POLITIQUE DE CONFIDENTIALITÉ ITA

1. Objet de la politique

La présente Politique de confidentialité décrit la manière dont ITA collecte, utilise, conserve, protège, partage et, le cas échéant, transfère les données à caractère personnel des personnes qui utilisent la plateforme ITA, ses applications mobiles, ses interfaces web, ses services associés, ainsi que les fonctionnalités intégrées telles que la messagerie, le portefeuille numérique, la marketplace, les services aux publics accessibles via partenariats, les contenus et l’assistant intelligent AIDEN.

Elle a pour finalité de garantir une information claire, loyale et accessible sur les traitements de données liés à ITA, dans le respect des lois applicables, des exigences des plateformes de distribution d’applications, des engagements de sécurité de Tuwindi Universe et des principes de gouvernance portés au sein de l’écosystème ITA.

2. Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées dans le cadre d’ITA est :

Tuwindi Universe SAS
Adresse : Hamdalaye ACI 2000, Rue 340, Porte 90
Téléphone : +22376324161
Email : privacy@tuwindi.org
Contact confidentialité / données personnelles : privacy@tuwindi.org

Lorsque certains services sont opérés avec des partenaires, administrations, prestataires de paiement, marchands ou fournisseurs techniques, ceux-ci peuvent intervenir en qualité de sous-traitants, de responsables conjoints ou de responsables indépendants, selon la nature du service concerné. Dans ce cas, ITA veille à encadrer la relation par des instruments contractuels et organisationnels appropriés.

3. Champ d’application

La présente politique s’applique à toute personne qui :

• crée un compte ITA ;
• utilise l’application ou le site ITA ;
• effectue un paiement, un transfert, un achat ou une demande de service via ITA ;
• interagit avec AIDEN ;
• communique avec le support client ;
• consulte des contenus ou utilise des services accessibles via ITA ;
• agit comme marchand, partenaire, annonceur, institution ou fournisseur au sein de l’écosystème ITA.

Certaines fonctionnalités peuvent faire l’objet de règles complémentaires ou d’annexes spécifiques, notamment pour le wallet, VIRA, la marketplace, les services publics numériques, les activités marchandes, les annonces sponsorisées, l’IA et les services soumis à vérification renforcée.

4. Principes directeurs

• Collecte limitée aux données réellement nécessaires ;
• Finalités déterminées, explicites et légitimes ;
• Transparence vis-à-vis des utilisateurs ;
• Sécurité, confidentialité et intégrité des données ;
• Accès restreint selon les besoins métiers ;
• Conservation proportionnée à la finalité ;
• Redevabilité, traçabilité et amélioration continue ;
• Protection renforcée lorsque les traitements présentent des risques accrus, notamment pour les paiements, la fraude, l’IA, la marketplace, les services publics et les mineurs.

5. Catégories de données pouvant être collectées

Selon les services utilisés, ITA peut collecter les catégories de données suivantes.

5.1 Données d’identification et de compte

Nom, prénom, pseudonyme, numéro de téléphone, adresse email, date de naissance, sexe lorsque pertinent, langue préférée, pays, ville, photo de profil, identifiants techniques de compte, statut du compte, préférences utilisateur.

5.2 Données de vérification et de conformité

Données KYC, documents d’identité, selfie de vérification, informations de vérification marchande, données de lutte contre la fraude, éléments de preuve requis par la réglementation applicable ou par les partenaires habilités.

5.3 Données transactionnelles

Historique d’achats, paiements, transferts, rechargements, retraits, remboursements, contestations, reçus, références d’opérations, données liées à l’utilisation du wallet, de VIRA ou d’autres instruments ou canaux de paiement intégrés.

5.4 Données liées à la marketplace et aux services

Commandes, paniers, livraisons, adresse de livraison, historique de vente, catalogues, litiges, évaluations, preuves de service, informations nécessaires à l’exécution d’une prestation ou d’une relation marchande.

5.5 Données de messagerie et de communication

Métadonnées de communication, contenu des messages lorsque cela est techniquement nécessaire à la fourniture du service, pièces jointes, informations relatives aux appels, groupes, journaux d’usage, signalements, blocages, modération et sécurité.

5.6 Données d’utilisation, techniques et de sécurité

Adresse IP, appareil, système d’exploitation, version d’application, identifiants publicitaires ou techniques lorsque permis, journaux de connexion, événements d’usage, informations de performance, détection d’anomalies, données de cybersécurité et de prévention des abus.

5.7 Données de localisation

Données de localisation approximative ou précise lorsque la fonctionnalité concernée l’exige et que l’utilisateur y consent ou l’active, par exemple pour la livraison, la sécurité, la personnalisation locale, l’accès à certains services ou la prévention de fraude.

5.8 Données liées à AIDEN

Prompts, requêtes, réponses, préférences d’usage, feedback, historique d’interaction, données contextuelles nécessaires à la réponse, et, selon les cas, éléments utiles à l’amélioration du service, à la personnalisation, à la sécurité ou à la détection d’usages abusifs.

5.9 Données de support et de relation utilisateur

Réclamations, tickets, échanges avec le support, enregistrements d’assistance lorsque légalement autorisés, notes de résolution, satisfaction, pièces justificatives fournies par l’utilisateur.

5.10 Données issues de partenaires

Données transmises par marchands, prestataires de paiement, administrations, partenaires logistiques, fournisseurs d’identité, opérateurs techniques ou réseaux sociaux, lorsqu’un tel partage est nécessaire au service demandé ou autorisé par l’utilisateur.

6. Modes de collecte

Les données peuvent être collectées :

• directement auprès de l’utilisateur lors de l’inscription, de l’usage ou d’un contact avec ITA ;
• automatiquement lors de l’utilisation de l’application ou du site ;
• auprès de partenaires ou prestataires intervenant dans la fourniture du service ;
• lors de vérifications de sécurité, de conformité ou de fraude ;
• via les permissions activées par l’utilisateur sur son appareil ;
• via cookies, SDK, journaux techniques et autres traceurs autorisés, selon les réglages et la réglementation applicable.

7. Finalités du traitement

ITA traite les données personnelles pour les finalités suivantes.

7.1 Fourniture du service

Créer et administrer les comptes, authentifier les utilisateurs, assurer l’accès à la messagerie, au wallet, à la marketplace, aux services publics, aux contenus, à AIDEN et aux autres fonctionnalités d’ITA.

7.2 Exécution des transactions

Traiter les paiements, transferts, rechargements, retraits, commandes, remboursements, preuves d’opération, rapprochements, vérifications et réclamations.

7.3 Sécurité, prévention de la fraude et continuité d’activité

Protéger les comptes, détecter les comportements suspects, prévenir les accès non autorisés, enquêter sur les incidents, limiter les abus, journaliser les actions critiques et sécuriser la plateforme.

7.4 Assistance et relation client

Répondre aux demandes, résoudre les litiges, fournir un support humain ou automatisé, améliorer la qualité de service et documenter les échanges liés au traitement des réclamations.

7.5 Personnalisation et amélioration du service

Adapter l’expérience utilisateur, recommander des contenus ou services pertinents, améliorer l’ergonomie, mesurer la performance, corriger les bugs et renforcer la qualité du produit.

7.6 Conformité juridique et réglementaire

Respecter les obligations légales, comptables, fiscales, prudentielles, de coopération avec les autorités compétentes, de lutte contre la fraude, de sécurité, de protection des consommateurs et, le cas échéant, de lutte contre le blanchiment et le financement d’activités illicites.

7.7 Gouvernance, audit et redevabilité

Assurer la traçabilité, la supervision interne, les contrôles, la documentation de conformité, les audits de sécurité et la gouvernance de la donnée au sein de l’écosystème ITA.

7.8 Communication et information

Envoyer des notifications de service, alertes de sécurité, confirmations d’opérations, mises à jour importantes, et, lorsque cela est autorisé, des communications commerciales, institutionnelles ou promotionnelles.

8. Bases juridiques

Lorsque la loi applicable l’exige, ITA traite les données sur l’une ou plusieurs des bases suivantes :

• l’exécution d’un contrat ou de mesures précontractuelles ;
• le respect d’une obligation légale ou réglementaire ;
• le consentement de l’utilisateur, lorsqu’il est requis ;
• l’intérêt légitime d’ITA ou d’un partenaire, sous réserve de ne pas porter atteinte aux droits et libertés des personnes concernées ;
• la protection des intérêts vitaux d’une personne ;
• toute autre base prévue par la réglementation applicable dans le pays concerné.

Lorsqu’un traitement repose sur le consentement, l’utilisateur peut le retirer dans les conditions prévues par la loi et par les réglages du service, sans effet rétroactif sur les traitements déjà réalisés légalement.

9. Partage des données

ITA ne vend pas les données personnelles au sens où cette expression est entendue par de nombreuses réglementations de protection des données, sauf mention expresse, information préalable claire et cadre légal approprié.

Les données peuvent toutefois être communiquées, dans la stricte mesure nécessaire, aux catégories suivantes :

• sociétés du groupe ou entités liées intervenant dans l’exploitation d’ITA ;
• prestataires techniques, cloud, hébergement, sécurité, analytics, relation client, vérification d’identité, lutte contre la fraude ;
• prestataires de paiement, banques, établissements agréés, partenaires financiers et réseaux d’acceptation ;
• marchands, vendeurs, acheteurs, livreurs ou prestataires de services, lorsque cela est nécessaire à l’exécution d’une transaction ;
• autorités publiques, judiciaires, administratives ou de régulation, lorsqu’une telle communication est requise ou légalement autorisée ;
• partenaires institutionnels ou administrations, dans le cadre de services publics ou de procédures dématérialisées demandées par l’utilisateur ;
• auditeurs, conseils juridiques, assureurs ou experts, lorsque cela est nécessaire à la défense des intérêts légitimes d’ITA ou à la conformité ;
• partenaires publicitaires ou de mesure, uniquement dans le cadre permis par la loi, les réglages de l’utilisateur et les paramètres du service.

ITA exige contractuellement, autant que possible, que ses partenaires et prestataires appliquent des garanties appropriées de sécurité, confidentialité et conformité.

10. Cas particulier de la messagerie

ITA considère la messagerie comme un service sensible. Le contenu des communications n’est pas utilisé à des fins de publicité comportementale fondée sur le contenu privé des messages.

ITA peut néanmoins traiter certaines données de communication lorsqu’un tel traitement est nécessaire pour :

• fournir le service ;
• acheminer, synchroniser, sauvegarder ou restaurer des messages ;
• protéger la sécurité des utilisateurs ;
• détecter des abus, fraudes, spams, contenus illicites ou violations graves des règles du service ;
• répondre à une demande légale valide ;
• traiter un signalement, un litige ou un incident critique.

Des garanties techniques et organisationnelles spécifiques peuvent être mises en œuvre selon l’architecture réelle du service, notamment le chiffrement en transit, des mécanismes de contrôle d’accès, la journalisation de sécurité et la segmentation des environnements.

11. Cas particulier de l’assistant AIDEN

AIDEN est un assistant intelligent intégré à ITA. Lorsqu’un utilisateur interagit avec AIDEN, ITA peut traiter les données saisies, les documents transmis, les préférences et certains éléments de contexte nécessaires pour produire une réponse utile, sécurisée et adaptée.

Les interactions avec AIDEN peuvent être utilisées pour :

• répondre aux demandes de l’utilisateur ;
• assister la navigation et l’usage d’ITA ;
• fournir un support automatisé ;
• améliorer la qualité, la pertinence et la sécurité du service ;
• prévenir certains usages frauduleux ou abusifs ;
• entraîner, affiner ou évaluer certains composants du service, uniquement dans les conditions autorisées par la loi et par les réglages internes de gouvernance.

ITA s’efforce de limiter l’exposition des données sensibles dans les interactions avec AIDEN. L’utilisateur est invité à ne pas partager inutilement des données excessivement sensibles dans les requêtes libres, sauf lorsque la fonctionnalité le requiert expressément.

Selon les cas, certaines interactions avec AIDEN peuvent être relues ou auditées par des personnes habilitées à des fins de qualité, sécurité, conformité, investigation ou amélioration du service.

12. Cas particulier du wallet, de VIRA et des opérations transactionnelles

Les données liées au wallet, aux paiements, aux transferts et à VIRA font l’objet d’un niveau de contrôle renforcé.

Ces données peuvent être traitées pour :

• ouvrir et administrer un compte transactionnel ou un portefeuille ;
• exécuter des opérations financières ou quasi-financières ;
• vérifier l’identité du titulaire ;
• appliquer des plafonds, règles d’usage et contrôles de sécurité ;
• prévenir les fraudes, contestations abusives, prises de contrôle de compte et anomalies ;
• produire des reçus, historiques et preuves d’opération ;
• répondre aux obligations légales, comptables, réglementaires et prudentielles applicables.

Certaines données peuvent être conservées au-delà de la durée de vie du compte, lorsque la loi, la sécurité, la prévention de la fraude, l’audit, la défense des droits ou la gestion des litiges l’exigent.

13. Cas particulier de la marketplace

Lorsqu’un utilisateur agit comme acheteur, vendeur, marchand ou prestataire sur ITA, les données personnelles nécessaires à l’exécution de la transaction peuvent être partagées avec l’autre partie ou avec les intervenants nécessaires à la prestation.

ITA peut également traiter des données pour :

• vérifier l’identité et l’éligibilité des vendeurs ;
• prévenir la vente de biens ou services interdits ;
• gérer la réputation, les évaluations, les réclamations et la modération ;
• détecter les annonces frauduleuses, trompeuses ou illicites ;
• répondre aux obligations de traçabilité, de sécurité du consommateur et de coopération avec les autorités compétentes.

Les vendeurs ou prestataires utilisant ITA restent responsables des données qu’ils traitent en leur qualité propre, lorsqu’ils les utilisent en dehors des instructions d’ITA ou pour leurs besoins autonomes.

14. Cas particulier des services publics et partenariats institutionnels

Lorsque ITA sert d’interface d’accès à des services publics ou à des démarches opérées avec des institutions partenaires, certaines données peuvent être échangées avec l’administration ou l’organisme concerné, strictement dans la mesure nécessaire à l’exécution de la demande initiée par l’utilisateur ou à la fourniture du service.

Dans ce cadre, des règles complémentaires peuvent s’appliquer selon le type de service concerné, la nature des données, le pays, l’autorité compétente et l’architecture contractuelle du partenariat.

15. Publicité, annonces sponsorisées et personnalisation

ITA peut diffuser des communications commerciales, annonces sponsorisées ou recommandations de services au sein de son écosystème.

Lorsque la loi applicable l’exige, l’utilisateur peut contrôler ou refuser certaines formes de personnalisation. ITA s’interdit d’utiliser les données sensibles ou le contenu privé des communications comme base de ciblage publicitaire, sauf base légale claire, information préalable explicite et conformité stricte au droit applicable.

Les publications sponsorisées, annonces promues ou offres commerciales doivent être identifiables comme telles.

16. Cookies, SDK, traceurs et identifiants

ITA peut utiliser des cookies, SDK, balises, journaux d’événements et autres technologies similaires pour :

• assurer le fonctionnement technique du service ;
• mémoriser certaines préférences ;
• mesurer l’audience et la performance ;
• sécuriser les sessions ;
• détecter les anomalies ;
• améliorer l’expérience ;
• personnaliser certains contenus ou communications lorsque cela est permis.

Une politique spécifique relative aux cookies, traceurs et technologies similaires pourra compléter la présente politique selon les interfaces, pays et obligations applicables.

17. Localisation, permissions et accès au terminal

L’application ITA peut demander l’accès à certaines fonctions du terminal, comme les contacts, la caméra, le microphone, la galerie, la localisation, les fichiers, les notifications ou la biométrie locale de l’appareil.

Ces accès sont sollicités uniquement lorsqu’ils sont nécessaires à une fonctionnalité précise ou lorsque l’utilisateur choisit de l’activer. Le refus de certaines permissions peut limiter le fonctionnement de certaines fonctionnalités sans empêcher nécessairement l’utilisation générale d’ITA.

18. Sécurité des données

ITA met en œuvre des mesures techniques, organisationnelles et contractuelles raisonnables et appropriées afin de protéger les données personnelles contre la destruction, la perte, l’altération, la divulgation non autorisée, l’accès illicite ou tout traitement non conforme.

Ces mesures peuvent inclure, selon les services :

• chiffrement des flux et des environnements pertinents ;
• gestion des habilitations ;
• authentification renforcée ;
• segmentation des accès ;
• journalisation des actions critiques ;
• surveillance de sécurité ;
• procédures de réponse aux incidents ;
• sauvegardes, redondance et continuité ;
• tests, audits et revues régulières.

Aucune mesure de sécurité n’offre toutefois un risque nul. En cas d’incident affectant des données personnelles, ITA agit conformément aux obligations légales et réglementaires applicables.

19. Conservation des données

ITA conserve les données personnelles pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles ont été collectées, sous réserve des obligations légales, réglementaires, contractuelles, comptables, probatoires, fiscales, de sécurité ou de défense des droits.

À titre indicatif :

• les données de compte sont conservées pendant la durée de vie du compte puis pendant une période proportionnée de gestion post-clôture ;
• les données transactionnelles peuvent être conservées plus longtemps pour des motifs légaux, comptables, réglementaires, d’audit ou de lutte contre la fraude ;
• les journaux techniques et de sécurité sont conservés pendant des durées adaptées à la détection d’incidents, à l’investigation et à la protection des systèmes ;
• les échanges support et litiges sont conservés pendant la durée utile à leur traitement et à la défense des droits ;
• certaines données peuvent être anonymisées ou agrégées pour des usages statistiques ou d’amélioration du service.

Un référentiel interne de conservation, plus détaillé, précise les durées applicables par catégorie de données et par pays.

20. Transferts internationaux de données

Compte tenu du caractère panafricain et potentiellement international d’ITA, certaines données peuvent être traitées ou hébergées en dehors du pays de collecte ou du pays de résidence de l’utilisateur.

Lorsqu’un transfert international de données intervient, ITA s’efforce de mettre en place des garanties appropriées, selon le droit applicable, pouvant inclure :

• hébergement dans des juridictions offrant un niveau adéquat ou reconnu ;
• clauses contractuelles ou engagements équivalents avec les prestataires ;
• mesures techniques complémentaires ;
• transferts nécessaires à l’exécution d’un service demandé ;
• consentement, lorsqu’il constitue la base adéquate ;
• toute autre garantie prévue par la réglementation applicable.

21. Droits des personnes concernées

Sous réserve des conditions, limites et exceptions prévues par la loi applicable, l’utilisateur peut disposer des droits suivants :

• droit d’information ;
• droit d’accès ;
• droit de rectification ;
• droit de suppression ou d’effacement ;
• droit d’opposition ;
• droit de limitation ;
• droit à la portabilité lorsque ce droit est reconnu ;
• droit de retirer son consentement ;
• droit de définir des directives relatives à certaines données lorsque la loi le prévoit ;
• droit d’introduire une réclamation auprès de l’autorité compétente.

Les demandes peuvent être adressées à : privacy@tuwindi.org. ITA peut demander des informations complémentaires pour vérifier l’identité du demandeur avant de traiter une demande, notamment afin d’éviter des accès frauduleux aux données.

22. Suppression du compte et des données

L’utilisateur peut demander la suppression de son compte ITA par les moyens mis à sa disposition dans l’application et, le cas échéant, via une procédure accessible hors de l’application.

La suppression du compte entraîne, dans les limites prévues par la loi et la présente politique :

• la fermeture du compte ;
• la suppression ou l’anonymisation des données qui n’ont plus de raison légitime d’être conservées ;
• la conservation séparée de certaines données qui doivent être retenues pour des motifs légaux, réglementaires, comptables, fiscaux, probatoires, de sécurité, de lutte contre la fraude ou de gestion des litiges.

Une désactivation temporaire, un gel ou une simple déconnexion ne valent pas suppression de compte.

23. Mineurs

ITA n’est pas destiné à contourner les règles de protection des mineurs. Certaines fonctionnalités peuvent être interdites ou restreintes selon l’âge, le pays, la réglementation locale ou la nature du service.

Lorsque la loi l’exige, ITA peut demander l’intervention, l’autorisation ou le consentement vérifiable d’un parent ou représentant légal pour certains traitements concernant des mineurs.

Les fonctionnalités financières, marchandes, contractuelles ou à risque élevé peuvent être soumises à un âge minimum plus élevé que l’âge d’accès général à la plateforme.

24. Prise de décision automatisée et profilage

ITA peut utiliser des mécanismes automatisés pour la sécurité, la lutte contre la fraude, la priorisation du support, la personnalisation ou la recommandation de contenus et services.

Lorsqu’un traitement automatisé produit des effets significatifs sur une personne ou emporte un niveau de risque particulier, ITA s’efforce de mettre en place des garanties appropriées, pouvant inclure une revue humaine, une voie de contestation, une documentation du raisonnement ou des limitations sur l’usage du système.

25. Gouvernance, audits et CPSDI

ITA intègre un dispositif de gouvernance de la donnée et de confiance. Dans ce cadre, certaines informations, rapports, indicateurs, audits ou éléments documentaires peuvent être examinés par des instances internes de conformité, d’audit, de sécurité ou de supervision.

Le CPSDI, lorsqu’il intervient dans son rôle de supervision et de redevabilité, n’a pas vocation à accéder librement aux contenus privés, au code source ni aux données brutes en dehors des cas strictement autorisés par la loi, par la gouvernance interne et par les mécanismes de contrôle définis par ITA.

26. Modifications de la politique

ITA peut modifier la présente politique afin de refléter l’évolution du service, de ses fonctionnalités, de ses partenaires, de ses obligations légales ou de ses pratiques de sécurité et de conformité.

En cas de modification substantielle, ITA prendra des mesures raisonnables pour en informer les utilisateurs par un canal approprié, tel qu’une notification dans l’application, une mise à jour visible sur le site ou tout autre mécanisme adapté.

27. Contact et réclamations

Pour toute question relative à la présente politique ou à l’exercice de vos droits, vous pouvez contacter :

Tuwindi Universe / ITA – Référent données personnelles
Adresse : Hamdalaye ACI 2000, Rue 340, Porte 90
Téléphone : +22376324161
Email : privacy@tuwindi.org
Contact confidentialité / données personnelles : privacy@tuwindi.org

Vous pouvez également saisir l’autorité de protection des données compétente dans votre juridiction, notamment au Mali l’autorité légalement compétente en matière de protection des données personnelles.