01Introduction et engagement
La protection des données personnelles est au cœur de la mission de RegTrack. Nous traitons les données de nos utilisateurs et de nos clients institutionnels avec le plus haut niveau de soin, conformément aux exigences applicables sur le continent africain et aux standards internationaux (notamment le RGPD européen pour les Clients ayant des activités transfrontalières).
La présente politique précise quelles données sont collectées, dans quel but, pendant combien de temps, et quels droits vous pouvez exercer.
02Responsable du traitement
Le responsable du traitement des données personnelles est RegTrack SAS, dont le siège social est situé à Bonanjo, Douala, Cameroun.
- Email général : contact@regtrack.io
- Délégué à la protection des données : security@regtrack.io
03Données collectées
Nous collectons et traitons les catégories de données suivantes :
- Données d'identification : nom, prénom, email professionnel, fonction, unité métier — saisis lors de l'inscription d'un utilisateur.
- Données de connexion : adresse IP, user-agent, horodatage, statut (succès/échec). Conservées en journal d'audit append-only.
- Données d'activité applicative : actions effectuées sur la plateforme (création de plan, dépôt de preuve, validation, etc.), tracées dans l'audit log.
- Données métier saisies par le Client : règlements importés, évaluations, plans d'action, tâches, preuves. Ces données restent propriété du Client.
Aucune donnée sensible au sens de la réglementation (origine ethnique, opinions politiques, religion, santé, orientation sexuelle, condamnations) n'est collectée par la Plateforme.
04Finalités et bases légales
Les données sont collectées et traitées pour les finalités suivantes :
- Exécution du contrat : fourniture du service RegTrack au Client, gestion des comptes utilisateurs, support technique.
- Obligations légales : conservation des logs d'audit conformément au cadre OHADA et aux exigences COBAC (durée minimale de 10 ans pour les pièces probantes).
- Intérêt légitime : amélioration de la sécurité (détection d'intrusion, lutte contre la fraude), amélioration continue du produit (analyse d'usage anonymisée).
- Consentement : envoi de communications produit non essentielles (newsletter, annonces de nouvelles fonctionnalités) — désinscription possible à tout moment.
05Destinataires des données
Les données sont accessibles aux destinataires suivants, dans la stricte limite du nécessaire :
- Personnel autorisé de RegTrack SAS : équipe technique, support, conformité, dans le cadre de leurs missions.
- Sous-traitants techniques : hébergeur (Railway Corp.) lié par des clauses de confidentialité équivalentes, dans la limite des opérations strictement nécessaires à la fourniture du service.
- Régulateurs : uniquement les données agrégées explicitement remontées via la fonctionnalité de reporting (taux par thématique, statuts, justifications de risques acceptés). Les données opérationnelles internes (plans, tâches, preuves) ne sont jamais transmises.
- Autorités judiciaires : sur réquisition légale formelle uniquement.
Aucune donnée n'est revendue, louée ou transmise à des fins commerciales ou publicitaires.
06Localisation et transferts
Les données sont hébergées et traitées exclusivement en région Afrique(Cape Town, Afrique du Sud), conformément à notre engagement de souveraineté. Aucun transfert vers les États-Unis, l'Union Européenne ou d'autres juridictions hors continent africain n'est effectué dans le cadre de l'exploitation de la Plateforme.
Les sauvegardes chiffrées sont conservées dans la même région.
07Durée de conservation
- Données de compte : conservées pendant toute la durée du contrat, puis 90 jours après résiliation pour permettre l'export par le Client. Au-delà : suppression définitive.
- Logs d'audit : conservés 10 ans (durée légale OHADA pour les pièces probantes).
- Données de facturation : conservées 10 ans (obligations comptables).
- Données métier du Client : conservées tant que le compte est actif ; pleine propriété du Client.
08Mesures de sécurité
RegTrack SAS met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des échanges en TLS 1.3 minimum ;
- Chiffrement au repos AES-256 sur les bases de données et le stockage de preuves ;
- Politique de mot de passe forte (longueur minimale, hash bcrypt) ;
- Cloisonnement multi-tenant strict appliqué à chaque requête de base de données ;
- Journalisation d'audit append-only de toutes les actions ;
- Sauvegardes chiffrées quotidiennes ;
- Revues de sécurité périodiques ;
- Formation continue des équipes aux bonnes pratiques de sécurité.
09Vos droits
Conformément aux textes applicables, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir confirmation que des données vous concernant sont traitées et en obtenir copie ;
- Droit de rectification : faire corriger des données inexactes ou incomplètes ;
- Droit à l'effacement : demander la suppression de vos données, sous réserve des obligations légales de conservation ;
- Droit à la limitation : demander la suspension du traitement dans certains cas ;
- Droit à la portabilité : récupérer vos données dans un format structuré et lisible par machine ;
- Droit d'opposition : vous opposer au traitement pour des motifs légitimes, et sans condition pour les communications commerciales ;
- Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement.
Pour exercer ces droits, contactez security@regtrack.io. Une réponse vous sera apportée dans un délai maximal de 30 jours.
10Recours à l'intelligence artificielle
Pour accélérer l'extraction structurée des règlements (Titres → Chapitres → Articles) publiés par les régulateurs, la Plateforme s'appuie sur un modèle d'IA fourni par Anthropic, Inc. (États-Unis). Le service est utilisé exclusivement dans le périmètre du back-office RegTrack et ne traite aucune donnée personnelle des utilisateurs finaux.
- Données envoyées : le texte des règlements publics téléversés depuis le back-office éditeur (PDF officiels des régulateurs).
- Données NON envoyées : aucune donnée des Clients (IF), aucun email utilisateur, aucune preuve, aucune décision de risque, aucun document interne.
- Conservation par Anthropic : les requêtes ne sont pas utilisées pour l'entraînement de modèles et sont soumises aux engagements contractuels du zero data retention agreement applicable au Workspace RegTrack.
- Décisions automatisées : aucune décision réglementaire ou de conformité n'est prise par l'IA. L'extraction est systématiquement revue et validée par un EDITEUR_ADMIN avant publication aux IF.
- Compteur d'usage : un quota quotidien d'extractions par éditeur est appliqué pour limiter l'exposition.
Vous pouvez nous demander à tout moment de désactiver le recours à l'IA pour le traitement des règlements de votre périmètre — un mode saisie manuelle est disponible dans le back-office.
12Modifications de la politique
Cette politique peut être modifiée à tout moment, notamment pour refléter des évolutions réglementaires ou techniques. Les utilisateurs sont notifiés des modifications substantielles avec un préavis de 30 jours, par email et via un bandeau d'information dans l'application.
13Contact et réclamations
Pour toute question relative au traitement de vos données : security@regtrack.io.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité de protection des données compétente dans votre pays de résidence.