Politique de Confidentialité

La présente politique de confidentialité (ci-après « la Politique ») a pour objet d'informer les utilisateurs de la plateforme ExpatCloud (ci-après « la Plateforme ») des conditions dans lesquelles leurs données à caractère personnel sont collectées, traitées et protégées.

Elle s'applique à l'ensemble des traitements de données à caractère personnel opérés dans le cadre de l'utilisation de la Plateforme, y compris le portail administrateur et le portail client.

La présente Politique est établie conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »).

Le responsable du traitement, au sens de l'article 4, point 7, du RGPD, est :

• Dénomination : E-Business Afrika
• Architecte Solutions : Ir. Roland MANTAMA
• Contact du Délégué à la Protection des Données (DPO) : contact@ebafrika.com
• Site web : www.ebafrika.com

Dans le cadre de la fourniture du service, les catégories de données à caractère personnel suivantes sont susceptibles d'être collectées :

• Données d'identification : nom, prénom, adresse de courrier électronique, numéro de téléphone, fonction au sein de l'organisation.
• Données techniques de connexion : adresse IP, type et version du navigateur, système d'exploitation, horodatage des connexions, identifiant de session.
• Données documentaires : fichiers transmis à la Plateforme, métadonnées associées (titre, description, catégorie, tags), historique des versions.
• Données de journalisation (audit) : registre chronologique et immuable de l'ensemble des actions réalisées sur la Plateforme (consultation, téléchargement, modification, suppression), incluant l'identité de l'auteur, l'adresse IP source et l'horodatage.

Les données à caractère personnel sont traitées pour les finalités et sur les bases juridiques ci-après détaillées :

• Fourniture du service d'archivage numérique — Base juridique : exécution du contrat (article 6, paragraphe 1, point b, du RGPD).
• Authentification et contrôle d'accès — Base juridique : exécution du contrat (article 6, paragraphe 1, point b) et intérêt légitime lié à la sécurité du système (article 6, paragraphe 1, point f).
• Traçabilité et audit de conformité — Base juridique : obligation légale (article 6, paragraphe 1, point c) et intérêt légitime (article 6, paragraphe 1, point f).
• Amélioration du service et analyse de performance — Base juridique : intérêt légitime (article 6, paragraphe 1, point f), sous réserve d'une mise en balance avec les droits des personnes concernées.
• Respect des obligations légales et réglementaires — Base juridique : obligation légale (article 6, paragraphe 1, point c).

Conformément à l'article 32 du RGPD et aux recommandations de la norme ISO/IEC 27001:2022, le responsable du traitement met en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement au repos : algorithme AES-256-GCM appliqué à l'ensemble des fichiers et données sensibles stockées.
• Chiffrement en transit : protocole TLS 1.3 pour l'intégralité des communications entre le client et le serveur.
• Contrôle d'intégrité : calcul et vérification systématiques d'une empreinte cryptographique SHA-256 pour chaque version de document archivé.
• Contrôle d'accès : modèle RBAC (Role-Based Access Control) fondé sur le principe du moindre privilège, avec isolation stricte des données entre clients (multi-tenancy sécurisé).
• Registre d'audit immuable : journalisation complète et non réversible de l'ensemble des opérations effectuées sur la Plateforme.
• Vérification d'intégrité périodique : contrôles automatisés réguliers de l'intégrité des fichiers archivés, avec alerte en cas de divergence.
• Protection dès la conception (Privacy by Design, article 25 RGPD) : intégration des mesures de protection des données dès la phase de spécification de chaque fonctionnalité.

Les données à caractère personnel sont conservées pendant la durée strictement nécessaire à la réalisation des finalités décrites à l'article 4 de la présente Politique, sauf obligation légale de conservation plus longue.

Les durées de rétention sont définies par des politiques configurables par l'administrateur de la Plateforme. À l'expiration de la période de rétention, les données et documents concernés font l'objet d'une destruction sécurisée avec génération d'un certificat de destruction horodaté et signé, garantissant la traçabilité de l'opération.

Les données de journalisation (audit) sont conservées conformément aux obligations légales applicables et ne peuvent faire l'objet d'une suppression anticipée.

Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose des droits suivants :

• Droit d'accès (article 15) — Obtenir la confirmation que des données la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, obtenir l'accès auxdites données ainsi qu'à un ensemble d'informations sur le traitement.
• Droit de rectification (article 16) — Obtenir la rectification de données à caractère personnel inexactes ou le complément de données incomplètes.
• Droit à l'effacement (article 17) — Obtenir l'effacement de données à caractère personnel, sous réserve des exceptions prévues par le RGPD, notamment les obligations légales de conservation et les nécessités probatoires.
• Droit à la limitation du traitement (article 18) — Obtenir la limitation du traitement dans les cas prévus par l'article 18 du RGPD.
• Droit à la portabilité (article 20) — Recevoir les données à caractère personnel fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement.
• Droit d'opposition (article 21) — S'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'intérêt légitime.

Exercice des droits : Les demandes sont à adresser par voie électronique à contact@ebafrika.com. Le responsable du traitement s'engage à y répondre dans un délai d'un (1) mois, prorogeable de deux (2) mois en cas de complexité ou de nombre élevé de demandes, conformément à l'article 12, paragraphe 3, du RGPD.

Réclamation : Toute personne concernée dispose du droit d'introduire une réclamation auprès d'une autorité de contrôle compétente (article 77 du RGPD).

La Plateforme utilise exclusivement des cookies strictement nécessaires au fonctionnement du service, au sens de l'article 5, paragraphe 3, de la Directive 2002/58/CE modifiée (Directive ePrivacy) :

• Cookie d'authentification — Maintien de la session utilisateur après identification.
• Cookie de préférence linguistique — Mémorisation du choix de langue (FR/EN) via localStorage.

Aucun cookie de traçage publicitaire, d'analyse comportementale ou de profilage n'est déposé. Aucune donnée n'est transmise à des régies publicitaires ou à des tiers à des fins commerciales.

Aucun transfert de données à caractère personnel n'est effectué vers un pays tiers ou une organisation internationale ne bénéficiant pas d'une décision d'adéquation de la Commission européenne (article 45 du RGPD), sauf mise en place de garanties appropriées au sens de l'article 46 du RGPD (clauses contractuelles types, règles d'entreprise contraignantes).

Le responsable du traitement peut faire appel à des sous-traitants au sens de l'article 4, point 8, du RGPD, exclusivement pour les besoins de l'hébergement et de l'infrastructure technique de la Plateforme.

Tout sous-traitant est lié par un contrat conforme aux exigences de l'article 28 du RGPD, garantissant notamment la confidentialité, la sécurité du traitement et l'assistance dans l'exercice des droits des personnes concernées.

La présente Politique peut faire l'objet de modifications. En cas de modification substantielle affectant les droits des personnes concernées, celles-ci en seront informées par notification au sein de la Plateforme au moins quinze (15) jours avant l'entrée en vigueur des nouvelles dispositions.

La date de dernière mise à jour est indiquée en tête du présent document.

Pour toute question relative à la présente Politique ou à l'exercice des droits décrits à l'article 7, veuillez contacter :

• E-Business Afrika — Délégué à la Protection des Données
• Courriel : contact@ebafrika.com
• Site web : www.ebafrika.com