Légal

Politique de confidentialité

En vigueur au 19 avril 2026 · Dernière mise à jour : 19 avril 2026

En résumé

  • On collecte uniquement ce dont on a besoin pour faire tourner ton portefeuille et te contacter.
  • On ne vend ni ne loue tes données. Point final.
  • Tu peux exporter tout ce qu'on a sur toi en 1 clic depuis Compte → Exporter mes données.
  • Tu peux supprimer ton compte définitivement en 1 clic depuis Compte → Supprimer mon compte.

1. Responsable du traitement

Le responsable du traitement est PLACEHOLDER — Frejuste AGBOTON — Entreprise individuelle, PLACEHOLDER — Entreprise individuelle, dont le siège est situé PLACEHOLDER — [adresse, ville, pays].

Contact dédié aux questions liées aux données personnelles : PLACEHOLDER — privacy@korakori.com.

2. Données collectées

2.1 Lors de la création de compte

  • Adresse email (identifiant de connexion)
  • Mot de passe (stocké haché par Supabase Auth)

2.2 Données que tu nous confies

  • Transactions, quantités, prix d'achat, dividendes perçus (saisis manuellement ou importés depuis un PDF Africabourse)
  • Positions dérivées et valorisations calculées
  • Préférences d'alertes (seuils, canaux)
  • Si tu actives WhatsApp : numéro de téléphone au format international
  • Si tu actives Telegram : identifiant de chat Telegram (chat_id numérique)
  • Si tu utilises l'assistant IA : contenu de tes questions et des réponses

2.3 Données techniques

  • Logs techniques minimums (adresse IP, user-agent, heure de requête) conservés 30 jours pour la sécurité et le rate-limit
  • Logs d'erreur anonymisés via Sentry pour corriger les bugs
  • Cookies techniques strictement nécessaires à l'authentification (Supabase session cookie) — pas de cookie publicitaire

2.4 Paiements

Les informations de paiement (numéro Mobile Money, carte bancaire) sont collectées et traitées directement par notre prestataire KKiaPay. KoraKori ne stocke ni les numéros de carte, ni les numéros de Mobile Money payeur — uniquement l'identifiant de transaction et son statut.

3. Finalités et bases légales

FinalitéBase légaleConservation
Fournir le serviceExécution du contratVie du compte + 30 j (suppression)
AuthentificationExécution du contratVie de la session
Alertes opt-inConsentementJusqu'au retrait
FacturationObligation légale10 ans
Logs anti-fraudeIntérêt légitime12 mois
Logs techniquesIntérêt légitime30 jours

4. Sous-traitants et transferts

Nous utilisons les sous-traitants suivants, tous soumis à des engagements contractuels de confidentialité et de sécurité :

  • Supabase Inc. (États-Unis / Singapour) — hébergement de la base de données et authentification.
  • Vercel Inc. (États-Unis) — hébergement de l'application et du CDN.
  • KKiaPay (Bénin, UEMOA) — traitement des paiements.
  • Google LLC (États-Unis) — API Gemini pour l'assistant IA (uniquement si tu l'utilises ; le contenu des messages est envoyé).
  • Twilio Inc. (États-Unis) — envoi des messages WhatsApp (uniquement si tu actives le canal).
  • Telegram FZ-LLC (Émirats Arabes Unis / Îles Vierges Britanniques) — envoi des messages Telegram (uniquement si tu actives le canal).
  • Sentry.io (États-Unis) — logs d'erreur anonymisés.

Certains sous-traitants étant situés hors UEMOA, les transferts sont encadrés par les clauses contractuelles types équivalentes aux garanties requises.

5. Tes droits

Conformément à la loi applicable (notamment la loi Bénin sur la protection des données à caractère personnel et les règlements UEMOA équivalents), tu disposes des droits suivants :

  • Accès — exporter toutes tes données en JSON via Compte → Exporter mes données
  • Rectification — modifier tes informations depuis ton compte
  • Effacement — supprimer définitivement ton compte via Compte → Supprimer mon compte
  • Opposition — désactiver les canaux de notification depuis Compte → Canaux de notification
  • Portabilité — l'export JSON est lisible par n'importe quel outil compatible
  • Retrait du consentement — à tout moment pour les traitements basés sur le consentement (alertes opt-in WhatsApp/Telegram)
  • Réclamation — tu peux saisir APDP — Autorité de Protection des Données à caractère Personnel : https://apdp.bj

Pour exercer tes droits : PLACEHOLDER — privacy@korakori.com. Nous répondons dans un délai de 30 jours maximum.

6. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger tes données :

  • Chiffrement en transit (HTTPS / TLS 1.3)
  • Chiffrement au repos de la base (AES-256, côté Supabase)
  • Mots de passe stockés sous forme hachée uniquement (bcrypt via Supabase Auth)
  • Cloisonnement par utilisateur via Row-Level Security (RLS) sur toutes les tables
  • Authentification bearer + empreinte SHA-256 pour l'API publique
  • Surveillance continue des erreurs via Sentry
  • Backups automatiques quotidiens avec point-in-time recovery

En cas d'incident de sécurité susceptible d'affecter tes droits, nous notifierons l'autorité de contrôle compétente dans les 72 heures et les utilisateurs concernés sans délai.

7. Cookies

Nous utilisons uniquement des cookies strictement nécessaires :

  • sb-* — cookie de session Supabase (1 semaine glissante)
  • kora_active_portfolio — mémorise le portefeuille actif (1 an)
  • kora-theme — préférence clair/sombre (localStorage, pas de cookie)

Aucun cookie tiers publicitaire. Aucun tracker. Aucun partage avec des régies.

8. Modifications de la politique

Cette politique peut évoluer. Toute modification substantielle fera l'objet d'une notification par email au moins 15 jours avant l'entrée en vigueur.

9. Contact

Pour toute question : PLACEHOLDER — privacy@korakori.com · Support général : contact@korakori.com