Politique de confidentialité

Dernière mise à jour : 26 mai 2026 — Version 2.1

Résumé en clair : SIYA est un service sénégalais qui aide les commerçants à gérer leur boutique et leurs commandes WhatsApp. Pour fonctionner, nous utilisons des prestataires techniques internationaux (cloud, IA, paiement). Nous ne vendons jamais vos données, nous ne les utilisons pas pour la publicité, et vous pouvez à tout moment demander à les consulter, les corriger ou les effacer en écrivant à support@siya.app.

1. Qui sommes-nous et cadre légal

SIYA est un service édité par TradeIQ Africa SARL, société de droit sénégalais immatriculée à Dakar. Adresse : Dakar, Sénégal. Contact : support@siya.app.

Le responsable de traitement au sens de la Loi sénégalaise n° 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel est TradeIQ Africa SARL. La Commission de Protection des Données Personnelles (CDP) du Sénégal est l'autorité de contrôle compétente — déclaration en cours de finalisation.

Lorsqu'un Marchand ou un utilisateur final est résident de l'Union européenne ou du Royaume-Uni, nous appliquons en complément les exigences du Règlement (UE) 2016/679 (RGPD) et du UK GDPR. Les transferts hors UE/Sénégal s'appuient sur les Clauses Contractuelles Types de la Commission européenne ou sur les mécanismes équivalents prévus par la loi sénégalaise.

Délégué à la Protection des Données (DPO) : dpo@siya.app.

2. Données collectées

2.1 Données du Marchand

Identité : nom, prénom, email, numéro de téléphone, photo de profil (facultative).
Activité : type de boutique, adresse, slug public, langue préférée (français / wolof).
Authentification : mot de passe haché (bcrypt), tokens d'accès/rafraîchissement, codes OTP temporaires, secret 2FA TOTP pour les comptes administrateurs.
Paiement payout : numéro Wave / Orange Money / IBAN — chiffrés en base avec AES-256-GCM (clé hébergée dans le coffre Railway, non accessible aux administrateurs sans justification auditée).
Documents KYC : uniquement si exigés (lien de paiement > 1 000 000 FCFA, payout > seuil).

2.2 Données métier saisies par le Marchand

Catalogue produits, stock, prix, photos, variantes.
Ventes, commandes, factures, dépenses.
Clients du Marchand : nom, téléphone, historique d'achat, notes.

Ces données appartiennent au Marchand. SIYA agit en tant que sous-traitant au sens du RGPD pour le compte du Marchand vis-à-vis de ses propres clients.

2.3 Données issues de WhatsApp

Lorsque le Marchand connecte son compte WhatsApp Business via Embedded Signup Meta, nous traitons les messages texte, audio, image et numéros échangés entre le Marchand et ses clients, uniquement pour exécuter le service de messagerie qu'il a activé (extraction IA de commandes, relances, bot hybride).
Les contenus WhatsApp ne sont jamais utilisés à des fins publicitaires ni revendus.

2.4 Données techniques

Logs d'accès et erreurs (Sentry, durée 90 jours).
Identifiants d'appareil mobile, version de l'application, télémétrie de performance.
Métriques d'usage agrégées et anonymisées (volume d'appels API, latences).
Notifications push : token push Expo / APNs / FCM stocké pour envoyer les alertes opérationnelles (commandes reçues, alertes stock, statut paiement). Désactivable à tout moment depuis les réglages de l'appareil.

2.5 Pas de suivi inter-applications (Apple ATT)

L'application iOS et Android SIYA ne suit pas l'utilisateur sur d'autres applications ou sites web appartenant à d'autres entreprises. Nous n'utilisons aucun SDK publicitaire tiers, aucun identifiant publicitaire (IDFA, GAID), aucun pixel de tracking. Aucune fenêtre App Tracking Transparency (ATT) n'est présentée car nous n'effectuons aucune activité de suivi au sens d'Apple. Le seul identifiant collecté est un identifiant interne pseudonymisé lié à votre compte SIYA, utilisé strictement pour faire fonctionner le service.

3. Base légale du traitement

Finalité	Base légale
Création de compte, exécution du contrat SaaS	Exécution du contrat (CGU)
Messagerie WhatsApp et extraction IA des commandes	Exécution du contrat + consentement (premier message IA opt-in)
Sécurité, lutte contre la fraude, journal d'audit	Intérêt légitime + obligation légale
Statistiques anonymisées, amélioration produit	Intérêt légitime
Envoi d'emails transactionnels (réinitialisation mot de passe, confirmations)	Exécution du contrat
Communications marketing	Consentement (opt-in explicite)

4. Sous-traitants et transferts internationaux

Pour fournir le service, nous nous appuyons sur les sous-traitants suivants. Plusieurs sont établis hors de l'Union européenne et du Sénégal : ces transferts sont encadrés par les Clauses Contractuelles Types et, pour les fournisseurs américains, par les engagements de leurs accords de traitement des données respectifs.

Prestataire	Pays	Finalité	Données concernées
Railway, Inc.	États-Unis	Hébergement backend, base PostgreSQL	Toutes les données applicatives
Vercel Inc.	États-Unis	Hébergement landing, dashboard, studio	Pages publiques, logs de visite
Anthropic PBC (Claude)	États-Unis	IA générative — bot WhatsApp, extraction commandes, marketing	Messages WhatsApp envoyés au modèle, prompts métier (zero retention contractuelle)
OpenAI, LLC	États-Unis	OCR factures fournisseurs (fallback uniquement)	Images de factures, texte extrait
Google LLC (Gemini)	États-Unis	Génération d'aperçus visuels produits	Images produits, variantes couleur
Meta Platforms Inc.	États-Unis / Irlande	WhatsApp Business Platform (envoi/réception)	Numéros, messages, métadonnées WhatsApp
Wave Mobile Money	Sénégal	Paiements clients et payouts marchands	Montant, transaction_id, numéro destinataire
Orange Money / Orange S.A.	Sénégal / France	Paiements clients et payouts marchands	Montant, transaction_id, numéro destinataire
PayDunya	Sénégal	Agrégateur paiement (carte, mobile money)	Token transaction, montant
ImageKit.io	Inde	CDN images produits, logos, mannequins	Photos catalogue (publiques)
Sentry, Inc.	États-Unis	Télémétrie d'erreurs (frontend + backend)	Stack traces anonymisées, user_id pseudonymisé
Brevo (ex-Sendinblue)	France (UE)	Emails transactionnels	Email marchand, contenu du mail
CurrencyAPI	États-Unis	Taux de change FCFA (factures fournisseurs étrangers)	Aucune donnée personnelle
Cloudflare	États-Unis	DNS, protection edge (en cours d'activation)	Métadonnées de requête HTTP

La liste à jour des sous-traitants est tenue à disposition sur demande à dpo@siya.app. Nous nous engageons à informer les Marchands au moins 30 jours avant l'ajout d'un nouveau sous-traitant traitant des données personnelles.

5. Traitement par intelligence artificielle

Lorsque le Marchand active le bot WhatsApp ou les fonctions IA (extraction de commande, OCR factures, génération marketing), les messages et images concernés sont transmis aux fournisseurs IA listés ci-dessus pour traitement.

Consentement client final : dès le premier message du bot WhatsApp, le client est informé qu'il interagit avec une IA et peut à tout moment répondre « humain » pour basculer en mode opérateur humain.
Pas d'entraînement : nos contrats avec Anthropic, OpenAI et Google interdisent l'utilisation des contenus transmis pour entraîner des modèles tiers.
Pas de décision automatisée à effet juridique : les actions sensibles (encaissement, suppression de données, modification de compte) requièrent toujours une validation humaine.
Versioning des prompts : les prompts IA sont versionnés et audités. Le Marchand peut désactiver l'IA à tout moment dans ses paramètres.

6. Durées de conservation

Catégorie	Durée
Compte Marchand actif	Tant que le compte est actif
Compte Marchand inactif	1 an après dernière connexion, puis suppression / anonymisation
Données métier après suppression du compte	30 jours puis effacement (sauvegardes purgées sous 90 jours)
Logs applicatifs (Sentry, accès)	90 jours
Journal d'audit administrateur	3 ans (obligation comptable / preuve)
Données comptables (factures, ventes)	10 ans (Code général des Impôts Sénégal)
Codes OTP	24 heures maximum
Sessions inactives	30 jours
Tâches IA terminées (ia_jobs)	90 jours
Données WhatsApp	Durée fixée par le Marchand dans ses préférences, plafonnée à 12 mois

7. Vos droits

Conformément à la Loi sénégalaise 2008-12 et, le cas échéant, au RGPD, vous disposez des droits suivants :

Accès à vos données et obtenir une copie de celles que nous détenons.
Rectification des données inexactes ou incomplètes.
Effacement (« droit à l'oubli ») dans les conditions prévues par la loi.
Limitation du traitement.
Portabilité de vos données dans un format structuré, couramment utilisé et lisible par machine.
Opposition au traitement, notamment marketing.
Retrait du consentement à tout moment, sans effet rétroactif.
Définir des directives sur le sort de vos données après votre décès.

Pour exercer ces droits, écrivez à dpo@siya.app ou support@siya.app. Nous répondons sous 30 jours (prolongation possible de 2 mois pour les demandes complexes, avec information préalable).

Vous pouvez également introduire une réclamation auprès de la CDP Sénégal (www.cdp.sn) ou, si vous êtes résident UE/UK, de votre autorité de contrôle nationale (CNIL en France, ICO au Royaume-Uni, etc.).

8. Sécurité

Chiffrement en transit (TLS 1.2+).
Chiffrement au repos AES-256-GCM des numéros de paiement marchand et des destinataires de payout.
Mots de passe hachés (bcrypt cost 12).
2FA TOTP obligatoire pour les comptes administrateurs SIYA.
Account lockout après tentatives échouées, rate-limiting multi-niveaux.
Isolation multi-tenant par Row Level Security PostgreSQL.
Journal d'audit chaîné par hash sur les accès administrateurs.
Sauvegardes quotidiennes chiffrées (cf. plan de reprise DR).
Modélisation des menaces formalisée (STRIDE) et revue trimestrielle.

9. Mineurs

SIYA n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données de mineurs. Si vous pensez qu'un mineur a créé un compte, contactez-nous : nous procéderons à la suppression dans les meilleurs délais.

10. Cookies et technologies similaires

L'application mobile et le studio web utilisent un stockage local strictement nécessaire au fonctionnement (sessions, panier hors-ligne, préférences linguistiques). Aucun cookie publicitaire ou de profilage tiers n'est posé. Sentry et Vercel collectent des métadonnées techniques anonymisées pour la stabilité du service.

11. Modifications

Cette politique peut être mise à jour. La date en haut de page indique la dernière modification. Les changements substantiels (nouveau sous-traitant, nouvelle finalité, élargissement de durée de conservation) seront notifiés au Marchand par email et dans l'application au moins 30 jours avant leur prise d'effet, sauf urgence légale.

Les versions historiques de cette politique sont accessibles via l'endpoint GET /api/v1/legal, permettant à chaque Marchand de retrouver la version qu'il a acceptée à l'inscription.

12. Suppression du compte

Conformément aux exigences de l'App Store d'Apple (Guideline 5.1.1(v)) et aux droits accordés par la loi, vous pouvez supprimer votre compte SIYA et toutes les données personnelles associées de trois façons :

Depuis l'application mobile : Menu Paramètres → Compte → Supprimer mon compte. Une double confirmation est demandée. La suppression est traitée sous 24 h.
Depuis le studio web : Mon compte → Zone sensible → Supprimer mon compte.
Par email : envoyez une demande à support@siya.app ou dpo@siya.app depuis l'adresse associée à votre compte. Traitement sous 30 jours.

La suppression entraîne l'effacement immédiat des données personnelles identifiantes et l'anonymisation des données métier transactionnelles que nous devons conserver pour obligation comptable. Les sauvegardes contenant vos données sont purgées sous 90 jours maximum. Les données partagées avec les sous-traitants (Meta, fournisseurs IA, Sentry) sont supprimées selon leurs propres politiques, dans les délais contractuels.

13. Résidents de Californie (CCPA / CPRA)

Si vous résidez en Californie, le California Consumer Privacy Act (CCPA) tel que modifié par le California Privacy Rights Act (CPRA) vous accorde des droits spécifiques :

Droit de savoir quelles catégories de données personnelles nous collectons, leur source, leur finalité et les tiers avec qui nous les partageons.
Droit d'accès à une copie de vos données personnelles.
Droit de suppression de vos données personnelles.
Droit de rectification des données inexactes.
Droit de limiter l'usage des informations personnelles sensibles.
Droit de ne pas faire l'objet de discrimination pour l'exercice de ces droits.
Nous ne vendons ni ne « partageons » (au sens publicitaire CPRA) vos données personnelles.

Pour exercer ces droits, écrivez à dpo@siya.app avec l'objet « California Privacy Request ». Nous vérifions l'identité du demandeur avant traitement.

14. Conformité plateformes (Apple App Store / Google Play / Meta)

SIYA respecte les exigences de confidentialité des principales plateformes de distribution :

Apple App Store : les Privacy Nutrition Labels publiés sur la fiche de l'app reflètent fidèlement les catégories décrites en section 2. Aucune donnée n'est utilisée à des fins de suivi (Tracking).
Google Play : la Data Safety section publiée sur la fiche est cohérente avec la présente politique. Les données partagées avec des tiers sont chiffrées en transit ; l'utilisateur peut demander leur suppression.
Meta WhatsApp Business Platform : nous respectons les WhatsApp Business Solution Terms et la WhatsApp Business Data Policy. Les contenus WhatsApp ne sont jamais utilisés à des fins de prospection croisée ni vendus.

15. Contact

TradeIQ Africa SARL — Dakar, Sénégal
Support général : support@siya.app
Délégué à la Protection des Données : dpo@siya.app
WhatsApp : +221 78 535 97 97
Autorité de contrôle : Commission de Protection des Données Personnelles (CDP), Sénégal