Qualywatch (« nous », « Qualywatch») exploite la plateforme web et l'application mobile Qualywatch (les « Services »). Cette politique explique quelles données nous collectons, pourquoi, et quels sont vos droits. Elle est conforme au Règlement Général sur la Protection des Données (RGPD) et aux lois locales applicables.
1. Responsable du traitement
2. Données que nous collectons
Données fournies par vous
- Identité : nom, prénom, fonction
- Coordonnées : adresse email, numéro de téléphone
- Identifiants : nom d'utilisateur, mot de passe (chiffré bcrypt)
- Données entreprise : raison sociale, secteur d'activité
- Photos : avatar de profil, pièces jointes aux feedbacks
- Contenu : feedbacks clients, messages de chat, notes internes
- Données de paiement : traitées exclusivement par Stripe et Flutterwave (nous ne stockons aucun numéro de carte)
Données collectées automatiquement
- Identifiants techniques : adresse IP, type d'appareil, OS
- Token de notification push (FCM)
- Données d'usage : pages consultées, fonctionnalités utilisées
- Données de diagnostic : rapports de plantage, performances
Permissions iOS / Android demandées
- Caméra : pour scanner les codes QR de collecte de feedback
- Photos : pour ajouter des pièces jointes aux feedbacks et avatars
- Notifications : pour recevoir les alertes en temps réel
- Localisation approximative (optionnelle) : pour les terminaux physiques uniquement
3. Pourquoi nous traitons ces données
| Finalité | Base légale (RGPD) |
|---|---|
| Fournir les Services (compte, feedbacks, notifications) | Exécution du contrat |
| Authentification et sécurité | Intérêt légitime |
| Communications transactionnelles (email/push) | Exécution du contrat |
| Facturation et paiement | Obligation légale |
| Améliorer les Services (analytics anonymisés) | Intérêt légitime |
| Communications marketing | Consentement (révocable) |
| Respect des obligations légales (audit, comptabilité) | Obligation légale |
4. Sous-traitants et tiers
Nous partageons des données avec les sous-traitants suivants, qui agissent uniquement sur nos instructions et dans le respect du RGPD :
| Service | Finalité | Localisation |
|---|---|---|
| Google Firebase / FCM | Notifications push | UE / USA (SCC) |
| Apple APNs | Notifications push iOS | USA (SCC) |
| Pusher | Notifications temps réel | UE |
| Stripe | Paiements internationaux | UE / USA (SCC) |
| Flutterwave | Paiements Mobile Money | Nigeria / Kenya |
| Resend | Emails transactionnels | UE / USA (SCC) |
| Brevo | Emails transactionnels | UE |
| Groq | Analyse IA des feedbacks (anonymisée) | USA (SCC) |
| Hetzner | Hébergement infrastructure | Allemagne (UE) |
| MinIO / Cloudflare R2 | Stockage de fichiers | UE |
| Cloudflare | CDN, sécurité réseau | UE / Mondial |
Nous ne vendons jamais vos données. Nous ne faisons aucun ciblage publicitaire.
5. Transferts internationaux
Certains sous-traitants sont situés hors UE (USA, Nigeria, Kenya). Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne, garantissant un niveau de protection équivalent au RGPD.
6. Conservation des données
| Donnée | Durée |
|---|---|
| Compte actif | Tant que le compte existe |
| Compte inactif | 3 ans après dernière connexion, puis suppression |
| Données de feedback | 5 ans (audit, conformité) |
| Données de facturation | 10 ans (obligation comptable) |
| Sauvegardes | 90 jours |
| Logs de sécurité | 1 an |
7. Sécurité
Nous appliquons des mesures techniques et organisationnelles adaptées :
- Chiffrement TLS 1.2+ en transit, AES-256 au repos
- Mots de passe hashés (bcrypt)
- Authentification multi-facteurs disponible
- Cloisonnement multi-tenant strict (chaque entreprise voit uniquement ses données)
- Audit log de toutes les actions sensibles
- Sauvegardes quotidiennes chiffrées
- Audits de sécurité réguliers
8. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie de vos données
- Rectification : corriger des données inexactes
- Effacement (« droit à l'oubli ») : demander la suppression
- Portabilité : recevoir vos données dans un format structuré
- Opposition : vous opposer à un traitement
- Limitation : restreindre un traitement
- Retrait du consentement : à tout moment
- Réclamationauprès d'une autorité (CDP Sénégal, CNIL France)
Pour exercer ces droits : dpo@qualywatch.com. Nous répondons sous 30 jours.
9. Mineurs
Qualywatch n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données concernant des mineurs. Si vous pensez qu'un mineur nous a transmis des données, contactez-nous immédiatement à dpo@qualywatch.com.
11. Modifications
Nous pouvons mettre à jour cette politique. Toute modification substantielle vous sera notifiée par email ou notification dans l'application. La date « Dernière mise à jour » en haut indique la version en vigueur.
12. Contact
Adresse postale : Qualywatch SAS, Dakar 11000, Sénégal