Politique de Confidentialite

Derniere mise a jour : 21 avril 2026

1. Responsable du traitement

KiboERP SA (ci-apres « KiboERP », « nous ») est responsable du traitement de vos donnees personnelles au sens du Reglement (UE) 2016/679 (RGPD) et des lois locales applicables (notamment la loi ivoirienne n° 2013-450 relative a la protection des donnees a caractere personnel).

Contact DPO / responsable protection des donnees : privacy@kiboerp.com

2. Donnees collectees

Nous collectons les categories de donnees suivantes :

Donnees d'identification : nom, adresse email, telephone, pays, nom de l'entreprise.
Donnees de connexion : adresse IP (stockee dans les sessions actives uniquement, non conservee dans les logs applicatifs), navigateur, date et heure de connexion, sous-domaine.
Donnees metier : les donnees saisies dans la plateforme (produits, clients, factures, ecritures comptables, etc.). Ces donnees appartiennent a l'entreprise cliente (tenant) et sont traitees par KiboERP en tant que sous-traitant au sens de l'Art. 28 RGPD.
Donnees de paiement : references de transactions Mobile Money, identifiants de commande Paddle. KiboERP ne stocke jamais les numeros de carte bancaire ni les coordonnees bancaires completes.
Donnees techniques : journaux d'activite (actions utilisateur dans la plateforme, horodatage), jetons de session JWT.

3. Bases legales du traitement

Finalite	Base legale (RGPD)	Duree de conservation
Fourniture du service SaaS	Art. 6(1)(b) — execution du contrat	Duree du contrat + 90 jours
Facturation et comptabilite	Art. 6(1)(c) — obligation legale	10 ans (OHADA)
Securite et prevention des fraudes	Art. 6(1)(f) — interet legitime	12 mois maximum
Analytics produit (amelioration service)	Art. 6(1)(a) — consentement	26 mois (GA4)
Communications marketing	Art. 6(1)(a) — consentement	Jusqu'a desinscription

4. Sous-traitants et transferts

KiboERP ne vend, ne loue et ne partage pas vos donnees personnelles a des tiers a des fins commerciales. Les sous-traitants suivants traitent des donnees personnelles en notre nom :

Sous-traitant	Finalite	Localisation	Garanties
Vercel	Hebergement application (CDN, compute)	UE (Frankfurt) + US	SCCs, SOC 2 Type II
Neon / Supabase	Base de donnees PostgreSQL	UE (Frankfurt)	SCCs, chiffrement at-rest
Resend	Emails transactionnels	US (AWS)	SCCs, DPA disponible
Upstash Redis	Cache sessions et rate-limiting	UE / US	SCCs, chiffrement TLS
Cloudflare R2	Stockage fichiers (GED, medias)	UE (choix region)	SCCs, SOC 2
Sentry	Monitoring erreurs applicatives	US	SCCs, donnees anonymisees
Paddle	Paiements EU/international (Merchant of Record)	UK / UE	DPA, PCI-DSS
PayDunya / Flutterwave	Paiements Mobile Money (Afrique)	Afrique de l'Ouest	Certifies BCEAO/locaux
Google Analytics 4	Analytics produit (consentement requis)	US	SCCs, IP anonymisee

Pour les transferts hors UE, des Clauses Contractuelles Types (SCCs) de la Commission europeenne sont en place. Le DPA complet est disponible en telechargement : Accord de Traitement des Donnees (DPA)

5. Isolation des donnees (multi-tenant)

Chaque entreprise (tenant) dispose d'un espace completement isole. Les donnees d'un tenant ne sont jamais accessibles par un autre tenant. Cette isolation est garantie au niveau applicatif (filtrage systematique par tenantId) et au niveau base de donnees.

6. Securite

Chiffrement des donnees en transit (HTTPS/TLS 1.3).
Chiffrement des mots de passe (bcrypt, facteur de cout 12).
Chiffrement des secrets 2FA (AES-256-GCM).
Authentification par token JWT httpOnly avec expiration automatique.
Authentification a deux facteurs (TOTP) disponible pour tous les comptes.
Controle d'acces par roles (RBAC) avec 9 niveaux de permissions.
Protection brute-force : 5 tentatives max, verrouillage 15 minutes.
Journaux de securite (audit logs) conserves 12 mois maximum.

7. Conservation des donnees

Compte actif : donnees conservees pendant toute la duree du contrat.
Apres resiliation : donnees conservees 90 jours pour permettre une eventuelle reactivation, puis supprimees definitivement.
Donnees comptables : conservees 10 ans minimum (obligation OHADA).
Logs de securite : 12 mois maximum.
Adresses IP : conservees uniquement dans les sessions actives, non loguees en clair dans les journaux applicatifs.

8. Vos droits (RGPD)

Si vous etes un utilisateur situe dans l'Union Europeenne ou en Suisse, vous disposez des droits suivants :

Droit d'acces (Art. 15) : obtenir une copie de vos donnees personnelles. Disponible via GET /api/gdpr/export depuis votre compte.
Droit de rectification (Art. 16) : corriger vos donnees inexactes via les parametres de profil.
Droit a l'effacement (Art. 17) : demander la suppression de votre compte et donnees associees. Disponible via POST /api/gdpr/delete ou depuis les parametres du compte.
Droit a la portabilite (Art. 20) : recevoir vos donnees en format JSON ou CSV structure.
Droit d'opposition (Art. 21) : vous opposer au traitement base sur l'interet legitime.
Droit de limitation (Art. 18) : demander la restriction du traitement dans certains cas.
Retrait du consentement : modifier vos preferences cookies a tout moment (bandeau en bas de page).

Pour exercer ces droits : privacy@kiboerp.com — Reponse sous 30 jours (Art. 12 RGPD). Vous pouvez egalement saisir la CNIL (France) ou votre autorite de protection des donnees nationale.

9. Cookies et consentement

KiboERP utilise trois categories de cookies :

Essentiels (toujours actifs) : session d'authentification, jeton CSRF, preferences theme/langue. Necessaires au fonctionnement du service.
Analytiques (consentement requis) : Google Analytics 4 (IP anonymisee), Vercel Analytics. Permettent d'ameliorer la plateforme.
Marketing (consentement requis) : actuellement non utilises.

Votre consentement est collecte via le bandeau cookies lors de votre premiere visite. Vous pouvez le modifier a tout moment.

10. Notification de violation

En cas de violation de donnees personnelles susceptible de presenter un risque pour vos droits et libertes, KiboERP notifiera l'autorite de controle competente dans les 72 heures (Art. 33 RGPD) et les personnes concernees sans delai injustifie (Art. 34 RGPD). La procedure interne de gestion des incidents est disponible dans la documentation de securite.

11. Modifications de cette politique

KiboERP peut mettre a jour cette politique. Toute modification substantielle sera notifiee par email aux utilisateurs enregistres au moins 30 jours avant son entree en vigueur. La date de derniere mise a jour est indiquee en haut de cette page.

12. Contact

Responsable protection des donnees : privacy@kiboerp.com
Adresse : KiboERP SA, c/o [Adresse siege social], Suisse.

Mentions legales Conditions Generales d'Utilisation Accord de Traitement des Donnees (DPA)Privacy Policy (English)