès à vos données personnelles
- Rectification en cas d'inexactitude
- Effacement (« droit à l'oubli »)
- Portabilité dans un format structuré et lisible (JSON/ZIP)
- Opposition au traitement basé sur l'intérêt légitime
- Limitation du traitement
- Retrait du consentement à tout moment
Pour exercer ces droits, écrivez à [email protected] ou utilisez les outils intégrés à votre dashboard (export / suppression de compte). Vous pouvez également déposer une réclamation auprès de l'Autorité de Protection des Données compétente.
7. Sécurité
- Chiffrement TLS 1.3 sur toutes les communications
- Isolation Postgres Row-Level Security : chaque salon ne voit que ses propres données
- Authentification multi-facteurs disponible sur les comptes
- Auto-suppression des fichiers après 2h (paramètre par défaut)
- Sauvegardes chiffrées quotidiennes
8. Studio - outils du comptoir
Le module Studio (photo d'identité, scan, recadrage, suppression de fond, signature, boîte à outils PDF) est accessible aux salons abonnés à un plan payant. Les traitements s'effectuent directement dans le navigateur du caissier chaque fois que c'est possible.
Lorsque le caissier active le pairing avec son téléphone (mini-QR temporaire pour photographier un selfie ou un document), les captures transitent brièvement par Cloudflare R2 sous le préfixe studio-tmp/ :
- Chaque session Studio expire automatiquement après 10 minutes.
- Captures et métadonnées sont supprimées à la fin du traitement OU à l'expiration de la session (purge inline + cron de 15 min).
- Aucune image traitée par le Studio n'est conservée à long terme, sauf si le caissier choisit explicitement « Envoyer dans Files » - auquel cas le fichier suit la durée de rétention normale de votre plan.
- Les photos d'identité sont des données sensibles : aucun historique n'est tenu côté serveur, et l'upload depuis le PC du caissier reste local au navigateur jusqu'à un envoi explicite.
9. Mineurs
Le service n'est pas destiné aux personnes de moins de 16 ans. Aucune collecte intentionnelle de données concernant des mineurs n'est effectuée.
10. Modifications
En cas de modification substantielle, nous vous en informerons par email au moins 30 jours avant l'entrée en vigueur.