1. Données que nous collectons
Données de compte (email, mot de passe haché, nom optionnel) ; contenu utilisateur (projets, étapes, preuves, messages) ; métadonnées techniques (IP, navigateur, dates de connexion) ; données de paiement (traitées par Stripe · nous ne stockons aucun numéro de carte).
2. Finalités du traitement
Fournir le service ; permettre la collaboration entre membres ; envoyer des notifications email ; facturer ; améliorer la qualité ; détecter les abus et fraudes ; répondre à vos demandes.
3. Base légale
Exécution du contrat (article 6.1.b RGPD) pour le service ; intérêt légitime (6.1.f) pour la sécurité et l'amélioration ; consentement (6.1.a) pour les emails marketing ; obligation légale (6.1.c) pour la facturation et conservation comptable.
4. Partage de données
Vos données ne sont JAMAIS vendues. Partage limité aux sous-traitants nécessaires : Supabase (hébergement BDD/fichiers), Resend (emails transactionnels), Stripe (paiements). Tous sous accord RGPD avec hébergement UE.
5. Durée de conservation
Compte actif : pendant toute la durée d'utilisation. Suppression de compte : effacement sous 30 jours, sauf obligations légales (facturation : 10 ans). Logs techniques : 12 mois max.
6. Vos droits
Vous disposez des droits d'accès, de rectification, d'effacement, de portabilité, d'opposition et de limitation. Exercez-les à dpo@oyeba.com ou via Paramètres → Confidentialité. Réponse sous 1 mois.
7. Cookies
Voir notre Politique des Cookies dédiée. En résumé : cookies strictement nécessaires (session, sécurité) sans consentement ; cookies analytiques avec consentement explicite.
8. Sécurité
Chiffrement TLS 1.3 en transit, AES-256 au repos. Mots de passe hachés (bcrypt). Accès aux données utilisateurs restreint à l'équipe technique avec authentification forte. Audits réguliers.
9. Transferts hors UE
Aucun transfert hors UE par défaut. Si nécessaire (ex. CDN), uniquement vers des pays adéquats au sens du RGPD, ou via clauses contractuelles types.
10. Contact & réclamation
Délégué à la protection des données (DPO) : dpo@oyeba.com. Vous pouvez aussi introduire une réclamation auprès de la CNIL (cnil.fr) si vous estimez que vos droits ne sont pas respectés.
11. Données KYC du marketplace
Dans le cadre du marketplace Oyeba, les utilisateurs souhaitant devenir prestataires de services sont soumis à une procédure KYC (Know Your Customer) obligatoire. Cette procédure implique la collecte des données suivantes : (a) pièce d'identité (CNI, passeport ou autre document officiel avec photo), recto et verso le cas échéant ; (b) photo selfie de la personne tenant son document d'identité ; (c) justificatif de domicile de moins de 3 mois (facture, attestation d'hébergement, etc.) ; (d) coordonnées GPS au moment de la soumission (latitude, longitude, code pays résolu). Ces données sont stockées chiffrées dans un bucket privé sur notre instance Supabase auto-hébergée hébergée en Allemagne (Union Européenne), et ne sont accessibles qu'à l'équipe administrateurs Oyeba via des URL signées à durée limitée (5 minutes). Les documents KYC sont conservés 30 jours après l'approbation ou le rejet de la candidature, puis purgés automatiquement. Les métadonnées de la décision (qui a décidé, quand, motif) sont conservées 5 ans à des fins comptables et de conformité réglementaire. Le prestataire dispose à tout moment des droits d'accès, rectification, suppression et portabilité (voir article 7).
12. Partage avec partenaires paiement
Pour traiter les paiements du marketplace, certaines données sont nécessairement transmises à nos partenaires de paiement : (a) Stripe (Royaume-Uni / Irlande), établissement de monnaie électronique agréé, reçoit le montant, la devise, l'identifiant booking, le code postal de facturation du client, et le payment_intent_id de retour ; (b) PawaPay ou Onafriq (selon le pays du prestataire), aggregateur mobile money, reçoit le numéro de téléphone mobile money du prestataire, le montant net à payer, la devise locale (XOF, CDF, etc.), et l'identifiant booking. Aucun document KYC ne leur est transmis. Stripe est conforme PCI-DSS niveau 1 et applique sa propre politique de confidentialité (stripe.com/privacy). PawaPay et Onafriq sont des entreprises panafricaines agréées par les régulateurs locaux (BCEAO, BCC, etc.) et appliquent leurs propres politiques. Aucune autre tierce partie n'a accès aux données personnelles du client ou du prestataire.
13. Cookies et tracking marketplace
Le marketplace n'utilise pas de cookies supplémentaires au-delà de ceux décrits à l'article 9. Les sessions Stripe Checkout sont gérées en redirect (pas d'iframe ni de tracker third-party côté navigateur). Pour la prévention de la fraude, un fingerprint navigateur léger peut être collecté lors de la soumission de KYC (User-Agent, langue, fuseau horaire, résolution écran). Ces données sont anonymisées au-delà de 30 jours.
14. Données du Self-Hosted Supabase et souveraineté
Depuis 2026-06, Oyeba auto-héberge son instance Supabase (base de données PostgreSQL, stockage de fichiers, authentification) sur un VPS basé en Allemagne (Hostinger / Hetzner). Ce choix vise à garantir la souveraineté des données utilisateur dans l'Espace Économique Européen, conformément aux obligations RGPD. Aucune donnée utilisateur (incluant KYC, photos de preuves de projet, messages, paiements) n'est transférée vers des services tiers hors UE, à l'exception des partenaires de paiement décrits à l'article 12 et de Sentry (monitoring d'erreurs, basé en Allemagne) qui ne reçoit pas de PII (les en-têtes Authorization, cookies et identifiants sont filtrés avant envoi).