Politique de confidentialité

Le responsable du traitement des données personnelles collectées via la Plateforme est :

• XOF Bridge SARL (Société à Responsabilité Limitée de droit sénégalais, en cours d'immatriculation)
• Siège social : Liberté 6, Dakar, Sénégal
• RCCM : [À COMPLÉTER]
• NINEA : [À COMPLÉTER]

Pour toute question relative au traitement de vos données, vous pouvez contacter notre Délégué à la protection des données :

• E-mail : contact@xofbridge.com

Le traitement de vos données est encadré principalement par :

• la loi sénégalaise n°2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel ;
• la loi n°2008-08 du 25 janvier 2008 sur les transactions électroniques ;
• la loi n°2018-03 du 23 février 2018 relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT) ;
• les recommandations de la Commission de protection des données personnelles (CDP) du Sénégal.

Nous collectons uniquement les données nécessaires à la fourniture du service et au respect de nos obligations légales. Les catégories de données traitées sont les suivantes :

3.1 Données d'identification

• nom, prénoms, date et lieu de naissance, nationalité ;
• numéro de téléphone mobile ;
• adresse e-mail ;
• adresse postale (le cas échéant pour le Niveau 2 VERIFIED).

3.2 Données KYC

• copie recto / verso d'une pièce d'identité officielle en cours de validité (CNI, passeport, permis) ;
• photographie de vérification (selfie tenant la pièce d'identité) ;
• numéro de pièce d'identité et date d'expiration ;
• statut PPE (personne politiquement exposée) déclaré.

3.3 Données de transaction

• historique complet des achats et ventes (montants, dates, actifs, taux appliqués, frais) ;
• identifiants des opérations Mobile Money ;
• adresses de portefeuilles externes utilisées (adresses publiques blockchain) ;
• hash de transactions blockchain ;
• contreparties des transactions Mobile Money (numéros de téléphone des opérations entrantes/sortantes).

3.4 Données techniques

• identifiant unique d'appareil (device fingerprint) ;
• modèle de téléphone et version du système d'exploitation ;
• adresse IP, opérateur mobile et géolocalisation approximative (à partir de l'IP) ;
• logs de connexion et d'utilisation (heure, fonctionnalités utilisées) ;
• jetons de notification push (FCM).

3.5 Données d'authentification

• hash bcrypt de votre code PIN (jamais le PIN en clair) ;
• jetons de session chiffrés ;
• journal des accès et tentatives échouées.

Nous ne collectons aucune donnée sensible au sens de l'article 33 de la loi 2008-12 (origines raciales, opinions politiques, convictions religieuses, santé) en dehors de ce qui figure sur votre pièce d'identité officielle.

Les données sont collectées :

• directement auprès de vous, lors de l'inscription, du KYC ou de l'utilisation du service ;
• automatiquement, lors de votre interaction avec l'application (données techniques, logs) ;
• auprès de nos partenaires (opérateurs de paiement), pour les informations relatives à l'exécution de vos paiements ;
• à partir de sources publiques (registres officiels, listes de sanctions) dans le cadre des contrôles de conformité.

Vos données sont traitées pour les finalités suivantes, et uniquement celles-ci :

• Création et gestion du compte : enregistrement, authentification, sécurité, support utilisateur.
• Exécution des transactions : conversion entre Crypto-actifs et FCFA, règlement Mobile Money, suivi de livraison.
• Conformité réglementaire : vérification d'identité KYC, contrôle des listes de sanctions, monitoring transactionnel, déclaration de soupçon à la CENTIF si nécessaire.
• Prévention de la fraude : détection des comptes multiples, analyse comportementale, blocage des transactions suspectes.
• Sécurité technique : device binding, détection d'intrusion, gestion des sessions, journalisation des accès.
• Communication : notifications transactionnelles, informations service, réponses au support.
• Amélioration du service : analyse statistique anonymisée d'usage, mesure de qualité.
• Respect d'obligations comptables et fiscales : tenue des registres légaux.

Vos données ne sont jamais utilisées à des fins de prospection commerciale d'un tiers, ni cédées à des courtiers en données.

Selon la finalité, le traitement repose sur l'une des bases légales suivantes :

• Exécution du contrat (les CGU acceptées) : création du compte, exécution des transactions, support.
• Obligation légale : KYC, lutte anti-blanchiment, déclaration CENTIF, conservation comptable.
• Intérêt légitime : sécurité de la Plateforme, prévention de la fraude, analyse statistique anonymisée.
• Consentement : cookies de mesure non essentiels, notifications push optionnelles.

Vos données ne sont communiquées qu'à un nombre restreint de destinataires, strictement nécessaires à la fourniture du service.

7.1 Au sein de XOF Bridge

Seuls les personnels habilités (équipe technique, équipe support, équipe conformité) ont accès à vos données, dans la limite de leurs besoins fonctionnels. L'accès aux documents KYC est spécifiquement restreint aux agents de conformité formés.

7.2 Sous-traitants techniques

Nous faisons appel à des prestataires de services techniques (sous-traitants au sens de la loi 2008-12) liés par des obligations contractuelles strictes en matière de confidentialité et de sécurité :

7.3 Autorités publiques

Vos données peuvent être communiquées aux autorités compétentes sur réquisition régulière (autorité judiciaire, CENTIF, BCEAO, administration fiscale) dans le cadre strict prévu par la loi.

Certaines de vos données sont hébergées ou transitent par des serveurs situés hors de la zone UEMOA, principalement aux États-Unis (Render, Railway, Firebase). Ces transferts sont encadrés par :

• des engagements contractuels stricts avec nos prestataires (clauses de confidentialité, mesures de sécurité, restrictions d'usage) ;
• le chiffrement systématique des données sensibles en transit (TLS 1.3) et au repos (AES-256) ;
• l'application des standards de sécurité reconnus internationalement par nos prestataires (certifications SOC 2, ISO 27001).

Conformément à l'article 49 de la loi 2008-12, nous nous assurons que les pays de destination présentent un niveau de protection suffisant ou que des garanties contractuelles appropriées ont été mises en place.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

• chiffrement TLS 1.3 pour toutes les communications réseau ;
• chiffrement AES-256 au repos pour les données sensibles (KYC, transactions) ;
• hachage bcrypt des codes PIN (jamais stockés en clair) ;
• device binding et authentification multi-facteur pour les opérations sensibles ;
• accès aux documents KYC restreint à un nombre limité d'agents habilités et journalisé ;
• audits de sécurité internes réguliers ;
• plan de continuité d'activité et sauvegardes chiffrées ;
• politique de gestion des incidents et notification dans les délais légaux en cas de violation de données.

Les durées de conservation suivantes sont appliquées :

À l'issue de ces durées, vos données sont supprimées ou anonymisées de manière irréversible.

Conformément à la loi sénégalaise n°2008-12, vous disposez des droits suivants sur vos données :

• Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
• Droit de rectification : faire corriger des données inexactes ou incomplètes.
• Droit de suppression : demander l'effacement de vos données, dans les limites permises par nos obligations légales (notamment conservation KYC).
• Droit d'opposition : vous opposer au traitement pour des motifs légitimes, sauf si le traitement est imposé par la loi.
• Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé.
• Droit à la limitation : demander la suspension du traitement le temps qu'une contestation soit examinée.
• Droit de définir le sort de vos données après votre décès : communiquer des directives concernant la conservation, l'effacement ou la communication de vos données après votre décès.

Pour exercer vos droits, vous pouvez :

• écrire à contact@xofbridge.com en précisant l'objet de votre demande ;
• adresser un courrier postal à : XOF Bridge SARL — Délégué à la protection des données, Liberté 6, Dakar, Sénégal.

Pour des raisons de sécurité, nous pouvons être amenés à vous demander un justificatif d'identité avant de donner suite à votre demande. Nous répondons dans un délai maximum d'un mois à compter de la réception, prorogeable de deux mois en cas de demande complexe.

Certaines demandes ne peuvent pas être satisfaites lorsqu'elles entrent en conflit avec une obligation légale (par exemple, la conservation obligatoire de 10 ans des données KYC).

Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission de protection des données personnelles (CDP) du Sénégal :

• Site : www.cdp.sn
• Adresse : Cité Keur Gorgui, Immeuble Mamoune, Dakar

Nous vous encourageons à nous contacter en premier lieu afin que nous puissions trouver ensemble une solution amiable.

Certains contrôles de sécurité et de conformité (détection de fraude, monitoring transactionnel, scoring de risque) reposent sur des traitements automatisés. Aucune décision produisant d'effets juridiques significatifs n'est prise exclusivement de manière automatisée : toute suspension de compte ou refus de transaction motivé par un contrôle automatique fait l'objet d'une revue humaine sur demande de l'Utilisateur.

La Plateforme est strictement réservée aux personnes majeures (18 ans révolus). Nous ne collectons pas sciemment de données concernant des mineurs. Si nous découvrons qu'un compte a été ouvert par un mineur, nous procédons à sa clôture immédiate et à la suppression des données associées, sous réserve des obligations de conservation légales.

L'application mobile XOF Bridge n'utilise pas de cookies. Elle stocke localement, sous forme chiffrée, uniquement les éléments strictement nécessaires à son fonctionnement (jeton de session, hash du PIN, identifiant d'appareil, préférences).

Pour le détail des cookies utilisés sur le site web xofbridge.com, consultez notre Politique cookies.

En cas de violation de données présentant un risque pour vos droits et libertés, nous nous engageons à notifier la CDP dans les 72 heures suivant la prise de connaissance de l'incident et à informer les utilisateurs concernés dans les meilleurs délais, conformément à la loi 2008-12.

La présente politique peut évoluer pour refléter des changements réglementaires ou techniques. Toute modification substantielle fera l'objet d'une information préalable via l'application ou par e-mail. La date en haut de page indique la dernière mise à jour.

Pour toute question relative à cette politique ou au traitement de vos données :

• Délégué à la protection des données : contact@xofbridge.com
• Support : support@xofbridge.com