Politique de confidentialité

Dernière mise à jour : 11 mai 2026 — Conforme à la loi ivoirienne n° 2013-450 du 19 juin 2013

1. Responsable du traitement

Bamori SARLU, domiciliée en Côte d'Ivoire, est responsable du traitement des données personnelles collectées via la plateforme Bamori. Pour toute question relative au traitement de vos données, vous pouvez contacter le Délégué à la Protection des Données (DPO) : voir la page contact DPO .

2. Données collectées

  • Numéro de téléphone — utilisé comme identifiant et pour l'envoi des codes OTP. Stocké sous forme chiffrée (NSec XChaCha20-Poly1305) et hashé pour les recherches.
  • Nom affiché, langue, opérateur Mobile Money préféré — renseignés volontairement dans le profil.
  • Historique des transactions — produit acheté, montant, opérateur, statut, dates.
  • Sessions actives — adresse IP, agent utilisateur, dates de connexion. Permet la révocation à distance.
  • Cookies techniques — détaillés en section 8.

3. Finalités du traitement

  • Authentification et gestion du compte (base légale : exécution du contrat).
  • Traitement des commandes et paiements (exécution du contrat).
  • Lutte contre la fraude et sécurité des transactions (intérêt légitime).
  • Respect des obligations légales (audit, comptabilité, conservation transactionnelle 5 ans).
  • Programme de parrainage (consentement explicite via le partage du code).
  • Notifications transactionnelles (exécution du contrat).

4. Destinataires des données

Les données sont transmises uniquement aux partenaires techniques nécessaires à l'exécution du service :

  • Reloadly (Royaume-Uni) — fourniture des recharges et cartes digitales.
  • GeniusPay (Côte d'Ivoire) — traitement du paiement Mobile Money.
  • Orange CI — envoi des SMS d'authentification et notifications.
  • Sentry (UE) — monitoring technique des erreurs (sans données personnelles identifiantes : la PII est redacted avant envoi conformément à NFR11).
  • OVH (France) — hébergement de l'infrastructure.

Aucune donnée n'est vendue ni transmise à des fins commerciales tierces.

5. Durée de conservation

  • Compte utilisateur — conservé tant que le compte est actif ; supprimé sur demande sous 30 jours.
  • Données transactionnelles — conservées 5 ans à compter de la transaction, en application des obligations légales comptables et anti-blanchiment.
  • Audit log administrateur — conservé 3 ans pour des raisons de sécurité.
  • Sessions actives — supprimées après expiration ou révocation par l'utilisateur.

6. Vos droits

Conformément à la loi 2013-450, vous disposez des droits suivants, exerçables directement depuis votre espace personnel ou par demande au DPO :

  • Droit d'accès et de portabilité — exportez l'intégralité de vos données depuis la page Mon profil → Confidentialité.
  • Droit de rectification — modifiez votre nom, langue et opérateur préféré dans votre profil.
  • Droit à l'effacement — demandez la suppression de votre compte ; les données non assujetties à une obligation de conservation légale sont effacées sous 30 jours.
  • Droit de révocation des sessions — déconnectez vos appareils à distance depuis la page Sessions.
  • Droit de réclamation — saisir l'Autorité de Régulation des Télécommunications/TIC de Côte d'Ivoire (ARTCI) en cas de litige non résolu.

7. Sécurité

  • Chiffrement des données sensibles au repos (numéro de téléphone : XChaCha20-Poly1305 256 bits).
  • TLS sur toutes les communications (HTTPS Let's Encrypt).
  • Tokens d'authentification rotés à chaque session.
  • Cookies refresh en HttpOnly + Secure + SameSite=Strict.
  • Conformité OWASP Top 10 (Web 2021 + API Security 2023) — NFR42 à NFR56.
  • Détection de réutilisation des tokens, révocation automatique en cas de suspicion.

8. Cookies

  • bamori_refresh — cookie HttpOnly contenant le token de rafraîchissement. Indispensable au fonctionnement de l'authentification. Durée : 30 jours.
  • bamori_session — cookie non sensible signalant l'existence d'une session active (sans données identifiantes). Permet d'éviter des requêtes inutiles au boot. Durée : 30 jours.
  • i18n_redirected — mémorise la langue choisie. Durée : 1 an.

Aucun cookie de suivi publicitaire ni d'analytique tiers n'est utilisé.

9. Modifications

Cette politique peut être mise à jour pour refléter des évolutions techniques ou légales. La date de dernière mise à jour figure en haut de cette page.