Politique de confidentialité

Selon la fonctionnalité utilisée, nous pouvons collecter les catégories de données suivantes :

• Identité & contact : nom complet, adresse email, numéro de téléphone, entreprise, photo de profil.
• Authentification : mot de passe (haché bcrypt), jetons OAuth, codes OTP (à usage unique, supprimés après usage).
• Données métier : contacts CRM, rendez-vous, tickets d'incident, factures, paiements, formations, notes internes, conversations WhatsApp.
• Données techniques : adresse IP, type de navigateur, journaux d'audit (login, actions admin), identifiants de session.
• Cookies & analytics : cookies fonctionnels, identifiants PostHog (analyse d'usage anonymisée). Voir notre bannière cookies.

Lorsque vous connectez votre compte Google à SAWALI SMART SYSTEMS via OAuth 2.0, nous demandons uniquement les scopes strictement nécessaires à la fonctionnalité que vous utilisez. Conformément à la Google API Services User Data Policy (y compris l'exigence « Limited Use »), nous nous engageons à :

• Usage limité : les données Google Agenda (événements, participants, dates, lieux) sont utilisées exclusivement pour synchroniser vos rendez-vous CRM avec votre calendrier Google, vous afficher vos prochains événements dans votre tableau de bord, et créer/modifier les événements que vous nous demandez explicitement de créer.
• Pas de revente : nous ne vendons jamais les données obtenues via les API Google à des tiers.
• Pas de publicité ciblée : ces données ne sont jamais utilisées pour de la publicité personnalisée ni partagées avec des annonceurs.
• Pas d'entraînement de modèles IA : les contenus de votre Google Agenda, Gmail ou Drive ne sont pas envoyés à des modèles d'IA générative pour entraînement, fine-tuning ou amélioration de modèles.
• Accès humain restreint : aucun salarié de SAWALI SMART SYSTEMS ne lit vos données Google sauf (a) avec votre consentement explicite écrit, (b) pour des raisons de sécurité (lutte contre l'abus), (c) pour respecter une obligation légale, ou (d) de manière agrégée et anonymisée pour le débogage technique.
• Transferts limités : nous ne transférons les données obtenues via les API Google qu'à des sous-traitants techniques nécessaires au fonctionnement du service (hébergeur, base de données), sous contrats DPA garantissant le même niveau de protection.

Vous pouvez à tout moment révoquer notre accès à votre compte Google via myaccount.google.com/permissions.

• Hébergement : base de données MongoDB chiffrée au repos, hébergée chez un prestataire conforme RGPD (Union Européenne ou pays disposant d'une décision d'adéquation).
• Chiffrement en transit : toutes les communications avec nos serveurs sont chiffrées en TLS 1.2+ (HTTPS obligatoire).
• Jetons OAuth Google : refresh tokens stockés chiffrés (algorithme Fernet AES-128) en base. Les access tokens courts sont régénérés à la demande.
• Durée de conservation :
  • Compte actif : tant que vous utilisez le service.
  • Compte inactif : suppression automatique des données techniques après 36 mois sans connexion.
  • Données comptables (factures, paiements) : conservation 10 ans conformément aux obligations légales.
  • Journaux d'audit : 24 mois maximum.
  • Jetons OAuth révoqués ou expirés : suppression sous 30 jours.

Nous ne vendons jamais vos données. Nous partageons des données strictement limitées avec les catégories de tiers suivantes :

• Hébergeur cloud (Emergent Labs / fournisseur Kubernetes) : stockage chiffré des données et exécution du service.
• Prestataires de communication : Meta WhatsApp Cloud API (envoi de messages), SMTP/Gmail (envoi d'emails), Twilio (SMS).
• Prestataires de paiement : Stripe, PawaPay — uniquement les données nécessaires à la transaction (nom, email, montant). Aucune donnée bancaire complète ne transite par nos serveurs.
• Prestataires IA : Anthropic (Claude), OpenAI, Google Gemini via Emergent Universal Key — les prompts envoyés sont strictement limités à la requête de l'utilisateur. Aucun prompt n'est utilisé pour entraîner les modèles (politiques zero-retention activées).
• Autorités : sur réquisition judiciaire ou obligation légale.

Tous nos sous-traitants sont liés par contrat à respecter au minimum les mêmes obligations de confidentialité et de sécurité que celles décrites dans cette politique.

Vous disposez à tout moment des droits suivants sur vos données :

• Droit d'accès : obtenir une copie de vos données.
• Droit de rectification : corriger les données inexactes.
• Droit à l'effacement (« droit à l'oubli ») : suppression complète de vos données dans un délai de 30 jours.
• Droit à la portabilité : export de vos données au format JSON/CSV.
• Droit d'opposition : refus du traitement à des fins marketing.
• Droit de retrait du consentement : notamment retrait de l'accès aux API Google via votre compte Google.

Pour exercer ces droits, contactez-nous à l'adresse ci-dessous. Délai de réponse maximum : 30 jours.

• Chiffrement TLS 1.2+ pour toutes les communications externes.
• Chiffrement AES au repos pour les bases de données et les jetons OAuth.
• Authentification renforcée à deux facteurs (OTP) pour tous les comptes admin.
• Contrôle d'accès basé sur les rôles (RBAC) strict.
• Audit logs immuables pour toute action administrative.
• Sauvegardes automatiques quotidiennes chiffrées.
• Tests de pénétration réguliers et veille sécurité continue.

Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du service (session, sécurité CSRF) et, sur consentement, des cookies analytiques (PostHog) anonymisés. Voir la bannière cookies en bas de page pour gérer vos préférences.

Nous pouvons mettre à jour cette politique pour refléter les évolutions légales ou fonctionnelles. La date de dernière mise à jour figure en haut de cette page. Pour les changements substantiels, nous vous notifierons par email au moins 30 jours à l'avance.

Pour toute question relative à cette politique ou pour exercer vos droits, contactez-nous :

• contact@sawalismartsystems.com
• +226 25 65 81 65 | 52 66 99 66
• Pissy, Ouagadougou, Burkina Faso

Vous pouvez également déposer une réclamation auprès de la CIL Burkina Faso (Commission de l'Informatique et des Libertés) si vous estimez que vos droits ne sont pas respectés.