Epargix
Document légal

Politique de Confidentialité

🇫🇷 FR🇬🇧 EN
Version v1.1 — En vigueur depuis le 13 mai 2026

PRÉAMBULE

Epargix (« nous », « le Concepteur », « la Plateforme ») s'engage à protéger la vie privée et les données personnelles de ses utilisateurs (« vous », « le Membre »). La présente politique décrit comment nous collectons, utilisons, partageons et protégeons vos données dans le cadre de la fourniture des services de gestion numérique de tontines et d'épargne communautaire accessibles sur https://www.epargix.com et son application associée.

Elle est rédigée en conformité avec :

  • la loi camerounaise n° 2010/012 du 21 décembre 2010 relative à la cybersécurité et à la protection des données personnelles ;
  • le Règlement CEMAC n° 04/18/CEMAC-UMAC-COBAC relatif aux services de paiement ;
  • les Actes Uniformes OHADA applicables ;
  • les Clauses Contractuelles Types reconnues internationalement pour les transferts hors zone CEMAC.

1. IDENTITÉ DU RESPONSABLE DE TRAITEMENT

1.1 Dénomination sociale : Epargix SAS

1.2 Forme juridique : Société par Actions Simplifiée (SAS)

1.3 Siège social : Douala, Cameroun (adresse exacte à publier)

1.4 Numéro RCCM : à publier

1.5 Numéro NIU : à publier

1.6 Délégué à la protection des données (DPO) : privacy@epargix.com

2. CHAMP D'APPLICATION

La présente politique s'applique à toutes les données traitées dans le cadre de l'utilisation des services Epargix : inscription, gestion d'un compte, cotisations, prêts, welfare (solidarité), gouvernance des groupes, et communications associées.

3. DONNÉES COLLECTÉES

Nous collectons les catégories de données suivantes :

3.1 Données d'identification Nom, prénom, date et lieu de naissance, photographie, numéro de Carte Nationale d'Identité (CNI), Numéro d'Identifiant Unique (NIU).

3.2 Coordonnées Adresse email, numéro(s) de téléphone, adresse postale.

3.3 Données financières et transactionnelles Numéros Mobile Money, références bancaires (IBAN), historique des cotisations, prêts, garanties, mouvements de portefeuille (DDW), Trust Score.

3.4 Données comportementales Ponctualité de paiement, sinistralité, score de confiance calculé (Trust Score 0–1000), participation à la gouvernance.

3.5 Données techniques Adresse IP, type d'appareil, navigateur, système d'exploitation, journaux de connexion, géolocalisation approximative (pays/ville).

3.6 Documents KYC Justificatifs téléversés (CNI scannée, justificatif de domicile, attestation de revenus le cas échéant).

3.7 Communications Messages échangés avec le support, contenu des notifications, réponses aux votes de gouvernance.

4. FINALITÉS ET BASES LÉGALES

Chaque traitement repose sur une base légale précise :

  • Gestion du compte et exécution du service Base : exécution du contrat (CGU acceptées).
  • Calcul du Trust Score et éligibilité aux services internes Base : exécution du contrat ; intérêt légitime de la communauté.
  • Conformité KYC / Lutte anti-blanchiment et financement du terrorisme Base : obligation légale (Règlement CEMAC, loi camerounaise 2003/004 sur la lutte contre le blanchiment).
  • Sécurité, détection de fraude, audit des opérations Base : intérêt légitime.
  • Notifications de service (rappels, alertes, confirmations) Base : exécution du contrat.
  • Communications marketing et nouveautés produit Base : consentement explicite et révocable.

5. SOUS-TRAITANTS ET DESTINATAIRES

Pour fournir le service, nous recourons aux sous-traitants suivants, liés par contrat (Data Processing Agreement) et soumis à des obligations équivalentes de confidentialité et de sécurité :

  • Supabase Inc. (États-Unis) Hébergement de la base de données et du service d'authentification.
  • Vercel Inc. (États-Unis) Hébergement de l'application web et CDN.
  • Resend / Postmark (États-Unis) Envoi d'emails transactionnels.
  • Twilio / opérateurs SMS locaux Envoi de SMS et notifications push.
  • Opérateurs Mobile Money (MTN MoMo, Orange Money, Wave, Express Union) Exécution des paiements entrants et sortants.
  • Banques partenaires Virements et conversions de devises lorsque applicable.

Aucune donnée personnelle n'est vendue ni partagée à des fins commerciales avec des tiers non listés ci-dessus.

Au sein de la Plateforme, votre Trust Score et votre historique de ponctualité peuvent être consultés par les autres groupes (Tenants) dont vous êtes membre, conformément au principe de portabilité du score entre groupes accepté lors de votre inscription.

6. TRANSFERTS HORS ZONE CEMAC

Certaines données sont transférées vers les États-Unis ou l'Union Européenne (Supabase, Vercel, prestataires email/SMS). Ces transferts sont encadrés par :

  • les Clauses Contractuelles Types adoptées par la Commission européenne ;
  • les certifications de sécurité de nos sous-traitants (SOC 2 Type II, ISO 27001 selon les cas) ;
  • les engagements explicites de protection figurant dans chaque Data Processing Agreement.

Une copie des garanties applicables peut être obtenue sur demande auprès du DPO à privacy@epargix.com.

7. DURÉES DE CONSERVATION

  • Données du compte actif Pendant toute la durée de la relation contractuelle.
  • Données financières et historique des transactions 10 ans à compter de la dernière transaction (obligation OHADA / COBAC).
  • Documents KYC (CNI, justificatifs) 5 ans à compter de la clôture du compte (obligation AML CEMAC).
  • Journaux de connexion et logs techniques 12 mois glissants.
  • Données utilisées à des fins marketing Jusqu'au retrait du consentement, et au plus tard 3 ans après le dernier contact actif.

À l'expiration de ces durées, les données sont soit anonymisées de manière irréversible, soit définitivement supprimées.

8. VOS DROITS

Conformément à la loi 2010/012 et aux standards internationaux, vous disposez des droits suivants :

  • Droit d'accès — obtenir confirmation du traitement et copie de vos données.
  • Droit de rectification — faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement — demander la suppression, sous réserve des obligations légales d'archivage (KYC/AML, OHADA).
  • Droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine (JSON ou CSV).
  • Droit d'opposition — refuser un traitement fondé sur l'intérêt légitime.
  • Droit à la limitation — faire suspendre un traitement contesté pendant sa vérification.
  • Droit de retirer votre consentement à tout moment, sans effet rétroactif.
  • Droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (voir section 13).

Pour exercer ces droits, écrivez à privacy@epargix.com. Nous nous engageons à répondre sous 30 jours calendaires. Une pièce d'identité pourra vous être demandée pour vérifier votre identité.

9. MESURES DE SÉCURITÉ

Nous appliquons les mesures techniques et organisationnelles suivantes :

  • Chiffrement TLS 1.2+ pour toutes les communications client–serveur.
  • Chiffrement au repos de la base de données (AES-256).
  • Authentification à deux facteurs (2FA) obligatoire pour les comptes administrateurs.
  • Cloisonnement strict des données entre groupes via Row Level Security (RLS) PostgreSQL.
  • Journal d'audit immuable de toutes les opérations financières.
  • Sauvegardes quotidiennes chiffrées avec rétention 30 jours.
  • Tests de sécurité annuels, veille des vulnérabilités, plan de réponse aux incidents.
  • Sensibilisation périodique du personnel à la confidentialité des données.

10. COOKIES ET TRACEURS

Epargix utilise uniquement des cookies strictement nécessaires au fonctionnement de la Plateforme :

  • Cookie d'authentification Supabase (durée : session).
  • Cookie de préférence de langue (durée : 1 an).
  • Cookie CSRF (durée : session) pour protection contre les attaques.

Aucun cookie publicitaire, de profilage, ni traceur tiers n'est déposé. Aucun consentement préalable n'est donc requis pour ces cookies fonctionnels, conformément à la doctrine de la CNIL et aux directives ePrivacy applicables.

11. MINEURS

La Plateforme est strictement réservée aux personnes majeures (18 ans révolus). Aucune donnée concernant un mineur n'est sciemment collectée. Si vous suspectez la présence d'un mineur sur la Plateforme, veuillez le signaler à privacy@epargix.com pour suppression immédiate.

12. MODIFICATION DE LA POLITIQUE

Toute modification substantielle de la présente politique vous sera notifiée par email et par notification in-app au moins 30 jours avant sa prise d'effet. La poursuite de l'utilisation de la Plateforme après ce délai vaut acceptation de la nouvelle version. En cas de désaccord, vous pouvez clôturer votre compte sans frais, sous réserve du règlement de vos engagements en cours.

13. CONTACT ET RÉCLAMATION

Délégué à la protection des données : privacy@epargix.com

Adresse postale : Douala, Cameroun (adresse exacte à publier)

Autorité de contrôle camerounaise : Agence Nationale des Technologies de l'Information et de la Communication (ANTIC) Site : https://www.antic.cm

Pour les utilisateurs résidant dans l'Union Européenne, l'autorité nationale compétente de votre pays de résidence peut également être saisie.