La présente Politique de Confidentialité et de Protection des Données Personnelles s'applique à tous les collaborateurs de SANKOFA-LAB. Elle vise à informer les employés de SANKOFA-LAB (ciaprès dénommée 'la Société') sur la manière dont leurs données personnelles sont collectées, utilisées, stockées et protégées conformément aux normes de confidentialité et aux réglementations en vigueur.
La présente politique puise ses sources dans le corpus légal et réglementaire ci-après :
- Loi n° 2013-450 du 19 juin 2013 relative à la protection des Données à Caractère Personnel.
- Loi n° 2013-451 du 19 juin 2013 relative à la lutte contre la cybercriminalité.
- Loi n° 2013-546 du 30 juillet 2013 relative aux transactions électroniques.
Les données à caractère personnel ou données personnelles sont des informations existant sous diverses formes et permettant d'identifier directement ou indirectement une personne par référence à un numéro d’immatriculation ou à un ou plusieurs éléments propres à son identité physique, physiologique, biométrique, génétique, psychique, culturelle, sociale ou économique. Elles peuvent être des identifiants universels permettant de raccorder entre eux, plusieurs fichiers constituant des bases de données, ou de procéder à leur interconnexion
Une donnée à caractère personnel est une information relative à une personne physique identifiée ou identifiable, de quelque nature qu'elle soit et indépendamment de son support y compris le son et l'image. Est réputée « identifiable », une personne qui peut être identifiée directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.
Exemples :
- Identification directe : nom et prénom ;
- Identification indirecte : numéro de compte (ne permet d'identifier une personne que si l'on dispose simultanément du fichier client) ; ...
- Les données bancaires (transactions, opérations sur titres, virements...) sont des données à caractère personnel dès lors que les émetteurs, les bénéficiaires, les contreparties ou le personnel chargé des opérations peuvent être identifiés.
La Société peut collecter et traiter les catégories de données personnelles suivantes concernant ses employés :
- Informations d'identification (nom, prénom, adresse, numéro de téléphone, adresse e-mail, etc.) ;
- Informations professionnelles (fonction, département, bureau, etc.) ;
- Données relatives à la gestion des ressources humaines (informations sur les salaires, les congés, les évaluations de performance, etc.) ;
- Données de connexion et d'utilisation des systèmes informatiques de l’entreprise ;
Les données personnelles des employés sont traitées dans le cadre des activités de gestion des ressources humaines, notamment pour :
- L'administration des salaires et des avantages sociaux ;
- La gestion des congés et des absences ;
- L'évaluation des performances et du développement professionnel ;
- La communication interne ;
- La sécurité des systèmes informatiques et des données de l’entreprise ; - La sécurité des locaux et des biens de la Société.
La Société s'engage à mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre tout accès non autorisé, divulgation, altération ou destruction. L'accès aux données personnelles est restreint aux employés autorisés nécessitant ces informations pour l'exercice de leurs fonctions.
Les données personnelles des employés ne seront partagées qu'avec des tiers dans le cadre des obligations légales, des partenariats professionnels ou avec le consentement explicite de l'employé concerné.
Conformément à la Loi n° 2013-450 relative à la protection des données à caractère personnel au Cameroun, tout traitement de données personnelles doit être fondé sur l'une des bases légales prévues par la loi, dont votre consentement libre, spécifique, éclairé et univoque.
La présente clause régit la collecte et le traitement des données à caractère personnel des Utilisateurs dans le cadre de l’utilisation des Services proposés par SANKOFA-LAB (« nous » « la Société »). En acceptant les présentes CGU, vous (« l’Utilisateur ») reconnaissez avoir pris connaissance de la présente clause et y consentir expressément.
Nature des Données Collectées et Finalités du Traitement
Les données que nous sommes susceptibles de collecter et de traiter incluent, sans s’y limiter :
Données d’identité et de contact (nom, prénom, adresse, email, numéro de téléphone, photocopie de la CNI, passeport) ;
Données de connexion et techniques (adresse IP, logs, identifiants de connexion, type de terminal);
Données financières et transactionnelles (données de paiement, historique des transactions,)
Vos données sont traitées aux fins et sur les bases légales suivantes
| Finalité du Traitement | Base Légale (Loi n° 2013-450) |
|---|---|
| Pour exécuter le contrat qui nous lie à vous (créer votre compte, vous fournir nos services, et assurer votre support client). | Nécessité à l'exécution de notre contrat (Conformément à l'Article 14 de la loi, qui prévoit ce fondement lorsque le traitement est nécessaire à « l'exécution d'un contrat auquel la personne concernée est partie ») |
| Pour respecter nos obligations légales et réglementaires (lutter contre la fraude et le blanchiment d'argent, et nous acquitter de nos obligations fiscales). | Respect d'une obligation légale (Conformément à l'Article 14 de la loi, qui s'applique pour se conformer à « une obligation légale à laquelle le responsable du traitement est soumis »). |
| Pour détecter et prévenir la fraude, les activités illicites et sécuriser l'ensemble de nos transactions | Intérêt légitimede notre Société à protéger ses actifs et garantir la sécurité de ses services (Sur la base de l'Article 14, pour « la sauvegarde de l'intérêt ou des droits et libertés fondamentaux de la personne concernée »). Un consentement exprès est requis pour toute analyse comportementale poussée (profiling). |
| Pour vous envoyer des communications marketing, des newsletters et des offres promotionnelles (prospection commerciale). | Consentement exprès et préalable de l'Utilisateur (Comme l'exige l'Article 22 de la loi, qui interdit formellement toute prospection directe sans votre consentement préalable). |
Consentement Explicite pour les Finalités Sensibles
Traitements fondés sur le consentement : Pour les finalités qui ne sont pas indispensables à l'exécution du contrat (notamment le marketing direct et le profilage à des fins commerciales), nous recueillons votre consentement explicite et séparé, par le biais d'une case à cocher active et non pré-cochée.
Vous pouvez retirer votre consentement à tout moment, sans remettre en cause la licéité des traitements effectués avant ce retrait. Le retrait du consentement s'effectue via votre interface utilisateur ou en contactant notre Délégué à la Protection des Données (DPD) aux coordonnées cidessous.
Vos données sont destinées aux services internes de SANKOFA-LAB habilités (Service Conformité, Service Client, DAF) et, le cas échéant, à :
Nos sous-traitants stricts (hébergeurs, prestataires de paiement) liés par une clause de confidentialité.
Autorités judiciaires, administratives ou de régulation (si requis par la loi).
En cas de transfert de données en dehors du territoire camerounais, vers des pays offrant un niveau de protection jugé adéquat par la Autorité de Protection des Données personnelles (ARTCI) du Côte d’ivoire ou sous couvert de garanties contractuelles standards, nous vous en informerons préalablement et recueillerons votre consentement exprès si la loi l'exige.
Durée de Conservation des Données
| Catégorie de Données / Finalité du Traitement | Durée de Conservation | Base Légale et Justification (Selon Loi n° 2013-450 de Côte d'Ivoire) |
|---|---|---|
| Données de votre compte utilisateur (votre profil, vos coordonnées, votre identité) | Pour la durée de notre relation contractuelle, plus cinq (5) ans après la clôture de votre compte. | Ces données sont traitées parce qu'elles sontnécessaires à l'exécution de notre contrat (Art. 14) et pourrespecter une obligation légale (Art. 14). Cette durée nous permet de gérer votre compte même après sa fermeture, de servir de preuve en cas de litige et de nous conformer aux règles sur la conservation des archives commerciales et fiscales. |
| Données de vos transactions (historique de vos opérations, preuves de paiement) | Dix (10) ans à compter de la date de la transaction. | Cette conservation est imposée par le respect d'une obligation légale (Art. 14). Cette durée correspond aux délais de prescription légale et aux obligations comptables et fiscales en vigueur en Côte d'Ivoire. |
| Données liées à une enquête pour fraude (dossier d'enquête, preuves, décision) | Cinq (5) ans à compter de la clôture définitive de l'incident. | Ce traitement repose sur l'intérêt légitime prépondérant de notre Société (Art. 14) à protéger ses droits et ses intérêts vitaux. Cette durée est justifiée par le délai de prescription des infractions économiques et par la nécessité de nous prémunir contre les récidives. |
| Preuve de votre consentement (enregistrement de votre accord, version des CGU acceptées) | Trois (3) ans à compter de la collecte de votre consentement ou de sa révocation. | Cette conservation est nécessaire au respect d'une obligation légale (Art. 5 et 9). La loi nous impose de pouvoir prouver que nous avons bien recueilli votre consentement, notamment en cas de contrôle par l'Autorité de Protection des Données. |
| Données techniques de connexion (logs, adresse IP) | Treize (13) mois à compter de leur collecte. | Ce traitement est fondé l'intérêt légitime de notre Société (Art. 14) à garantir la sécurité de ses systèmes informatiques, à prévenir la fraude et à résoudre les incidents techniques. Cette durée, conforme aux standards et aux recommandations de l'ARTCI, est nécessaire et proportionnée à ces fins. |
Conformément au principe de limitation de la conservation énoncé à l'article 15 de la Loi n° 2013- 450, les données à caractère personnel des Utilisateurs ne sont pas conservées au-delàs de la durée strictement nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Les durées de conservation applicables sont définies ci-après en fonction de la nature des données et des finalités du traitement :
À l'expiration des durées précitées, les données à caractère personnel sont irrévocablement supprimées ou anonymisées de manière que l'individu ne soit plus identifiable. Les données anonymisées peuvent être conservées à des fins de statistiques et d'amélioration des services.
En cas de contentieux, procédure judiciaire, administrative ou d'enquête en cours, les données concernées peuvent être conservées pour la durée strictement nécessaire à la résolution du litige ou à l'exécution de la décision de l'autorité compétente, et ce, même si la durée de conservation initiale est expirée. La Société en informe l'Utilisateur concerné, sauf si cette information est contraire à une obligation légale ou à une décision de justice.
L'exercice du droit à l'effacement par l'Utilisateur est soumis au respect des durées de conservation légales impératives. La Société pourra ainsi refuser une demande d'effacement si la conservation des données reste nécessaire pour se conformer à une obligation légale ou pour la constatation, l'exercice ou la défense d'un droit en justice.
Droits de l’Utilisateur Conformément à la Loi n° 2013-450, vous disposez des droits suivants sur vos données :
Droit d’accès, de rectification et d’effacement (« droit à l’oubli ») ;
Droit à la limitation du traitement ;
Droit à la portabilité de vos données ;
Droit d’opposition pour motif légitime.
Pour exercer ces droits ou pour toute question relative à la protection de vos données, vous pouvez contacter notre Délégué à la Protection des Données (DPD) :
Par email : par mail : Service.support@sankofa-lab.io
Par courrier : https://novasend.app, à l'attention du DPD,Service.support@sankofa-lab.io
Vous avez également le droit d’introduire une réclamation auprès de l’Autorité Camerounaise de Protection des Données Personnelles (ARTCI).
L'acceptation des présentes CGU, et notamment de cette clause, vaut mandatement exprès et consentement éclairé pour le traitement de vos données personnelles dans les conditions décrites ci-dessus. Le refus de consentir aux traitements fondés sur cette base pourrait rendre impossible la fourniture de certains services optionnels (marketing).
Les employés ont le droit d'accéder, de rectifier, de supprimer, de s'opposer ou de limiter le traitement de leurs données personnelles. Pour exercer ces droits, les employés peuvent contacter le Correspondant à la Protection des Données (DPO).
Concernant les données personnelles capturées par la vidéosurveillance, les employés ont un droit d'accès. Toutefois l'accès sera soumis à des procédures de vérification appropriées. Les demandes d'accès doivent être adressées au Correspondant à la Protection des Données (DPO).
La Société se réserve le droit de modifier cette Politique de Confidentialité. Les employés seront informés de toute modification significative
Il s'agit d'informations qui ne sont pas recueillies directement auprès de la personne concernée. Dans ce cas, il est nécessaire de demander à la personne qui fournit les informations (le client ou autre) d’informer la personne concernée des informations qu'elle a transmises à SANKOFA-LAB SARL. A défaut, c’est SANKOFA-LAB SARL qui doit informer la personne dont les données sont collectées indirectement.
Il est interdit de procéder à la collecte et à tout traitement des données sensibles sauf dans les cas ci-après :
- La personne concernée a donné son consentement par écrit, quel que soit le support, à un tel traitement et en conformité avec les textes en vigueur ;
- Une procédure judiciaire ou une enquête pénale est ouverte ;
- Le traitement des données à caractère personnel s’avère nécessaire pour un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques.
Le traitement est nécessaire au respect d’une obligation légale à laquelle est soumis(e) le responsable du traitement ou la personne concernée ;
Le traitement entre dans le cadre de l’exécution d’un contrat auquel la personne concernée est partie ;
La personne concernée est dans l’incapacité physique ou juridique de donner son consentement et le traitement envisagé permet la sauvegarde d’intérêts vitaux la concernant ;
Le traitement permet l’exécution d’un service d’intérêt public ou relevant de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel il a communiqué les données (Cas des déclarations de soupçons de blanchiment d’argent et de financement du terrorisme pour lesquelles la déclaration est réglementairement soumise au secret absolu :
Le client ne doit en aucune façon apprendre que les opérations ou les sommes qu’il a confiées à la banque ont conduit à une déclaration de soupçons);
Le traitement permet la réalisation d’un intérêt légitime poursuivi par le responsable du traitement, à condition de ne pas méconnaître l’intérêt et les droits des personnes concernées.
Pour toute question ou préoccupation concernant la Politique de Confidentialité et de
Protection des Données (DPD) à l'adresse welcome@Sankofa-lab -send.io
Protection des Données Personnelles, veuillez contacter le correspondant à la
En acceptant cette Politique de Confidentialité, les employés reconnaissent avoir pris connaissance de son contenu et consentent au traitement de leurs données personnelles conformément aux dispositions énoncées ci-dessus.
Aux termes de la loi de protection des données à caractère personnel, les données doivent être « conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées ». Certaines données pourront être conservées pour une durée supplémentaire pour la gestion de réclamations et/ou contentieux ainsi que pour répondre à nos obligations légales ou réglementaires ou encore pour répondre à des demandes d'autorités habilitées.
En application de la loi, les durées de conservation des données au sein de SANKOFA-LAB SARL sont les suivantes : Référentiel relatif aux traitements de données à caractère personne
Aux fins du Registre des entrées et des sorties :
La durée est de 10 ans au maximum de conservation des données.
Aux fins de gestion du personnel
Les traitements visant à permettre la gestion du personnel, qu’ils soient mis en œuvre à partir d’outils internes ou externalisés auprès d’un prestataire de service, conduisent à collecter des données relatives à des personnes physiques (employés, salariés, stagiaires, etc.).
Les Destinataires Les personnes et structures habilitées à recevoir les données collectées des données auprès du personnel sont :
- Les services de gestion des ressources humaines ;
- Les supérieurs hiérarchiques des employés concernés ;
- Les institutions sociales ;
- L’administration fiscale ;
- La Direction générale ;
- L’Inspection du travail ;
- Les compagnies d’assurances contractantes.
Les données peuvent être communiquées à tout autre organisme public légalement habilité.
| Catégories de Personnes concernées | Les employés, les salariés, les stagiaires, les intérimaires, les consultants, les conseillers. |
|---|---|
| Catégories de données traitées | Les catégories de données pertinentes pour la gestion du personnel sont les suivantes : Noms, prénoms, sexe, date et lieu de naissance, adresse, numéro de téléphone personnel et professionnel, adresse électronique, situation matrimoniale, nombre d’enfants, nationalité, coordonnées personnelles, matricule interne, extrait casier judiciaire ; Noms, prénoms des enfants et époux ou épouse (s), nom et prénoms et numéro de téléphone de la personne à contacter en cas de besoin ; Statut de l’employé (salarié, intérimaire, stagiaire, consultant interne, conseiller) ; Les données relatives aux actes d’avancement ; Date et conditions d’embauche ou de recrutement, Poste occupé, missions confiées, horaires de travail fixé ; Données de connexion enregistrées pour assurer le bon fonctionnement des applications et réseaux de l’organisme. |
| Finalités du traitement | Les finalités visées sont : II.1. La gestion administrative et financière et la gestion organisationnelle du travail : La gestion administrative et financière et la gestion organisationnelles du travail peut comprendre : - La gestion des dossiers du personnel ; - La gestion des fiches de postes du personnel ; - La gestion administrative et financière du personnel (élaboration de contrat, congés, les salaires ou autres rémunérations, déclarations fiscales et sociales) ; - La gestion des agendas professionnels et des tâches à effectuer par le personnel autorisé ; - La gestion des réunions périodiques des départements ou services ; - La gestion des annuaires internes et organigrammes ; - La gestion des dotations individuelles en fourniture, d’équipements, de véhicules, de bons de carburants, d’achats et de restauration, de cartes de paiement, de crédit téléphonique II.2. La mise à la disposition des employés d’outils informatiques : Le traitement de données personnelles des salariés à des fins de mise à disposition d’outils informatiques prend en compte : - L’installation, le suivi et la maintenance du parc informatique ; - La gestion de la messagerie électronique professionnelle - La gestion du dispositif intranet de l’organisme. II.3. La formation et le suivi des carrières : Le traitement de données personnelles à des fins de formation et de suivi des carrières des employés comprend notamment : - Le traitement des demandes de formation ; - L’organisation des sessions de formation ; - Le suivi des formations internes et externes du personnel ; - L’évaluation des formations et des connaissances ; - L’évaluation du personnel ; - La gestion de la mobilité professionnelle des employés ; - Le suivi des affectations de postes ; - La mise à disposition et le détachement des agents ; - Le changement de corps professionnel. |
| Durée de conservation des données | - Les données à caractère personnel ne peuvent être conservées audelà de dix (10) ans après le départ de l’employé, sous réserve de dispositions particulières fixant une durée de conservation. - Pour les données de téléphonie, elles peuvent être conservées 06 mois, sous réserve du respect des dispositions relatives à la durée de conservation des pièces comptables (factures), qui est de 10 ans. |
| Droit des personnes | -Les personnes employées dans les organismes publics et privés exercent leurs droits à l’égard du traitement de leurs données dans les conditions fixées par Loi-cadre n°2011/012 du 6 mai 2011 portant protection des données en ses articles 53 et suivants. Ces droits sont : Le droit à l’information préalable : Les salariés sont informés du traitement de leurs données personnelles, notamment de l’identité du responsable du traitement, des finalités et des destinataires des données. Cette information doit être portée dans une clause du contrat de travail ou dans un document écrit ou électronique remis au salarié lors de l’embauche. Le droit d’accès : L’employeur doit mettre en place toutes les mesures nécessaires pour permettre aux salariés d’accéder à leurs données personnelles. Les modalités d’exercice du droit d’accès doivent être précisées dans une note de service ou dans un document écrit ou électronique remis au salarié lors de l’embauche. L’employeur communique les données demandées par les salariés dans un délai ne dépassant pas un (01) mois. Le droit d’opposition : Les salariés ont le droit de s’opposer aux traitements de leurs données personnelles ne répondant pas à une obligation légale de l’employeur ou à une nécessité de service. Les modalités d’exercice du droit d’opposition doivent être précisées dans une note de service ou dans un document écrit ou électronique remis au salarié lors de l’embauche. Le droit de rectification et de suppression : Les salariés ont le droit de demander que leurs données personnelles inexactes ou incomplètes soient rectifiées, complétées, mises à jour ou supprimées. Les modalités d’exercice du droit d’accès doivent être précisées dans une note de service ou dans un document écrit ou électronique remis au salarié lors de l’embauche. |
| Sécurité données | - Définir une politique de sécurité pour l’accès aux SI et une politique d’habilitation pour l’accès aux données du personnel ; - Utiliser des coffres forts, armoires et tiroirs à clés dans les bureaux où sont stockées les dossiers du personnel ; - Prendre les mesures de sécurité nécessaires pour éviter tout détournement de finalité ; - Sensibiliser les parties prenantes concernées. |
| Protection de la vie privée | L’accès aux données collectées ne doit être possible que par les personnes habilitées à recevoir et consulter les informations issues du système de géolocalisation. Les personnes habilitées doivent être déterminées en fonction de la finalité du dispositif. L’installation de systèmes de géolocalisation sur des véhicules d’entreprises, des véhicules de location et des véhicules de particuliers, affectés à personnel dédié requiert l’information préalable des personnes utilisatrices. Pour les entreprises publiques et privées, les employés concernés doivent être formellement informés par note de service, par note d’information ou par tout document d’information dûment notifié à la personne concernée. Ce document indique : - l’identité de l’exploitant du système de géolocalisation et du soustraitant, le cas échéant ; - les finalités du système de géolocalisation ; - les catégories de données collectées et traitées ; - les règles d’activation et de désactivation du système de géolocalisation ; - les mesures prises pour assurer la sécurité des données ; - les mesures prises pour assurer la protection de la vie privée des employés ; - les modalités d’exercice des droits d’accès, de rectification et d’opposition. Les sociétés de location de véhicules doivent Préalablement informer de manière formelle leurs clients de l’existence de balises de géolocalisation sur les véhicules loués et des finalités de tels systèmes. Les clients doivent également être informés des catégories de données collectées et traitées Le responsable de traitement pourra effectuer une analyse de risques afin d’évaluer au mieux les mesures de sécurité à prendre en compte pour la mise en place d’un système de géolocalisation. - Lorsqu’un exploitant de système de géolocalisation utilise des outils ou logiciels et plateformes développés et proposés par des tiers pour le traitement des données, il doit s’assurer que ces outils, logiciels et plateformes respectent les obligations de sécurité. Les exploitants de système de géolocalisation de véhicules doivent prendre toutes les précautions utiles afin de protéger la vie privée des employés et des clients concernés. A ce titre, les mesures suivantes doivent être mises en œuvre : - désactiver le système de géolocalisation à l’issue des horaires de travail ou durant les heures de pause. A défaut de la possibilité de désactiver le système de géolocalisation en dehors des horaires de travail, les données collectées durant ces heures ne peuvent pas utilisées pour prendre des décisions à l’encontre des employés ; - s’engager formellement à l’endroit des employés et des clients à ne pas porter atteinte à leur vie privée ; - faire signer un engagement aux employés à utiliser les véhicules conformément aux règles prédéfinies par l’employeur ; - limiter les données de localisation collectées auprès des clients qui louent des véhicules. |