01.Identité du responsable de traitement
La présente politique de confidentialité s'applique aux services proposés sur le site www.nelostore.com et toutes ses déclinaisons techniques (applications mobiles, espaces vendeur et administrateur).
Le responsable de traitement au sens de la Loi N° 2017-20 du 20 avril 2018 portant Code du numérique en République du Bénin est :
| Raison sociale | Nelo Store SA |
|---|---|
| Forme juridique | Société Anonyme |
| Siège social | Cotonou, Bénin |
| RCCM | RB/COT/01-A-XXXXX (à mettre à jour) |
| IFU | 0202300000000 (à mettre à jour) |
| Adresse e-mail | contact@nelostore.bj |
| Téléphone | +229 21 00 00 00 |
| Délégué à la protection des données | dpo@nelostore.bj |
Conformément à l'article 396 du Code du numérique, ce traitement de données à caractère personnel a fait l'objet d'une déclaration préalable auprès de l'Autorité de Protection des Données Personnelles (APDP) du Bénin.
02.Cadre juridique applicable
Le présent traitement est régi par :
- la Loi N° 2017-20 du 20 avril 2018 portant Code du numérique en République du Bénin, notamment son Livre cinquième (« Protection des données à caractère personnel ») ;
- l'Acte additionnel A/SA.1/01/10 du 16 février 2010 de la Communauté Économique des États de l'Afrique de l'Ouest (CEDEAO) relatif à la protection des données à caractère personnel dans l'espace de la CEDEAO ;
- la Décision n° 026/2024/PT/UEMOA portant adoption du référentiel commun de cybersécurité, lorsqu'applicable ;
- l'Acte uniforme OHADA portant sur le droit commercial général et le droit des sociétés commerciales pour les aspects contractuels ;
- le Règlement (UE) 2016/679 (RGPD), par mesure équivalente, lorsque vos données sont accessibles depuis l'Union européenne ou que vous résidez en UE.
03.Données collectées et finalités
Nous collectons uniquement les données strictement nécessaires aux finalités suivantes (principe de minimisation, art. 391 du Code du numérique) :
| Catégorie | Données | Finalité | Base légale |
|---|---|---|---|
| Identité & contact | Nom, prénom, email, téléphone, mot de passe haché | Création et gestion du compte ; communication transactionnelle | Exécution du contrat |
| Adresses | Adresse de livraison, ville, point de repère | Livraison des commandes | Exécution du contrat |
| Données de commande | Historique d'achats, montants, vendeurs, statuts | Suivi de commande, service après-vente, réclamations | Exécution du contrat ; obligation légale (comptabilité) |
| Paiements | Numéro Mobile Money (4 derniers chiffres uniquement stockés), référence transaction Kkiapay, méthode | Encaissement et anti-fraude | Exécution du contrat ; intérêt légitime (anti-fraude) |
| Vendeurs (KYC) | Pièce d'identité, RCCM, IFU, justificatif de domicile, RIB / numéro Mobile Money | Vérification KYC, lutte contre le blanchiment, versements | Obligation légale |
| Connexion | Adresse IP, user-agent, horodatage, identifiants de session JWT | Sécurité, prévention de la fraude, journal d'audit | Intérêt légitime ; obligation légale |
| Avis & contenu | Notes, avis, commentaires, plaintes | Modération, amélioration du service, transparence | Intérêt légitime ; consentement |
| Marketing | Préférences SMS / push / email transactionnels | Notifications de commande, expédition, livraison | Consentement (opt-in actif) |
| Cookies & mesure d'audience | Identifiants techniques, statistiques agrégées | Fonctionnement du site, mesure d'audience anonymisée | Consentement (sauf cookies strictement nécessaires) |
Aucune donnée sensible au sens de l'article 387 du Code du numérique (origine raciale, opinions, santé, vie sexuelle, etc.) n'est collectée. Aucune décision produisant des effets juridiques à votre égard n'est prise sur la seule base d'un traitement automatisé.
04.Destinataires et sous-traitants
Vos données ne sont jamais vendues. Elles sont accessibles uniquement aux personnes habilitées au sein de Nelo Store (équipes opérations, conformité, support, sécurité), aux vendeurs partenaires lorsque vous passez une commande chez eux (uniquement les données nécessaires : nom, adresse de livraison, téléphone, articles commandés), et à nos sous-traitants ci-dessous, eux-mêmes liés par un contrat de sous-traitance conforme au Code du numérique :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement, CDN, stockage de fichiers (Blob) | États-Unis (régions europe & US) |
| Neon (Databricks) | Base de données Postgres managée | États-Unis (région US-East) |
| Kkiapay SA | Encaissement Mobile Money & cartes bancaires | Bénin / France |
| MTN Bénin, Moov Africa Bénin, GIM-UEMOA | Réseaux de paiement Mobile Money / interbancaires | Bénin & UEMOA |
| Transporteurs (Nelo Express, partenaires logistiques) | Livraison physique des colis | Bénin et Afrique de l'Ouest |
Transferts hors zone CEDEAO/UEMOA : certains sous-traitants techniques (Vercel, Neon) hébergent des données sur le territoire des États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (CCT) garantissant un niveau de protection équivalent à celui exigé par l'Acte additionnel CEDEAO et le Code du numérique. Vous pouvez obtenir copie de ces clauses sur simple demande à dpo@nelostore.bj.
Nous pouvons également communiquer vos données aux autorités judiciaires ou administratives compétentes lorsque la loi l'exige (réquisitions, commissions rogatoires, demandes de l'APDP).
05.Durées de conservation
| Catégorie | Durée de conservation active | Archivage légal |
|---|---|---|
| Compte utilisateur | Tant que le compte est actif + 24 mois sans connexion | — |
| Données de commande, factures | 3 ans | 10 ans (obligations comptables et fiscales) |
| Justificatifs KYC vendeur | Durée de la relation contractuelle | 5 ans après la fin de la relation (LCB-FT) |
| Cookies de mesure d'audience | 13 mois max | — |
| Logs de connexion / journaux d'audit | 12 mois | 3 ans pour les événements de sécurité |
| Avis et contenu publié | Tant que le produit existe ou compte actif | — |
| Plaintes et litiges | 3 ans après clôture | 5 ans (obligations OHADA) |
À l'expiration de ces durées, vos données sont anonymisées de manière irréversible ou supprimées.
06.Vos droits
En application des articles 437 à 446 du Code du numérique du Bénin, vous disposez à tout moment des droits suivants :
- Droit d'accès : obtenir confirmation que des données vous concernant sont traitées et en recevoir une copie ;
- Droit de rectification : faire corriger les données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli ») : faire supprimer vos données dans les limites prévues par la loi ;
- Droit d'opposition : vous opposer à un traitement reposant sur l'intérêt légitime ou à des fins de prospection ;
- Droit à la limitation du traitement ;
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement ;
- Droit de définir des directives post-mortem sur le sort de vos données après votre décès ;
- Droit de retirer votre consentement à tout moment lorsque le traitement repose sur cette base.
Pour exercer ces droits, écrivez à dpo@nelostore.bj en joignant une copie d'une pièce d'identité. Nous répondons dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes, art. 442 du Code du numérique).
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'Autorité de Protection des Données Personnelles du Bénin (APDP) :
APDP — Cotonou, République du Bénin
Site : apdp.bj · Tél. : +229 21 30 00 00
07.Sécurité et privacy by design
Nelo Store a été conçu selon les principes de Privacy by Design et de Security by Design :
- connexions chiffrées TLS 1.3 obligatoires sur l'ensemble de la plateforme ;
- mots de passe stockés sous forme de hachage bcrypt à 12 rounds, jamais en clair ;
- sessions par jeton JWT signé HS256, transmis dans un cookie
HttpOnly+SameSite=Lax+Secure; - authentification à deux facteurs (SMS) disponible et imposée pour les administrateurs ;
- cloisonnement des accès par rôle (RBAC) : acheteur, vendeur, administrateur ;
- journalisation des actions sensibles dans un journal d'audit conservé 12 mois minimum ;
- tests de pénétration et revue de code de sécurité avant chaque mise en production majeure ;
- plan d'information sous 72 heures auprès de l'APDP en cas de violation de données (art. 405 du Code du numérique) et notification individuelle des personnes concernées si le risque est élevé.
09.Modification de la politique
Nous pouvons mettre à jour cette politique pour refléter des évolutions techniques, réglementaires ou organisationnelles. Toute modification substantielle sera notifiée 30 jours avant son entrée en vigueur, par email et via une bannière dans votre espace utilisateur. Les versions antérieures restent consultables sur simple demande.