# Politique de protection des données personnelles — Teranga PMS **Version 1.0 — Placeholder à remplacer par le texte juridique définitif validé par un DPO/juriste.** ## 1. Responsable du traitement Teranga PMS est responsable du traitement de vos données dans le cadre de votre utilisation de la plateforme. Pour toute question relative à vos données, contactez votre administrateur de tenant ou notre support. ## 2. Données collectées Nous collectons : - **Données d'identification** : nom, prénom, email, téléphone. - **Données professionnelles** : rôle, établissement, employeur, fiche RH si applicable (date de naissance, pièce d'identité, contrat, salaire, n° sécurité sociale). - **Données de connexion** : logs d'accès, adresses IP, navigateur, dernière connexion. - **Données métier** que vous saisissez : clients, réservations, paiements, dépenses, pointages, congés, planning, paie. ## 3. Finalités du traitement Vos données sont utilisées pour : - Authentification et sécurité de la plateforme. - Fonctionnement opérationnel (réservations, facturation, RH, comptabilité). - Support client et résolution d'incidents. - Statistiques internes anonymisées (utilisation produit, performance). - Respect d'obligations légales (comptables, fiscales, sociales — facturation, bulletins de paie, écritures SYSCOHADA, conservation décennale). ## 4. Durée de conservation | Catégorie | Durée | |-----------|-------| | Données de compte (authentification) | Tant que le compte est actif + 12 mois après désactivation | | Données métier (factures, paiements, écritures) | 10 ans (obligation comptable) | | Données RH (fiches employé, paie) | 5 ans après fin de contrat | | Logs de connexion | 12 mois | | Données de démonstration | Supprimées à la demande de l'administrateur | ## 5. Destinataires Vos données **ne sont jamais vendues**. Elles peuvent être communiquées à : - **Sous-traitants techniques** (hébergeur, sauvegarde, envoi d'email) liés par un contrat de confidentialité et de conformité RGPD. - **Autorités légales** sur réquisition judiciaire dûment motivée. Aucun cookie publicitaire ou de tracking tiers (Google Analytics, Meta Pixel, etc.) n'est utilisé sur la plateforme. ## 6. Vos droits Conformément au RGPD, vous disposez d'un : - **Droit d'accès** à vos données. - **Droit de rectification** des données inexactes ou incomplètes. - **Droit d'effacement** (« droit à l'oubli »), sous réserve des obligations légales de conservation. - **Droit de portabilité** : récupérer vos données dans un format structuré (export CSV/JSON disponible depuis le menu **Export données** pour les rôles OWNER/DAF). - **Droit d'opposition** au traitement. - **Droit de limitation** du traitement. Pour exercer ces droits, contactez votre administrateur de tenant. Pour les demandes complexes ou en cas de désaccord, contactez notre DPO via le support. ## 7. Sécurité - **Transit** : chiffrement TLS pour toutes les communications. - **Stockage** : base de données isolée par tenant, sauvegardes régulières chiffrées. - **Authentification** : JWT court (15 min) + refresh token, bcrypt 12 rounds, blocage de compte après tentatives échouées. - **Accès** : contrôle d'accès par rôle (RBAC à 2 niveaux), audit log des actions sensibles. - **Secrets** : clés tierces (FedaPay, SMTP) chiffrées en base au repos (AES-256-GCM). ## 8. Cookies Lors de votre première connexion au dashboard, un bandeau vous propose trois choix : - **Tout accepter** : cookies essentiels + analytique interne (durée, parcours). - **Essentiels uniquement** : cookies de session et préférences (langue, point de vente sélectionné). **Choix par défaut recommandé.** - **Refuser** : seuls les cookies strictement nécessaires au fonctionnement sont déposés (session JWT). Vous pouvez modifier votre choix à tout moment depuis les paramètres de votre compte. ## 9. Modification de la politique L'éditeur se réserve le droit de modifier la présente politique. Vous serez invité à la ré-accepter en cas de modification substantielle. --- > **⚠️ Avertissement** : ce texte est un **placeholder**. Avant exploitation > réelle, il doit être validé par un DPO ou un juriste spécialisé en > protection des données, en cohérence avec les juridictions concernées (RGPD > européen, lois nationales — Sénégal, Côte d'Ivoire, etc.). > > Synchronisez ce document avec : > - `frontend/src/app/user-onboarding/rgpd/page.tsx` (constante `RGPD_TEXT`) > - `docs/CGU.md` pour les CGU > - Le bandeau cookies (`frontend/src/components/layout/CookieBanner.tsx`)