Légal

Politique de confidentialité

Dernière mise à jour : 10 juin 2026

Cette politique explique quelles données nous collectons, pourquoi, comment nous les protégeons et quels sont vos droits. Conforme au RGPD (UE 2016/679).

1. Données que nous collectons

Données de compte (email, mot de passe haché, nom optionnel) ; contenu utilisateur (projets, étapes, preuves, messages) ; métadonnées techniques (IP, navigateur, dates de connexion) ; données de paiement (traitées par Stripe · nous ne stockons aucun numéro de carte).

2. Finalités du traitement

Fournir le service ; permettre la collaboration entre membres ; envoyer des notifications email ; facturer ; améliorer la qualité ; détecter les abus et fraudes ; répondre à vos demandes.

3. Base légale

Exécution du contrat (article 6.1.b RGPD) pour le service ; intérêt légitime (6.1.f) pour la sécurité et l'amélioration ; consentement (6.1.a) pour les emails marketing ; obligation légale (6.1.c) pour la facturation et conservation comptable.

4. Partage de données

Vos données ne sont JAMAIS vendues. Partage limité aux sous-traitants nécessaires : Supabase (hébergement BDD/fichiers), Resend (emails transactionnels), Stripe (paiements). Tous sous accord RGPD avec hébergement UE.

5. Durée de conservation

Compte actif : pendant toute la durée d'utilisation. Suppression de compte : effacement sous 30 jours, sauf obligations légales (facturation : 10 ans). Logs techniques : 12 mois max.

6. Vos droits

Vous disposez des droits d'accès, de rectification, d'effacement, de portabilité, d'opposition et de limitation. Exercez-les à dpo@oyeba.com ou via Paramètres → Confidentialité. Réponse sous 1 mois.

7. Cookies

Voir notre Politique des Cookies dédiée. En résumé : cookies strictement nécessaires (session, sécurité) sans consentement ; cookies analytiques avec consentement explicite.

8. Sécurité

Chiffrement TLS 1.3 en transit, AES-256 au repos. Mots de passe hachés (bcrypt). Accès aux données utilisateurs restreint à l'équipe technique avec authentification forte. Audits réguliers.

9. Transferts hors UE

Aucun transfert hors UE par défaut. Si nécessaire (ex. CDN), uniquement vers des pays adéquats au sens du RGPD, ou via clauses contractuelles types.

10. Contact & réclamation

Délégué à la protection des données (DPO) : dpo@oyeba.com. Vous pouvez aussi introduire une réclamation auprès de la CNIL (cnil.fr) si vous estimez que vos droits ne sont pas respectés.

11. Données KYC du marketplace

Dans le cadre du marketplace Oyeba, les utilisateurs souhaitant devenir prestataires de services sont soumis à une procédure KYC (Know Your Customer) obligatoire. Cette procédure implique la collecte des données suivantes : (a) pièce d'identité (CNI, passeport ou autre document officiel avec photo), recto et verso le cas échéant ; (b) photo selfie de la personne tenant son document d'identité ; (c) justificatif de domicile de moins de 3 mois (facture, attestation d'hébergement, etc.) ; (d) coordonnées GPS au moment de la soumission (latitude, longitude, code pays résolu). Ces données sont stockées chiffrées dans un bucket privé sur notre instance Supabase auto-hébergée hébergée en Allemagne (Union Européenne), et ne sont accessibles qu'à l'équipe administrateurs Oyeba via des URL signées à durée limitée (5 minutes). Les documents KYC sont conservés 30 jours après l'approbation ou le rejet de la candidature, puis purgés automatiquement. Les métadonnées de la décision (qui a décidé, quand, motif) sont conservées 5 ans à des fins comptables et de conformité réglementaire. Le prestataire dispose à tout moment des droits d'accès, rectification, suppression et portabilité (voir article 7).

12. Partage avec partenaires paiement

Pour traiter les paiements du marketplace, certaines données sont nécessairement transmises à nos partenaires de paiement : (a) Stripe (Royaume-Uni / Irlande), établissement de monnaie électronique agréé, reçoit le montant, la devise, l'identifiant booking, le code postal de facturation du client, et le payment_intent_id de retour ; (b) PawaPay ou Onafriq (selon le pays du prestataire), aggregateur mobile money, reçoit le numéro de téléphone mobile money du prestataire, le montant net à payer, la devise locale (XOF, CDF, etc.), et l'identifiant booking. Aucun document KYC ne leur est transmis. Stripe est conforme PCI-DSS niveau 1 et applique sa propre politique de confidentialité (stripe.com/privacy). PawaPay et Onafriq sont des entreprises panafricaines agréées par les régulateurs locaux (BCEAO, BCC, etc.) et appliquent leurs propres politiques. Aucune autre tierce partie n'a accès aux données personnelles du client ou du prestataire.

13. Cookies et tracking marketplace

Le marketplace n'utilise pas de cookies supplémentaires au-delà de ceux décrits à l'article 9. Les sessions Stripe Checkout sont gérées en redirect (pas d'iframe ni de tracker third-party côté navigateur). Pour la prévention de la fraude, un fingerprint navigateur léger peut être collecté lors de la soumission de KYC (User-Agent, langue, fuseau horaire, résolution écran). Ces données sont anonymisées au-delà de 30 jours.

14. Données du Self-Hosted Supabase et souveraineté

Depuis 2026-06, Oyeba auto-héberge son instance Supabase (base de données PostgreSQL, stockage de fichiers, authentification) sur un VPS basé en Allemagne (Hostinger / Hetzner). Ce choix vise à garantir la souveraineté des données utilisateur dans l'Espace Économique Européen, conformément aux obligations RGPD. Aucune donnée utilisateur (incluant KYC, photos de preuves de projet, messages, paiements) n'est transférée vers des services tiers hors UE, à l'exception des partenaires de paiement décrits à l'article 12 et de Sentry (monitoring d'erreurs, basé en Allemagne) qui ne reçoit pas de PII (les en-têtes Authorization, cookies et identifiants sont filtrés avant envoi).

Retour en haut

Une question, une idée, un projet ?

Écrivez-nous · on répond personnellement, et vite.