Politique de confidentialité

Le responsable du traitement des données personnelles collectées via la plateforme Étɛ est l'exploitant opérationnel de Étɛ, personne physique ou morale établie en République du Bénin, conformément aux dispositions de la loi n°2017-20 du 20 avril 2018 portant code du numérique en République du Bénin.

Conformément à l'Acte additionnel A/SA.1/01/10 de la CEDEAO relatif à la protection des données à caractère personnel, le responsable du traitement met en œuvre les garanties techniques et organisationnelles nécessaires pour assurer la protection de tes données.

Pour l'exercice de tes droits ou pour toute demande relative au traitement de tes données personnelles, utilise le mécanisme de signalement intégré à l'application, accessible depuis chaque page de la plateforme.

Conformément au principe de minimisation des données énoncé à l'article 8 de l'Acte additionnel CEDEAO A/SA.1/01/10, la plateforme Étɛ n'opère que le traitement des catégories de données suivantes :

A. Données d'identité et d'authentification :

— Pseudonyme utilisateur : identifiant alphanumérique généré aléatoirement par le système, dépourvu de tout marqueur permettant l'identification de l'utilisateur. Le pseudonyme demeure invariant au cours de la session de l'utilisateur et ne peut être modifié que par l'utilisateur lui-même après accumulation d'un seuil minimum de cauris (trois unités).

— Identifiant de session chiffrée : jeton cryptographique généré lors de la connexion, stocké localement sur l'appareil de l'utilisateur via le mécanisme de localStorage du navigateur web, permettant la reconnaissance et l'authentification de l'utilisateur lors de visites subséquentes.

— Code de récupération de compte : suite alphanumérique générée de manière aléatoire et chiffrée au moment de la création du compte, transmise exclusivement à l'utilisateur et jamais stockée en clair sur nos serveurs. Ce code représente le seul moyen de restauration d'accès au compte depuis un nouvel appareil.

B. Données de traçabilité technique :

— Adresse Internet Protocol (IP) : adresse IP source du client, collectée lors de chaque requête réseau à des fins de limitation des comportements abusifs (rate limiting, prévention des attaques par déni de service, détection de spam). Cette donnée n'est jamais associée au profil public de l'utilisateur ni exposée aux autres utilisateurs de la plateforme.

— Horodatage temporel : date et heure de chaque opération effectuée par l'utilisateur (création de contenu, publication de commentaire, réaction), exprimées en heure universelle coordonnée (UTC).

C. Contenu généré par l'utilisateur :

— Contributions textuelles : ensemble des messages, commentaires, réactions et autres contenus textuels créés volontairement par l'utilisateur et soumis à la plateforme pour publication ou partage.

D. Catégories de données non collectées :

La plateforme n'opère pas la collecte des catégories de données suivantes : nom civil, prénom, adresse électronique, numéro de téléphone, données de géolocalisation précises, données biométriques, données relatives à la santé, données concernant les convictions politiques ou les appartenances religieuses.

Les données personnelles collectées par Étɛ ne sont traitées qu'à titre de finalités explicitement énumérées ci-après. Tout traitement ultérieur à des fins différentes est interdit, sauf modification légale des présentes conditions et notification préalable à l'utilisateur.

Finalités légitimes et légales du traitement :

— Provision du service de plateforme de communication : le traitement des données d'authentification et de session est nécessaire à la fourniture du service de communication électronique que l'utilisateur demande explicitement par son utilisation de Étɛ.

— Authentification et reconnaissance de l'utilisateur : le traitement du pseudonyme, du jeton de session et du code de récupération est nécessaire pour permettre à l'utilisateur de retrouver son compte lors de connexions subséquentes ou depuis un appareil différent.

— Sécurité de la plateforme et prévention des abus : le traitement de l'adresse IP est fondé sur l'intérêt légitime du responsable du traitement à préserver l'intégrité et la disponibilité de la plateforme, en limitant les comportements frauduleux ou abusifs (spam, attaques par déni de service, tentatives de contournement des limitations de débit).

— Archivage et historique des contenus : le traitement de l'horodatage est nécessaire pour maintenir une trace chronologique des publications, conforme aux obligations légales béninoises et aux directives de la CEDEAO en matière de traçabilité des communications en ligne.

— Respect des obligations légales et judiciaires : le traitement des données techniques (adresse IP, horodatages, identifiants de session) peut être poursuivi à titre de conformité aux obligations légales imposées par la loi n°2017-20 du code du numérique béninois, notamment en cas de réquisition des autorités judiciaires béninoises compétentes.

Le traitement est fondé sur :

— L'intérêt légitime de l'opérateur à assurer la sécurité et la qualité du service

— L'exécution du service demandé par l'utilisateur (fourniture de la plateforme)

— Les obligations légales imposées par la loi n°2017-20 du code du numérique béninois

Ce traitement est conforme à l'Acte additionnel A/SA.1/01/10 de la CEDEAO relatif à la protection des données personnelles dans l'espace communautaire.

Conformément au principe de limitation de la durée de conservation énoncé à l'article 8 de l'Acte additionnel CEDEAO A/SA.1/01/10, les données personnelles ne sont conservées que pour la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. Les durées de conservation suivantes s'appliquent :

Données d'authentification et de session :

— Jeton de session : conservé pour la durée de la session active de l'utilisateur, puis supprimé automatiquement lors de la déconnexion ou après une période d'inactivité de 30 jours.

— Code de récupération : conservé en format chiffré pendant toute la durée de vie active du compte. En cas de suppression du compte, la donnée est détruite de manière irréversible dans un délai de 48 heures.

Données de traçabilité technique :

— Adresses IP : conservées pendant une période maximale de douze (12) mois, conformément aux obligations légales de conservation des journaux d'accès prévues par la loi n°2017-20 du code du numérique béninois et par la Directive n°01/2006/CM/UEMOA relative à la cybersécurité dans l'espace UEMOA. Au-delà de cette période, les données sont supprimées de manière irréversible.

Contenu généré par l'utilisateur :

— Messages, commentaires et réactions : conservés aussi longtemps que l'utilisateur n'opère pas leur suppression volontaire. L'utilisateur dispose du droit de supprimer individuellement chaque contribution. En cas de suppression initiée par l'utilisateur, le contenu est supprimé de manière irréversible dans un délai de 48 heures.

— Contenus supprimés par modération : en cas de suppression d'un contenu pour violation des présentes conditions d'utilisation ou de la loi en vigueur, le contenu est supprimé de manière irréversible. Les données de traçabilité technique associée (adresse IP, horodatage, identifiant de session) sont conservées pour les nécessités de la modération et de la prévention des abus, pendant la durée visée ci-dessus.

Comptes inactifs :

— Un compte demeurant inactif (aucune connexion, aucune publication, aucune interaction) pendant une période continue de vingt-quatre (24) mois peut être désactivé ou supprimé, après notification préalable. L'utilisateur sera informé par les moyens de communication disponibles (notification dans l'application) de l'intention de suppression, au minimum 30 jours avant l'exécution de la suppression.

Principes généraux : Les données personnelles collectées par Étɛ ne sont jamais vendues, cédées, louées ou commercialisées à des tiers à titre onéreux ou gratuit à des fins de valorisation commerciale ou publicitaire. Cette interdiction s'applique sans exception, indépendamment de la demande ou de l'offre commerciale.

Partage avec des prestataires techniques : Étɛ peut recourir à des prestataires techniques tiers (hébergement, maintenance, support informatique, sauvegarde de données) strictement nécessaires à la fourniture du service. Ces prestataires n'accèdent aux données personnelles que dans la mesure strictement nécessaire à l'exécution de leurs obligations contractuelles. Tout prestataire est lié au responsable du traitement par un contrat écrit comportant des clauses de confidentialité, de sécurité des données et d'interdiction de traitement ultérieur à des fins personnelles ou commerciales.

Divulgation aux autorités judiciaires : Conformément à l'article 565 du code du numérique béninois (loi n°2017-20), les données techniques (adresse IP, horodatages, identifiants de session) peuvent être divulgées aux autorités judiciaires béninoises compétentes uniquement et exclusivement sur le fondement d'une réquisition légale, d'une ordonnance judiciaire, d'un mandat de perquisition, ou d'une demande formelle dans le cadre d'une enquête criminelle ou pénale menée par le Ministère Public ou les organes d'investigation compétents.

Obligation de notification : Sauf impedimenta légale (par exemple, une disposition légale ou une ordonnance judiciaire interdisant la notification), l'utilisateur sera informé par tous les moyens disponibles du fait de la divulgation de ses données aux autorités judiciaires, dans un délai raisonnable suivant la divulgation, sauf si cette notification est formellement proscrite par l'autorité judiciaire.

Conformément aux articles 14 à 23 de l'Acte additionnel A/SA.1/01/10 de la CEDEAO relatif à la protection des données à caractère personnel, et aux dispositions de la loi n°2017-20 du code du numérique béninois, toute personne dont les données sont traitées par Étɛ dispose des droits suivants :

Droit d'accès (article 14) : L'utilisateur a le droit d'obtenir du responsable du traitement la confirmation que ses données personnelles font l'objet d'un traitement, ainsi que l'accès à ces données. L'accès doit être fourni dans un format lisible et compréhensible, notamment l'historique complet des traitements effectués.

Droit de rectification (article 16) : L'utilisateur a le droit de rectifier, dans les meilleurs délais, tout donnée personnelle inexacte, incomplète ou équivoque. Cette rectification doit être effectuée gratuitement. Pour les données générées ou verrouillées par le système (pseudonyme initial, code de récupération), la modification est limitée aux seules données modifiables par l'utilisateur via l'interface de la plateforme.

Droit à l'effacement (article 17) : L'utilisateur a le droit de demander l'effacement de tout ou partie de ses données personnelles, sauf si la conservation demeure requise par la loi ou par les finalités légales du traitement. En particulier, les adresses IP peuvent être conservées au-delà de la demande d'effacement si la loi béninoise ou l'ordre judiciaire l'exigent.

Droit d'opposition (article 20) : L'utilisateur a le droit de s'opposer, à tout moment, au traitement de ses données pour des finalités déterminées. Cette opposition doit être exercée au moyen du système de signalement intégré à l'application ou par écrit auprès du responsable du traitement.

Droit à la portabilité des données : Sur demande, l'utilisateur a le droit de recevoir ses données personnelles dans un format standard et lisible par machine (par exemple, JSON ou CSV), ou de demander la transmission directe à un tiers.

Procédure d'exercice des droits : Pour exercer l'un quelconque de ces droits, l'utilisateur doit utiliser le système de signalement intégré à l'application, accessible depuis toute page de la plateforme. La demande doit inclure une description claire et précise du droit invoqué. Le responsable du traitement s'engage à répondre dans un délai de trente (30) jours calendaires à compter de la réception de la demande, sauf circonstances justifiant un délai prolongé jusqu'à soixante (60) jours.

Droit d'introduire une réclamation : L'utilisateur a le droit d'introduire une réclamation ou une plainte auprès de l'autorité de régulation compétente en République du Bénin, la Commission de Régulation des Technologies de l'Information et de la Communication (CRIET), en cas de violation présumée des présentes dispositions ou de la loi n°2017-20. Cette action ne préjudicie pas les voies de recours judiciaires ordinaires.

Utilisation du stockage local : Étɛ recourt au mécanisme de stockage local du navigateur web (localStorage) conforme à la spécification Web Storage du World Wide Web Consortium (W3C) pour conserver les données de session sur l'appareil terminal de l'utilisateur. Cette approche de stockage côté client minimise la quantité de données d'identification transmises vers nos serveurs.

Cookies non utilisés : La plateforme n'utilise aucun cookie, qu'il soit de traçage publicitaire, analytique ou de profilage utilisateur. En particulier, aucun cookie tiers n'est implanté sur l'appareil de l'utilisateur.

Données stockées localement : Les données suivantes sont stockées sur l'appareil terminal :

— Jeton de session chiffré permettant l'authentification automatique lors de visites subséquentes ;

— Préférences de langue ou d'affichage (le cas échéant).

Suppression des données : L'utilisateur peut supprimer intégralement les données de localStorage en vidant le cache du navigateur ou en supprimant les données de site dans les paramètres de sécurité du navigateur. Cette suppression rendra le compte inaccessible depuis l'appareil concerné, sauf utilisation du code de récupération pour la restauration d'accès.

Importance du code de récupération : Le code de récupération demeure l'unique mécanisme permettant la restauration d'accès au compte après suppression involontaire des données de localStorage. La perte du code de récupération entraîne l'inaccessibilité permanente et irréversible du compte.

Obligations légales en matière de sécurité : Conformément à l'article 10 de l'Acte additionnel CEDEAO A/SA.1/01/10 et aux articles 18 et suivants du code du numérique béninois (loi n°2017-20), le responsable du traitement met en place des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque inhérent au traitement.

Mesures techniques implémentées :

— Chiffrement en transit : Toutes les communications entre l'appareil de l'utilisateur et les serveurs de Étɛ sont chiffrées au moyen du protocole TLS 1.2 ou supérieur. Aucune donnée personnelle n'est transmise en clair sur le réseau.

— Chiffrement au repos : Les données sensibles, notamment les codes de récupération et les identifiants de session, sont stockées selon des algorithmes de chiffrement symétrique ou asymétrique éprouvés (AES-256, RSA-2048 ou équivalent).

— Hachage des authentifiants : Aucun authentifiant n'est stocké en clair. Les données sensibles utilisées à titre d'authentification sont soumises à une fonction de hachage cryptographique (par exemple, PBKDF2, bcrypt, Argon2) avant stockage.

— Limitation de débit et limitation des tentatives d'accès : La plateforme implémente des mécanismes de rate limiting sur la base de l'adresse IP source pour prévenir les attaques par force brute, le spam et les comportements abusifs automatisés.

— Séparation des données : Les données de traçabilité technique (adresses IP, horodatages) sont stockées physiquement et logiquement séparées des contenus générés par les utilisateurs et des données d'authentification, réduisant ainsi le rayon de compromission en cas d'accès non autorisé.

Mesures organisationnelles :

— Contrôle d'accès strict : seul le personnel opérationnel dont la fonction exige l'accès aux données personnelles dispose d'autorisations d'accès.

— Conformité de la sous-traitance : tous les prestataires techniques sont contractuellement tenus de mettre en œuvre des mesures équivalentes de sécurité.

Limitation de responsabilité : Aucun système de sécurité n'est infaillible. Bien que le responsable du traitement mette en œuvre les mesures décrites ci-avant, la possibilité d'une violation de données ne peut être exclue avec certitude absolue.

Notification en cas de violation : Conformément à l'article 22 de l'Acte additionnel CEDEAO et à la loi n°2017-20, en cas de violation de données personnelles susceptible d'affecter les droits ou libertés des utilisateurs, le responsable du traitement notifiera les personnes concernées sans délai et dans les meilleurs délais, de manière à permettre aux utilisateurs de prendre les mesures de protection appropriées. La notification contiendra : (i) la nature de la violation ; (ii) les catégories de données affectées ; (iii) les risques probables ; (iv) les mesures correctives implémentées ou envisagées.