Data Protection — RGPD + Loi camerounaise 2010/012
Statut : draft à valider par un juriste data protection. Politique de protection des données personnelles de Nex.
1. Cadre applicable
| Réglementation | Quand s'applique-t-elle ? |
|---|---|
| Loi 2010/012 (Cameroun, cybersécurité et cybercriminalité) | Toute donnée traitée au Cameroun ou par une entité camerounaise |
| RGPD (UE) | Toute donnée concernant un résident de l'UE, ou traitement par une entité offrant des biens/services dans l'UE |
| Réglementations CEMAC | Donnée traitée dans les autres pays CEMAC — à vérifier pays par pays |
Nex étant principalement opéré en zone CEMAC, le RGPD ne s'applique pas par défaut. Mais : si Nex traite des données d'utilisateurs résidant en UE (diaspora), ou si certains de ses fournisseurs traitent des données dans l'UE, le RGPD devient applicable. Position prudente : viser la conformité RGPD comme bonne pratique générale.
2. Rôles et responsabilités
| Rôle | Définition Nex |
|---|---|
| Responsable de traitement (Data Controller) | Nex S.A. [À CONFIRMER raison sociale] |
| Sous-traitants (Data Processors) | AWS, Cloudflare, Firebase, Apentis, providers Mobile Money — cf. /compliance/third-party-vendors |
| Délégué à la Protection des Données (DPO) | [À CONFIRMER nomination] — obligatoire pour Nex (traitement à grande échelle de PII fintech) |
| Personnes concernées | Utilisateurs Nex (consumers, agents, merchants), salariés Nex |
3. Registre des traitements
Format inspiré du registre RGPD article 30. À compléter et tenir à jour.
3.1 Onboarding et KYC consumer
| Champ | Valeur |
|---|---|
| Finalité | Vérification d'identité, conformité AML/CFT, ouverture wallet |
| Base légale | Obligation légale (AML/CFT) + exécution contrat |
| Catégories de données | Identité (nom, prénom, date de naissance, nationalité), pièce d'identité, selfie, téléphone, justificatifs domicile (si KYC enhanced) |
| Source | Utilisateur lui-même |
| Destinataires internes | customer-profiles-kyc, compliance officer |
| Sous-traitants | Apentis (vérification), Firebase Cloud Storage (stockage fichiers) |
| Transferts hors UE | Selon région Firebase [À CONFIRMER] |
| Durée de conservation | 10 ans après fin de relation (AML/CFT) |
3.2 Onboarding et KYB merchant
| Champ | Valeur |
|---|---|
| Finalité | Vérification entité morale, conformité AML/CFT |
| Base légale | Obligation légale + exécution contrat |
| Catégories de données | Identité représentant légal (KYC standard) + documents commerciaux (registre commerce, statuts) + RIB merchant |
| Source | Merchant + KAM |
| Sous-traitants | Apentis, Firebase Storage |
| Durée de conservation | 10 ans après fin de relation |
3.3 Transactions monétaires
| Champ | Valeur |
|---|---|
| Finalité | Exécution paiement, anti-fraude, reporting réglementaire |
| Base légale | Exécution contrat + obligation légale |
| Catégories de données | Identifiant sender, receiver, montant, devise, timestamp, statut, motif (optionnel), metadata posId (si merchant) |
| Source | Utilisateurs |
| Destinataires internes | ledger-wallets, orchestrator, risk-engine, compliance |
| Sous-traitants | Providers Mobile Money (selon flow), banque partenaire |
| Durée de conservation | 10 ans (réglementation EME) |
3.4 Authentification (sessions, PIN, OTP, biométrie)
| Champ | Valeur |
|---|---|
| Finalité | Authentifier les utilisateurs et sécuriser leurs comptes |
| Base légale | Exécution contrat + intérêt légitime (sécurité) |
| Catégories de données | Hash PIN (bcrypt), hash OTP, sessions, device IDs, événements biométriques (uniquement résultat OK/KO, jamais le template biométrique) |
| Sous-traitants | Firebase Auth |
| Durée de conservation | Sessions actives + 90 jours d'historique ; audit log 5 ans [À VALIDER] |
3.5 Risk engine & audit trail
| Champ | Valeur |
|---|---|
| Finalité | Lutte anti-fraude, conformité AML, scoring décisionnel |
| Base légale | Obligation légale + intérêt légitime |
| Catégories de données | Snapshot du contexte d'évaluation (sender, receiver, KYC, soldes), décision, score, raisons |
| Particularité | Décision algorithmique — RGPD art. 22 impose information de l'utilisateur en cas de décision automatisée significative. Voir §6. |
| Durée de conservation | 10 ans |
3.6 Logs techniques et observabilité
| Champ | Valeur |
|---|---|
| Finalité | Exploitation, sécurité, dépannage |
| Base légale | Intérêt légitime |
| Catégories de données | IP, user-agent, endpoint appelé, timestamp, code retour |
| Particularité | Masquage PII obligatoire dans les logs (cf. known-gaps A.8.11) |
| Durée de conservation | 90 jours en chaud, 1 an en froid [À VALIDER] |
3.7 RH (salariés Nex)
| Champ | Valeur |
|---|---|
| Finalité | Gestion contrat de travail, paie, accès aux outils |
| Base légale | Exécution contrat de travail + obligation légale |
| Sous-traitants | [À CONFIRMER outil RH] |
| Durée de conservation | Selon code du travail Cameroun |
4. Droits des personnes concernées
| Droit | État Nex |
|---|---|
| Information (RGPD art. 13-14) | À formaliser dans mentions légales in-app + onboarding |
| Accès (art. 15) | Export historique utilisateur via app (partiel : /flows/account-history-export) + procédure CMMS pour les données non-app |
| Rectification (art. 16) | Mise à jour profil via app pour données non-KYC ; via support pour KYC |
| Effacement ("droit à l'oubli", art. 17) | À implémenter — actuellement, suppression compte ≠ effacement réel des données. Limité par obligation de conservation 10 ans AML/CFT |
| Limitation (art. 18) | À formaliser |
| Portabilité (art. 20) | Export CSV / JSON des transactions via CMMS support [À CONFIRMER] |
| Opposition (art. 21) | À formaliser (notamment marketing si pertinent) |
| Décision automatisée (art. 22) | Risk engine — DPIA à conduire (cf. §6) |
Procédure d'exercice des droits : dpo@paywithnex.com [À PROVISIONNER], réponse sous 30 jours.
5. Notification de violation (breach)
| Aspect | Délai |
|---|---|
| Notification à l'autorité de contrôle | 72 h après prise de connaissance (RGPD art. 33) si applicable |
| Notification aux personnes concernées | Sans délai indu si risque élevé (RGPD art. 34) |
| Documentation interne | Systématique pour toute violation (registre des violations) |
Processus : IRP §8 — /operations/incident-response.
6. DPIA — Risk engine
Le service
risk-engineprend des décisions automatisées (approved / challenged / blocked) qui ont des effets significatifs sur l'accès aux services Nex. Le RGPD art. 35 impose une Data Protection Impact Assessment (DPIA).
Structure DPIA (à conduire formellement)
- Description systématique des traitements : pipeline 6 étapes, 8 rules (cf. /services/risk-engine/).
- Évaluation de la nécessité et de la proportionnalité : but légitime (AML, lutte fraude) ; proportionné aux risques.
- Évaluation des risques pour les droits et libertés :
- Risque de discrimination (limites trop restrictives sur certains profils) — mitigation : rules basées sur des critères réglementaires explicites, pas de ML opaque.
- Risque de blocage erroné — mitigation : possibilité de revue manuelle (
pending_review).
- Mesures envisagées pour traiter les risques :
- Transparence : informer l'utilisateur de motifs humanisés en cas de refus.
- Droit de contestation : workflow CMMS pour traiter les escalades.
- Audit append-only des décisions.
- Trust boundary stricte sur
prefetched(cf. ADR-0007).
DPIA à formaliser et signer par le DPO + le RSSI. [À PRODUIRE].
7. Transferts internationaux
| Sous-traitant | Région | Mécanisme de transfert légal |
|---|---|---|
| AWS | eu-west-3 (Paris) | Pas de transfert hors UE pour ce périmètre |
| Firebase | [À CONFIRMER région] | Si hors UE : Clauses Contractuelles Types (SCC) + analyse Schrems II |
| Cloudflare | Edge mondial | Selon DPA Cloudflare |
| Apentis | [À CONFIRMER] | SCC si hors UE |
8. Sécurité technique
Cf. blocs sécurité :
- /security/encryption-standards — chiffrement TLS + at-rest.
- /security/access-control-matrix — RBAC.
- /security/known-gaps — masquage PII logs (A.8.11) à implémenter.
9. Conservation et effacement
| Donnée | Durée | Justification |
|---|---|---|
| KYC documents | 10 ans après fin relation | AML/CFT, recommandation FATF |
| Historique transactions | 10 ans | EME |
| Logs auth (sessions) | 90 j actif + 1 an archive [À VALIDER] | Sécurité, intérêt légitime |
| Logs techniques | 90 j + 1 an [À VALIDER] | Idem |
| RH | Selon code du travail | Légal |
Effacement après expiration : à automatiser (job batch) — non implémenté à ce jour.
10. Sensibilisation
Toute personne traitant des données personnelles chez Nex doit avoir suivi une formation data protection :
- Onboarding : module obligatoire.
- Refresh annuel.
- Sensibilisation aux droits utilisateurs et aux risques (phishing, ingénierie sociale).
11. Gaps connus
- DPO non encore désigné
[À CONFIRMER]. - Email
dpo@paywithnex.comnon provisionné. - Mentions légales in-app à formaliser et publier.
- DPIA risk engine non rédigée.
- Droit à l'oubli technique non implémenté (job batch).
- Masquage PII dans les logs à implémenter (cf. ASVS V8, ISO A.8.11).
- Région Firebase Storage à confirmer (impact data residency RGPD).
- DPA RGPD non vérifié pour tous les sous-traitants.
12. Références
- Loi 2010/012 Cameroun (cybersécurité et cybercriminalité).
- RGPD : règlement (UE) 2016/679.
- CNIL (France) : guide sécurité, recommandations DPIA.
- EDPB : lignes directrices DPIA, Schrems II.
- GABAC : exigences AML/CFT (souvent en tension avec droit à l'oubli — conservation 10 ans prévaut).