Politique de Gestion des
Données Personnelles

La présente politique vise à établir les principes et les règles régissant les principales opérations de traitement des données à caractère personnel, notamment la collecte, l'utilisation, la conservation, la sécurité et la protection, conformément à la loi n° 2008-12 du 25 janvier 2008 relative à la protection des données à caractère personnel.

Elle s'applique à toutes les activités de traitement des données, automatisées ou non, quels que soient les méthodes ou les outils utilisés. Elle s'inscrit dans le cadre d'une approche plus large en matière de transparence et de conformité avec les réglementations applicables.

Cette politique s'applique aux opérations de traitement des données effectuées par Touchpoint Financial Services SA, ci-après dénommé « TFS Sénégal », en sa qualité de responsable du traitement ou de sous-traitant, selon le cas.

Cette politique peut être modifiée ou ajustée à tout moment pour refléter les évolutions juridiques, judiciaires ou pratiques, ou à la suite de décisions et de recommandations de l'autorité de contrôle. Toute mise à jour sera communiquée aux employés, clients et/ou partenaires par tout moyen déterminé par TFS Sénégal qui garantit la traçabilité.

1. Anonymisation : Tout processus qui transforme de manière irréversible les données à caractère personnel afin qu'elles ne puissent plus identifier directement ou indirectement une personne physique.
2. Consentement : Toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte que ses données à caractère personnel fassent l'objet d'un traitement.
3. Cookies : Petits fichiers stockés par un serveur sur l'appareil d'un utilisateur, associés à un domaine web spécifique.
4. Responsable du traitement : La personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui détermine les finalités et les moyens du traitement des données à caractère personnel.
5. Sous-traitant : Toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
6. Personne concernée : Personne physique dont les données à caractère personnel sont traitées.
7. Violation de données : Tout incident de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel.
8. Transfert de données : Toute communication de données à caractère personnel vers un pays tiers ou une organisation internationale, en dehors du territoire national.
9. Pseudonymisation : Tout processus qui remplace les éléments d'identification des données par des pseudonymes, de sorte que les personnes ne puissent être identifiées sans informations supplémentaires.
10. Profilage : Toute forme de traitement automatisé visant à évaluer certains aspects personnels d'une personne, notamment pour analyser ou prédire ses préférences, son comportement ou sa situation personnelle.
11. Données à caractère personnel sensibles : Données relatives à la santé, données biométriques ou autres catégories particulières.

TFS Sénégal comprend que la protection des données à caractère personnel est essentielle pour maintenir la confiance et respecter les obligations légales. L'entreprise s'engage à traiter toutes les informations à caractère personnel de manière sûre et responsable, conformément à la loi n° 2008-12 du 25 janvier 2008 relative à la protection des données à caractère personnel.

Nous prenons des mesures concrètes pour empêcher tout accès, utilisation ou divulgation non autorisés des données. TFS Sénégal veille également à ce que ses employés soient régulièrement informés et formés aux règles de protection des données afin de maintenir un niveau élevé de sécurité et de respect de la vie privée dans toutes nos activités.

Cette politique s'applique à toutes les données personnelles collectées, reçues, traitées, stockées ou transmises par TFS Sénégal, en qualité de responsable du traitement ou de sous-traitant, y compris celles effectuées par des employés, sous-traitants, partenaires ou prestataires de services tiers. Elle couvre tous les départements, filiales et opérations, tant au Sénégal qu'à l'international.

Cette politique couvre notamment :

• Les applications web et mobiles développées et exploitées par TFS Sénégal
• Les API exposées et les services numériques intégrés
• Les bases de données, systèmes de stockage et environnements de sauvegarde
• Les journaux système, outils de surveillance et données de traçabilité
• Les sous-traitants, prestataires de services et partenaires commerciaux autorisés à accéder aux données

TFS Sénégal s'engage à respecter les principes clés suivants :

1. Légalité, équité et transparence : Les données personnelles doivent être traitées de manière licite, loyale et transparente, en veillant à ce que les personnes concernées soient informées.
2. Limitation de la finalité : Les données doivent être collectées à des fins spécifiques, explicites et légitimes et ne doivent pas être traitées ultérieurement d'une manière incompatible avec ces finalités.
3. Minimisation des données : Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire.
4. Exactitude : Les données doivent être exactes, complètes et tenues à jour. Des mesures raisonnables doivent être prises pour corriger ou effacer sans délai les données inexactes.
5. Limitation de la conservation : Les données ne doivent pas être conservées plus longtemps que nécessaire et doivent être supprimées ou anonymisées de manière sécurisée.
6. Intégrité et confidentialité : Les données doivent être traitées de manière à garantir une sécurité appropriée, y compris une protection contre le traitement non autorisé et la perte accidentelle.
7. Transparence et droits des personnes concernées : TFS Sénégal reconnaît et respecte les droits des personnes concernées, y compris le droit d'accès, de rectification, d'effacement, de limitation et d'opposition au traitement.
8. Responsabilité : TFS Sénégal est chargé de veiller au respect de ces principes et doit être en mesure de le démontrer à la Commission de protection des données à caractère personnel sur demande.

Nom complet, date et lieu de naissance, nationalité, numéro d'identité/de passeport, numéro d'identification fiscale, adresse, numéro de téléphone, adresse électronique et autres coordonnées, coordonnées bancaires, numéros de compte mobile, historique des transactions, références de paiement et soldes de compte, profession, employeur et source de revenus. Adresse IP, identifiants d'appareils, géolocalisation (le cas échéant) et empreinte numérique à des fins de prévention de la fraude et de sécurité du système, données KYC et de conformité.

• Collecte directe : Lorsque la personne concernée fournit directement des informations (inscription, ouverture de compte, vérification KYC, assistance à la clientèle).
• Collecte indirecte : Auprès de tiers tels que des banques partenaires, des opérateurs de réseaux mobiles, des sociétés de transfert de fonds ou des agences d'évaluation du crédit, conformément aux exigences réglementaires.
• Collecte automatisée : Par le biais de plateformes PSP, d'applications mobiles ou de formulaires en ligne qui enregistrent les données transactionnelles et les données relatives aux appareils.
• Demandes réglementaires ou légales : Lorsque les données sont obtenues ou vérifiées en réponse à des demandes légales émanant d'autorités réglementaires.

• Consentement : La personne concernée a donné son consentement explicite au traitement à une ou plusieurs fins spécifiques.
• Nécessité contractuelle : Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie.
• Obligation légale : Le traitement est nécessaire pour se conformer aux obligations légales et réglementaires prévues par la législation sénégalaise (KYC, LBC/FT/FP, fiscalité).
• Intérêt légitime : Le traitement est nécessaire aux intérêts légitimes de TFS Sénégal, tels que la détection des fraudes, la gestion des risques et la sécurité du réseau.
• Intérêt public : Le traitement peut avoir lieu lorsque cela est requis par des organismes de réglementation tels que la Banque centrale ou la Commission de protection des données personnelles.

Toute personne dont les données personnelles sont collectées et traitées par TFS Sénégal est en droit d'exercer les droits suivants :

• Droit d'être informée de la manière dont leurs données sont collectées, utilisées, stockées, partagées et protégées.
• Droit de demander la confirmation que leurs données sont traitées et, le cas échéant, d'y accéder et d'en obtenir une copie.
• Droit de demander la correction ou le complément de toute donnée inexacte ou incomplète.
• Droit de demander la suppression de leurs données lorsqu'elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.
• Droit de demander que le traitement de leurs données soit limité dans certaines circonstances.
• Droit de s'opposer au traitement fondé sur un intérêt légitime, l'intérêt public ou des finalités de marketing direct.
• Droit à la portabilité des données dans un format structuré, couramment utilisé et lisible par machine.
• Droit de retirer leur consentement à tout moment sans que cela n'affecte la licéité du traitement effectué avant le retrait.
• Droit de déposer une plainte auprès de la Commission de protection des données personnelles (CDP).
• Droit de demander une réparation judiciaire ou une indemnisation pour les dommages subis.

Les données relatives à la santé, les identifiants biométriques, les données financières, les convictions religieuses ou politiques et d'autres catégories spécialement protégées nécessitent un niveau de sécurité et de confidentialité plus élevé.

Dans le cadre des activités de TFS Sénégal, la collecte de données personnelles sensibles est strictement limitée. Seuls les certificats médicaux et les extraits de casier judiciaire peuvent être collectés, et uniquement à des fins légitimes liées à la gestion des ressources humaines ou à la vérification de la fiabilité et de l'intégrité des partenaires avant leur intégration.

Ces données sont traitées avec le plus haut niveau de confidentialité et de sécurité. L'accès est réservé au personnel autorisé et les informations ne sont conservées que pendant la période nécessaire à la réalisation de l'objectif prévu ou conformément à la loi.

Le consentement des personnes concernées est demandé avant la collecte ou le traitement de leurs données à caractère personnel. Le délégué à la protection des données (DPO) supervise le respect des procédures de gestion du consentement et effectue des audits réguliers.

Les rapports sur la collecte, les retraits et les mises à jour des consentements sont documentés et mis à disposition pour examen réglementaire ou contrôle interne de conformité.

1. Chiffrement : AES-256 pour les données au repos, TLS 1.3 pour les communications en transit, gestion des clés via HSM/TEE avec des clés non exportables.
2. Protection des journaux : Les journaux système et d'application sont sécurisés par des mécanismes de masquage et d'anonymisation pour éviter toute fuite accidentelle.
3. Surveillance et détection : SIEM centralisé pour la collecte et la corrélation des événements, avec alertes de sécurité en temps réel.
4. Contrôles d'accès : Principe du moindre privilège (PoLP) et authentification forte (MFA).
5. Gestion des incidents : Procédure documentée de réponse aux incidents et notification aux autorités de contrôle et aux personnes concernées en cas de violation.
6. Sensibilisation et formation : Formation annuelle obligatoire sur la protection des données pour tous les employés et sous-traitants essentiels.
7. Preuves et audits : Rapports d'audit de sécurité et de conformité (internes et externes), journaux SIEM et documentation des configurations techniques et organisationnelles.
8. Révision et amélioration continue : La politique est révisée au moins une fois par an, ou chaque fois qu'un changement majeur survient.
9. Stockage : Toutes les données personnelles sont stockées sur des serveurs sécurisés (Google, Amazon, Worldline) des fournisseurs de services TIC fiables et réglementés, avec sauvegardes régulières et plans de reprise après sinistre.

Les plaintes sont soumises au DPO. TFS Sénégal examine et résout les problèmes dans un délai de sept (7) jours en transmettant les cas non résolus à la CDP.

Le DPO est officiellement nommé par la direction et dispose de ressources, d'une autorité et d'un accès suffisants pour s'acquitter efficacement de ses fonctions. Ses principales responsabilités sont :

• Veiller à la conformité de l'organisation avec la loi et les autres réglementations applicables en matière de protection des données.
• Veiller à ce que toutes les activités de traitement soient conformes aux principes de licéité, d'équité, de transparence, de limitation des finalités et de minimisation des données.
• Conseiller la direction et le personnel sur les obligations en matière de protection des données, y compris le traitement des données personnelles sensibles.
• Élaborer et dispenser régulièrement des programmes de formation et de sensibilisation au personnel, aux sous-traitants et aux partenaires.
• Servir de point de contact principal pour les personnes concernées qui souhaitent exercer leurs droits en vertu de la loi.
• Surveiller, enquêter et gérer les violations et incidents liés aux données, en veillant à les signaler en temps utile à la Commission de protection des données personnelles.
• Tenir des registres des activités de traitement, des journaux de consentement et des rapports de conformité afin de démontrer la responsabilité et la transparence.
• Servir de point de contact principal avec la CDP et les autres autorités compétentes.

TFS Sénégal met en œuvre un programme annuel de formation et de sensibilisation destiné à ses employés afin de renforcer leurs connaissances et leurs compétences en matière de protection des données et de sécurité de l'information. Ce programme couvre les meilleures pratiques, les obligations légales et réglementaires, ainsi que l'adaptation aux évolutions technologiques et réglementaires.

Outre ses employés, TFS Sénégal étend cette initiative à ses agents, sous-traitants ou fournisseurs et à l'ensemble du réseau de distribution impliqué dans la prestation de services. Ces sessions visent à garantir que toutes les parties prenantes comprennent et respectent les principes de protection des données, les exigences de confidentialité et les mesures de cybersécurité.

L'objectif global est de promouvoir une culture solide en matière de sécurité des données au sein de l'organisation et de son écosystème opérationnel.

Les données à caractère personnel sont conservées pendant toute la durée de la relation commerciale. Au-delà de cette période, elles peuvent être archivées pendant une durée maximale de dix (10) ans après la fin de la relation, à des fins d'audit, de contrôle ou de conformité légale.

La destruction est effectuée de manière sécurisée, conformément aux procédures internes et aux normes techniques applicables, notamment par le broyage ou la suppression sécurisée par les équipes informatiques.

Les violations sont signalées aux personnes concernées dans les plus brefs délais. Le DPO supervise avec le département technique les enquêtes et les mesures d'atténuation.

TFS Sénégal garantit la transparence dans la collecte, l'utilisation et la protection des données à caractère personnel. Les personnes concernées sont informées par le biais d'avis de confidentialité clairs fournis avant la collecte des données, expliquant l'objectif, la base juridique, la conservation et leurs droits.

Les informations sont communiquées via des sites web, des applications mobiles et des documents contractuels. Les employés, agents et sous-traitants reçoivent régulièrement des formations afin de communiquer efficacement les obligations en matière de confidentialité.

Les données à caractère personnel sont protégées par des mesures techniques et organisationnelles appropriées, et les personnes peuvent exercer leurs droits ou déposer des plaintes via :

TFS Sénégal décrit une approche structurée pour mener des analyses d'impact relatives à la protection des données (AIPD) afin de garantir que toutes les activités de traitement des données sont conformes aux lois et réglementations applicables. Les AIPD sont réalisées chaque fois qu'une activité de traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes.

Chaque analyse d'impact comprend une évaluation de la finalité et de la nécessité du traitement, une analyse des risques et la définition de garanties techniques et organisationnelles appropriées.

Les transferts transfrontaliers de données sont effectués conformément aux lois applicables en matière de protection des données et nécessitent l'accord préalable de la Commission de protection des données personnelles (CDP). TFS Sénégal veille à ce que tous ces transferts soient protégés par des mécanismes de cryptage puissants, des protocoles de transmission sécurisés et des garanties contractuelles.

Si nécessaire, des accords de transfert de données ou des clauses contractuelles types sont mis en œuvre afin de garantir que les tiers respectent des normes équivalentes en matière de confidentialité et de sécurité.

Le traitement automatisé (par exemple, les algorithmes de triage des patients) est examiné afin de détecter tout biais, avec une supervision humaine et un consentement explicite pour le profilage.

TFS Sénégal s'engage à ne partager les données personnelles que conformément à la loi n° 2008-12 du 25 janvier 2008 relative à la protection des données à caractère personnel, et aux autres réglementations applicables. Pour garantir cela :

1. Base juridique : Tout partage de données repose sur un fondement juridique valable (consentement explicite, obligation légale, nécessité contractuelle ou intérêt légitime).
2. Transparence : Les personnes sont informées des destinataires, des finalités et des conditions du partage des données.
3. Garanties contractuelles : Les transferts à des tiers sont régis par des accords précisant les obligations en matière de confidentialité, de sécurité et de conformité.
4. Transferts internationaux : Le partage transfrontalier est conforme aux exigences légales et comprend des garanties appropriées.
5. Sécurité : Les données sont protégées par des mesures techniques et organisationnelles telles que le cryptage et les contrôles d'accès.
6. Droits des personnes : Les accords permettent l'exercice des droits d'accès, de rectification, d'opposition et de suppression.
7. Traçabilité : Toutes les activités de partage sont consignées et font l'objet d'audits réguliers.
8. Notification des violations : Tout incident est géré conformément aux procédures internes et signalé aux autorités et aux personnes concernées.

Les divulgations doivent être légales, nécessaires et proportionnées. Les bases juridiques acceptables comprennent :

• Les ordonnances, les réquisitions ou assignations délivrés par les autorités compétentes.
• Obligations légales en vertu de la législation.

TFS Sénégal peut utiliser des caméras de vidéosurveillance et des technologies de localisation strictement à des fins légitimes telles que la sécurité, la sûreté et l'efficacité opérationnelle. Tout traitement de ce type sera conforme à la loi sénégalaise sur la protection des données personnelles et aux réglementations applicables. Plus précisément :

• Les personnes seront informées par des panneaux ou des avis clairs de l'utilisation de ces technologies.
• Les données collectées seront limitées à ce qui est nécessaire, stockées de manière sécurisée et conservées uniquement pendant la période nécessaire.
• L'accès aux images et aux données de localisation sera limité au personnel autorisé.
• Les personnes concernées ont le droit de demander l'accès à leurs données et d'exercer les autres droits prévus par la loi applicable.

Des examens et des audits réguliers seront effectués afin de garantir le respect continu de la conformité et de minimiser les risques liés à la confidentialité.

Il existe des cookies techniques/strictement nécessaires qui sont activés par défaut. Il en va de même pour les cookies provenant de sites tiers intégrés à l'application, tels que Cloudflare, Google.com, etc. Toutefois, les utilisateurs peuvent les désactiver dans les paramètres.

Les enfants et les personnes vulnérables bénéficient de protections renforcées, notamment le consentement parental pour les mineurs et des avis de confidentialité simplifiés.

TFS Sénégal veille à ce que les principes de confidentialité et de protection des données soient intégrés dès le départ dans la conception de tous les systèmes, processus et services. Par défaut, seules les données personnelles minimales nécessaires à chaque finalité spécifique sont collectées, traitées et conservées.

Des mesures techniques et organisationnelles, telles que le cryptage, les contrôles d'accès et l'anonymisation, sont mises en œuvre pour protéger les données tout au long de leur cycle de vie. Tous les nouveaux projets font l'objet d'une analyse d'impact sur la protection des données afin d'identifier et d'atténuer les risques.

TFS Sénégal garantit l'application effective de cette politique de protection des données grâce à des procédures documentées, des audits de conformité réguliers et une surveillance continue des activités de traitement des données. Des examens annuels et des analyses d'impact sur la protection des données sont effectués afin d'évaluer l'efficacité et d'identifier les améliorations possibles.

Le personnel reçoit une formation continue et des mesures correctives sont mises en œuvre rapidement afin de maintenir la conformité avec la loi sénégalaise sur la protection des données personnelles et de respecter des normes strictes en matière de confidentialité.

La présente politique a été approuvée par le soussigné et sera révisée au moins une fois par an.

Touchpoint Financial Services (TFS) SA — VDN Lot N°14 A Mermoz Ecole Police, Immeuble Sophie NDIAYE Justin, Dakar, Sénégal