Politique de Confidentialité
Chez Sugu, la protection de vos données personnelles est une priorité. Cette politique détaille nos pratiques conformément à la Convention de Malabo de l'Union Africaine, aux lois nationales de protection des données en vigueur dans les 8 pays UEMOA — qu'ils relèvent de l'AES (Burkina Faso, Mali, Niger) ou de la CEDEAO (Bénin, Côte d'Ivoire, Guinée-Bissau, Sénégal, Togo).
Responsable du traitement
Le responsable du traitement des données à caractère personnel collectées via la plateforme sugu.pro et l'application mobile Sugu est :
SUGU SARL
RCCM : BF-OUA-01-2024-XXXXX
IFU : 00XXXXXXX-X
Siège social : 3252 Avenue Bobo Dioula, Guimbi Ouattara, Ouagadougou, Burkina Faso (État membre de l'AES)
Zone de service : 8 pays UEMOA — AES (Burkina Faso, Mali, Niger) et CEDEAO (Bénin, Côte d'Ivoire, Guinée-Bissau, Sénégal, Togo)
Email du DPO : [email protected]
Téléphone : +226 00 00 00 00
Conformément à la Convention de Malabo de l'Union Africaine (2014), instrument panafricain commun aux pays AES et CEDEAO, et aux lois nationales de protection des données en vigueur dans la zone UEMOA — notamment la Loi N°001-2021/AN du Burkina Faso (loi du siège social, AES), la Loi N°2013-015 au Mali (AES), la Loi N°2017-28 au Niger (AES), la Loi N°2017-547 en Côte d'Ivoire (CEDEAO), la Loi N°2008-12 au Sénégal (CEDEAO), la Loi N°2017-20 au Bénin (CEDEAO), la Loi N°2019-014 au Togo (CEDEAO) et le cadre national en Guinée-Bissau (CEDEAO) — Sugu s'engage à respecter l'ensemble des obligations qui lui incombent, sous le contrôle de l'autorité de protection des données du pays de résidence de l'utilisateur. L'Acte Additionnel A/SA.1/01/10 de la CEDEAO demeure applicable dans les pays restés membres de la CEDEAO ; pour les pays de l'AES, ce sont les lois nationales transposées (issues de ce cadre) qui demeurent en vigueur en attendant l'adoption d'un cadre AES dédié.
Données collectées
Dans le cadre de l'utilisation de nos services, nous collectons les catégories de données suivantes :
Données d'identification
- Nom complet, prénom
- Adresse email
- Numéro de téléphone (format E.164)
- Photo de profil (optionnelle)
- Type d'utilisateur (acheteur, vendeur, livreur)
Données de commandes
- Historique des commandes et numéros de suivi
- Adresses de livraison
- Montants des transactions (en FCFA — XOF, monnaie de la zone UEMOA)
- Mode de paiement utilisé (Cash-on-Delivery, Mobile Money — Orange Money, Moov Money, MTN MoMo, Wave, Free Money, etc. selon le pays)
- Codes de vérification de livraison (stockés sous forme de hash cryptographique)
Données techniques
- Adresse IP (masquée dans les logs après 30 jours)
- Identifiant de l'appareil (FCM token pour les notifications push)
- User-Agent du navigateur (tronqué à 200 caractères)
- Données de géolocalisation (uniquement pour les coursiers en service, avec consentement)
Données vendeurs
- Nom commercial et raison sociale
- Numéro RCCM et identifiant fiscal national (IFU, NINEA, CC/IDU, NIF selon le pays UEMOA d'immatriculation)
- Informations bancaires pour les versements (IBAN / numéro Mobile Money) — stockées de manière chiffrée et masquées dans l'interface
- Score de fiabilité (calculé automatiquement, non public)
Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
| Finalité | Base légale |
|---|---|
| Création et gestion de votre compte | Exécution du contrat |
| Traitement et suivi des commandes | Exécution du contrat |
| Vérification de livraison (code à 6 chiffres) | Exécution du contrat |
| Gestion des paiements et du wallet vendeur | Exécution du contrat |
| Détection de fraude et scoring de fiabilité | Intérêt légitime |
| Résolution des litiges et support client | Intérêt légitime |
| Notifications push, email et WhatsApp | Consentement |
| Amélioration des services et statistiques | Intérêt légitime |
| Obligations légales et fiscales | Obligation légale |
Base légale du traitement
Conformément à la Convention de Malabo (UA, 2014) et aux lois nationales de protection des données en vigueur dans les pays AES et CEDEAO, tout traitement de données à caractère personnel par Sugu repose sur l'une des bases légales suivantes :
- Exécution du contrat — Le traitement est nécessaire à l'exécution du contrat de vente en ligne entre l'acheteur et le vendeur, dont Sugu est l'intermédiaire au sens des lois nationales sur les transactions électroniques (issues du cadre CEDEAO — Acte Additionnel A/SA.2/01/10 — pour les pays CEDEAO et demeurées en vigueur dans les pays AES).
- Consentement — Pour les communications marketing, les notifications WhatsApp et la géolocalisation des coursiers. Le consentement peut être retiré à tout moment.
- Intérêt légitime — Pour la détection de fraude, le scoring de fiabilité des vendeurs et la sécurité de la plateforme. Ces traitements sont proportionnés et ne portent pas atteinte aux droits fondamentaux des personnes.
- Obligation légale — Pour la conservation des données de facturation et de transaction, conformément à l'Acte Uniforme OHADA portant Droit Commercial Général (socle commun aux 8 pays AES et CEDEAO) et aux obligations fiscales nationales.
Partage des données
Vos données ne sont jamais vendues à des tiers. Elles peuvent être partagées dans les cas strictement nécessaires suivants :
- Vendeurs partenaires — Nom, adresse de livraison et numéro de commande, nécessaires à l'exécution de votre commande. Le vendeur ne reçoit jamais votre email ni votre numéro de téléphone personnel, sauf si vous le communiquez directement.
- Agences de livraison et coursiers — Nom, adresse de livraison et informations de contact nécessaires à la livraison. Les numéros de téléphone sont masqués dans les interfaces coursier.
- Prestataires techniques — Firebase (notifications push), fournisseur d'hébergement cloud (infrastructure). Ces prestataires sont contractuellement tenus au respect de la confidentialité.
- Autorités compétentes — Sur réquisition judiciaire ou demande de l'autorité nationale de protection des données du pays concerné (CIL au Burkina Faso, APDP au Mali, HAPDP au Niger — pays AES ; ARTCI/CTPD en Côte d'Ivoire, CDP au Sénégal, APDP au Bénin, IPDCP au Togo — pays CEDEAO), dans le cadre des dispositions légales en vigueur.
🔒 Transferts internationaux
Certaines données techniques transitent par des serveurs situés hors de la zone UEMOA (notifications Firebase, CDN). Ces transferts sont encadrés par des clauses contractuelles conformes aux recommandations des autorités nationales de protection des données et aux principes de la Convention de Malabo (Union Africaine), instrument commun aux pays AES et CEDEAO.
Sécurité des données
Sugu met en œuvre des mesures techniques et organisationnelles avancées pour protéger vos données :
Chiffrement TLS/SSL
Toutes les communications sont chiffrées en transit (HTTPS)
Hachage des codes
Les codes de livraison sont stockés sous forme de hash, jamais en clair
Verrouillage pessimiste
Les transactions financières utilisent des verrous en base de données
Authentification par token
API sécurisée via Laravel Sanctum avec tokens à durée limitée
Masquage PII
Téléphones et IBAN masqués dans les logs et les interfaces
Limitation de débit
Protection contre les attaques par force brute (rate limiting)
Audit trail
Toute opération sensible est journalisée avec horodatage
Idempotence
Les opérations financières ont des clés d'idempotence anti-doublon
Durée de conservation
| Catégorie de données | Durée |
|---|---|
| Données de compte actif | Durée de la relation commerciale |
| Données de compte supprimé | Anonymisées sous 30 jours, sauf obligations légales |
| Données de commande et facturation | 10 ans (obligation comptable — Art. 24 AUDCG OHADA) |
| Données de paiement wallet | 10 ans (obligation fiscale) |
| Logs de connexion (IP, User-Agent) | 6 mois (IP masquée après 30 jours) |
| Codes de vérification livraison | 90 jours après livraison, puis supprimés |
| Données de scoring fraude | 90 jours glissants |
| Données de prospection marketing | 3 ans après le dernier contact |
Vos droits
Conformément à la Convention de Malabo (Union Africaine) et aux lois nationales de protection des données dans la zone UEMOA — pays AES (Burkina Faso, Mali, Niger) et CEDEAO (Bénin, Côte d'Ivoire, Guinée-Bissau, Sénégal, Togo) — vous disposez des droits suivants :
Droit d'accès
Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification
Faire corriger vos données inexactes ou incomplètes.
Droit de suppression
Demander l'effacement de vos données, sous réserve des obligations légales de conservation.
Droit d'opposition
Vous opposer au traitement pour des motifs légitimes, notamment pour le marketing direct.
Droit à la portabilité
Recevoir vos données dans un format structuré et couramment utilisé.
Retrait du consentement
Retirer votre consentement à tout moment pour les traitements fondés sur celui-ci (notifications, WhatsApp, géolocalisation).
Comment exercer vos droits ?
Envoyez votre demande à [email protected] en joignant une copie d'une pièce d'identité. Nous répondrons sous 30 jours maximum.
En cas de litige, vous pouvez saisir l'autorité de protection des données de votre pays de résidence :
Pays AES :
- • Burkina Faso — CIL — www.cil.bf
- • Mali — APDP
- • Niger — HAPDP
Pays CEDEAO :
- • Côte d'Ivoire — ARTCI / CTPD — www.artci.ci
- • Sénégal — CDP — www.cdp.sn
- • Bénin — APDP — apdp.bj
- • Togo — IPDCP — ipdcp.tg
- • Guinée-Bissau — autorité nationale compétente
Protection des mineurs
Les services de Sugu sont destinés aux personnes âgées de 18 ans et plus, ou de 16 ans avec le consentement d'un représentant légal, conformément à la Convention de Malabo et aux dispositions nationales applicables dans les pays AES et CEDEAO de la zone UEMOA. Nous ne collectons pas sciemment de données de mineurs de moins de 16 ans.
Modifications de cette politique
Nous pouvons mettre à jour cette politique pour refléter les évolutions de nos pratiques ou de la réglementation. Toute modification substantielle sera notifiée par email et/ou notification push au moins 15 jours avant son entrée en vigueur.
La date de dernière mise à jour figure en haut de cette page.
Contact
Pour toute question relative à vos données personnelles :
Délégué à la Protection des Données (DPO)
Email : [email protected]
Adresse : SUGU SARL — 3252 Avenue Bobo Dioula, Ouagadougou, Burkina Faso
Téléphone : +226 00 00 00 00
Références légales
- Cadre panafricain (commun aux 8 pays)
- • Convention de l'Union Africaine sur la cybersécurité et la protection des données à caractère personnel (Convention de Malabo, 2014)
- • Acte Uniforme OHADA relatif au Droit Commercial Général (AUDCG) — Obligations comptables
- Cadre CEDEAO (Bénin, Côte d'Ivoire, Guinée-Bissau, Sénégal, Togo)
- • Acte Additionnel A/SA.1/01/10 de la CEDEAO — Protection des données à caractère personnel
- • Acte Additionnel A/SA.2/01/10 de la CEDEAO — Transactions électroniques
- Cadre AES (Burkina Faso, Mali, Niger)
- • Traité de la Confédération de l'Alliance des États du Sahel (2024) et droit dérivé émergent
- • Lois nationales transposant l'ancien cadre CEDEAO, demeurées en vigueur
- Lois nationales de protection des données
- • Pays AES — Loi N°001-2021/AN (BF) ; Loi N°2013-015 (ML) ; Loi N°2017-28 (NE)
- • Pays CEDEAO — Loi N°2017-547 (CI) ; Loi N°2008-12 (SN) ; Loi N°2017-20 (BJ) ; Loi N°2019-014 (TG) ; cadre national (GW)