Politique de Confidentialité

Application Mobile Instanly

🏢1. Identification et Statut Légal de l'Entité

1.1 Identité de l'Entreprise

• Dénomination sociale : Instanly SARL (Société à Responsabilité Limitée)
• RCCM : CI-ABJ-03-2022-B12-00621
• Siège social : Riviera 3, Boulevard Latrille, Abidjan, Côte d'Ivoire
• Capital social : 1.000.000 FCFA
• Téléphone : +225 07 0153 7372
• Email corporatif : contact[@]instanly.com
• Site web : https://instanly.com

1.2 Juridictions d'Exploitation

• Juridiction principale : République de Côte d'Ivoire, l'île Maurice
• Juridictions secondaires : États-Unis d'Amérique (services cloud)
• Marchés cibles : 35+ pays africains
• Conformité réglementaire : BCEAO, UMOA, FDA (USA), RGPD (UE)

1.3 Nature de nos Services

📋2. Données Personnelles Collectées

Pour fournir et améliorer nos services en conformité avec les réglementations KYC/AML et les exigences de sécurité, nous collectons les catégories de données personnelles suivantes :

⚙️3. Finalités du Traitement des Données

3.1 Finalités Principales (Exécution du Contrat)

1. Exécution des transferts d'argent : Traitement sécurisé et instantané des transactions
2. Vérification d'identité (KYC) : Conformité aux réglementations financières
3. Prévention de la fraude : Détection et prévention des activités suspectes
4. Support client : Assistance technique et résolution des problèmes
5. Fourniture de reçus : Documentation des transactions

3.2 Finalités Secondaires (Intérêt Légitime)

1. Amélioration des services : Optimisation de l'expérience utilisateur
2. Sécurisation de la plateforme : Protection contre les cyberattaques
3. Analytics et statistiques : Analyse des tendances d'usage
4. Développement de nouvelles fonctionnalités : Innovation produit
5. Conformité réglementaire : Respect des obligations légales

3.3 Finalités avec Consentement Explicite

1. Marketing personnalisé : Offres adaptées aux préférences (OPT-IN uniquement)
2. Programme de parrainage : Gestion des recommandations et bonus
3. Notifications push : Alertes personnalisées sur les transactions
4. Géolocalisation précise : Services basés sur la localisation
5. Partage sur réseaux sociaux : Publication de succès et réalisations

🔐4. Sécurité et Protection des Données

4.1 Mesures Techniques de Sécurité

Domaine	Mesures Appliquées	Standards/Certifications
Chiffrement en Transit	TLS 1.3, Perfect Forward Secrecy	FIPS 140-2 Level 3
Chiffrement au Repos	AES-256-GCM, clés rotatives	FIPS 140-2 Level 4
Authentification	MFA, biométrie, JWT tokens	OATH TOTP/HOTP
Infrastructure	AWS/Azure sécurisés, WAF	SOC 2 Type II, ISO 27001
Surveillance	SIEM 24/7, détection anomalies	NIST Cybersecurity Framework

4.2 Mesures Organisationnelles

• Principe du moindre privilège : Accès minimal nécessaire
• Séparation des environnements : Production/test/développement isolés
• Formation sécurité : Personnel sensibilisé aux bonnes pratiques
• Audits réguliers : Évaluations trimestrielles par tiers externes
• Gestion des incidents : Procédures de réponse définies
• Sauvegarde sécurisée : Backups chiffrés et géo-répliqués

4.3 Protection des Données Sensibles

🌍5. Stockage et Transferts Internationaux de Données

5.1 Localisation des Données

Type de Données	Localisation Principale	Localisation Secondaire	Finalité
Données KYC/Identité	Côte d'Ivoire (Data Center MTN)	Allemagne (Cloud privé)	Conformité locale + Backup
Données Transactionnelles	Multi-région Afrique	Europe (AWS Frankfurt)	Performance + Redondance
Logs et Analytics	États-Unis (Google)	Europe (Google)	Traitement et analyse
Données Biométriques	Côte d'Ivoire uniquement	N/A	Protection maximale

5.2 Garanties pour Transferts Internationaux

• Clauses contractuelles types (CCT) : Conformes aux décisions d'adéquation UE
• Binding Corporate Rules (BCR) : Règles internes contraignantes
• Certification Privacy Shield : Niveau de protection équivalent
• Évaluation d'impact (EIPD) : Analyse des risques par juridiction
• Mécanismes de recours : Voies de réclamation dans chaque pays

5.3 Partenaires Cloud et Sous-traitants

Partenaire	Service	Localisation	Certifications
Cloudflare / Amazon Web Services	Infrastructure cloud	Multi-régions	SOC 1/2/3, ISO 27001, PCI-DSS
Google Firebase	Analytics, authentification	Europe, États-Unis	ISO 27001, SOC 2
MTN CLOUD CI	Data Center Côte d'Ivoire	Abidjan, CI	ISO 27001, Tier III
WORKCLOUD	Backup AFRIQUE	Abidjan, Ivory Coast	ISO 27001, HDS

👮6. Partage des Données avec des Tiers

6.1 Partenaires Financiers Agréés (Nécessité Contractuelle)

6.2 Prestataires KYC et Conformité

• Jumio : Vérification d'identité automatisée
• Onfido : Validation de documents d'identité
• Smile Identity : Spécialiste KYC Afrique
• Trulioo : Vérification d'identité globale

Données partagées : Documents d'identité, photos, données biographiques

Durée de conservation : Maximum 90 jours pour vérification

6.3 Autorités et Organismes de Régulation

6.4 Plateformes Analytics (Données Pseudonymisées)

• Google Analytics : Analyse d'usage anonymisée
• Firebase Analytics : Métriques d'engagement
• Mixpanel : Événements utilisateur pseudonymisés
• Amplitude : Analyse de parcours utilisateur

Données partagées : Identifiants anonymes, événements d'usage, données techniques

Opt-out possible : Via les paramètres de l'application

⚖️7. Vos Droits et Comment les Exercer

7.1 Droits Fondamentaux (RGPD et Lois Nationales)

7.2 Droits Spécifiques aux Données Biométriques

• Consentement explicite requis : Activation manuelle obligatoire
• Révocation simple : Désactivation en un clic
• Suppression immédiate : Effacement définitif sur demande
• Pas de transfert : Stockage local uniquement

7.3 Droits Spécifiques aux Mineurs (Moins de 18 ans)

7.4 Comment Exercer vos Droits

🧾8. Base Légale du Traitement

8.1 Catégorisation par Base Légale

Base Légale	Données Concernées	Finalités	Durée
Consentement Explicite	Données biométriques, géolocalisation précise	Authentification, services géolocalisés	Jusqu'à révocation
Exécution du Contrat	Identité, coordonnées, transactions	Transferts d'argent, support client	Durée du contrat + 5 ans
Obligation Légale	KYC, historique transactions	Conformité AML/CFT, fiscalité	10 ans minimum
Intérêt Légitime	Analytics, logs sécurité	Amélioration service, sécurité	3 ans maximum

8.2 Évaluation de l'Intérêt Légitime

Nous avons mené des évaluations d'impact (EIPD) pour chaque traitement basé sur l'intérêt légitime :

• Test de nécessité : Le traitement est-il nécessaire pour atteindre l'objectif ?
• Test de proportionnalité : Les moyens sont-ils proportionnés au but ?
• Test d'équilibre : Nos intérêts l'emportent-ils sur vos droits ?

⏰9. Durée de Conservation des Données

9.1 Calendrier de Conservation Détaillé

Catégorie de Données	Conservation Active	Archivage Intermédiaire	Sort Final
Données d'identification (KYC)	Pendant la relation + 5 ans	5 ans supplémentaires	Suppression définitive
Historique des transactions	10 ans (obligation légale)	5 ans (archivage fiscal)	Anonymisation
Données biométriques	Pendant l'utilisation	Non applicable	Suppression à la désactivation
Logs techniques	3 ans	2 ans (sécurité)	Suppression définitive
Données marketing	3 ans après dernière interaction	Non applicable	Suppression définitive
Support client	3 ans après résolution	2 ans (amélioration)	Anonymisation

9.2 Processus de Purge Automatique

• Révision mensuelle : Identification des données à supprimer
• Suppression sécurisée : Overwrite multiple + destruction physique
• Certification : Attestation de destruction par prestataires
• Logs d'audit : Traçabilité complète des suppressions

🔧10. Cookies et Technologies de Suivi

10.1 Types de Cookies Utilisés

10.2 Gestion des Consentements

• Banner de consentement : Choix granulaire par catégorie
• Centre de préférences : Modification à tout moment
• Opt-out simplifié : Refus en un clic
• Respect du DNT : Honneur du signal "Do Not Track"

10.3 Technologies Alternatives

• Local Storage : Stockage local des préférences
• Session Storage : Données temporaires de session
• IndexedDB : Base de données locale pour offline
• WebRTC : Communication temps réel (support client)

🚨11. Gestion des Incidents et Violations de Données

11.1 Procédure de Notification des Violations

11.2 Types d'Incidents Couverts

• Accès non autorisé : Intrusion dans les systèmes
• Fuite de données : Exposition accidentelle d'informations
• Altération : Modification non autorisée de données
• Perte : Destruction accidentelle de données
• Ransomware : Chiffrement malveillant des systèmes
• Ingénierie sociale : Tentatives de manipulation du personnel

11.3 Communication en Cas d'Incident

🌍12. Conformité Multi-Juridictionnelle

12.1 Règlement Général sur la Protection des Données (RGPD)

• Applicabilité : Utilisateurs résidant dans l'UE
• Représentant UE : GDPR-Rep.eu, Allemagne
• Autorité de contrôle : CNIL (France) - autorité chef de file
• Mécanisme de recours : Plainte gratuite auprès de la CNIL

12.2 California Consumer Privacy Act (CCPA)

• Applicabilité : Résidents de Californie
• Droits spécifiques : "Do Not Sell", disclosure des ventes

12.3 Loi sur la Protection des Données Personnelles (Côte d'Ivoire)

• Autorité de contrôle : Autorité de Régulation des Télécommunications (ARTCI)
• Déclaration : Fichier déclaré sous le n° xxxx (Encours)

12.4 Autres Réglementations Applicables

• Nigeria (NDPR) : Conformité pour utilisateurs nigérians
• Kenya (DPA 2019) : Protection des données au Kenya
• Ghana (DPA 2012) : Réglementation ghanéenne
• UEMOA : Directives bancaires régionales

🔄13. Mises à Jour de la Politique

13.1 Versioning et Historique

• Version actuelle : 3.0 (30 juin 2025)
• Version précédente : 2.1 (15 mars 2025)
• Prochaine révision prévue : Décembre 2025
• Archivage : Toutes versions disponibles sur demande

13.2 Processus de Modification

1. Analyse d'impact : Évaluation des changements réglementaires
2. Consultation interne : Revue légale et technique
3. Validation DPO : Conformité et cohérence
4. Notification préalable : 30 jours avant entrée en vigueur
5. Publication : Site web, application, email

13.3 Types de Modifications

🎓14. Glossaire et Définitions