Data Processing Agreement (DPA)

Le Responsable de traitement (Marchand) détermine les finalités et les moyens du traitement des Données Personnelles relatives à ses clients finaux. Le Sous-traitant (Wajub) traite les Données Personnelles uniquement sur instruction documentée du Responsable de traitement. Wajub s'interdit de traiter les Données Personnelles pour ses propres finalités, de les vendre à des tiers, ou de les utiliser à des fins marketing sans consentement séparé. Wajub informe immédiatement le Responsable de traitement si une instruction enfreint la législation sur la protection des données.

Wajub s'assure que toute personne autorisée à traiter des Données Personnelles s'est engagée à la confidentialité. L'accès est accordé sur la base du besoin d'en connaître, avec des permissions granulaires et un audit complet. Les mesures techniques comprennent : TLS 1.3 en transit, AES-256 au repos, HSM pour les clés de chiffrement, 2FA obligatoire, IP whitelisting, isolation stricte sandbox/production, monitoring de sécurité 24/7, scans SAST/DAST/SCA, tests d'intrusion trimestriels, PCI DSS (SAQ-A), cadres ISO 27001 et SOC 2.

Le Responsable de traitement donne son autorisation générale à Wajub pour engager des sous-traitants ultérieurs. La liste actualisée est disponible sur wajub.com/legal/subprocessors. Wajub notifie le Responsable de traitement au moins 30 jours avant d'engager un nouveau sous-traitant. Le Responsable de traitement peut s'y opposer dans les 14 jours pour des motifs raisonnables liés à la protection des données. Si aucune solution n'est trouvée, le Responsable de traitement peut suspendre les Services concernés sans pénalité.

Le Responsable de traitement est chargé de répondre aux demandes des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition). Wajub assiste le Responsable en fournissant les Données Personnelles pertinentes dans un format structuré sous 7 jours, en mettant en œuvre des mesures techniques pour l'effacement ou la limitation, et en documentant les activités de traitement. Si Wajub reçoit une demande directe d'une personne concernée, elle la transmet au Responsable de traitement dans les 48 heures.

Wajub notifie le Responsable de traitement sans délai excessif (et dans les 24 heures suivant la prise de connaissance) de toute violation de Données Personnelles affectant les données traitées pour le compte du Responsable. La notification inclut la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les coordonnées de contact, les conséquences probables, et les mesures prises. Wajub assiste le Responsable de traitement dans le respect de ses obligations au titre des articles 33 et 34 du RGPD.

Durées de conservation : données de transaction 10 ans, logs API (production) 1 an (extensible à 7), logs API (sandbox) 90 jours, documents KYC/KYB durée de la relation + 5 ans, piste d'audit 10 ans. Dans les 30 jours suivant la résiliation, le Responsable de traitement peut demander l'export des Données Personnelles. Passé ce délai, Wajub supprime toutes les Données Personnelles, sous réserve des obligations légales de conservation.

Les Données Personnelles peuvent être traitées au Cameroun, en Côte d'Ivoire, au Sénégal (bureaux Wajub), en France (siège UE), dans les États membres de l'UE, aux États-Unis, et en Afrique du Sud. Pour les transferts vers des pays sans décision d'adéquation, Wajub s'appuie sur les Clauses Contractuelles Types (CCT, décision 2021/914 de la Commission européenne), les Règles d'Entreprise Contraignantes (BCR), et des Analyses d'Impact sur les Transferts (TIA) documentées. Des copies des CCT sont disponibles sur demande auprès de dpo@wajub.com.

Le Responsable de traitement peut auditer la conformité de Wajub au présent DPA une fois par an (ou plus fréquemment en cas de violation de données), pendant les heures ouvrables, aux frais du Responsable (sauf si une non-conformité est révélée). Si un audit sur site n'est pas réalisable, Wajub fournit une évaluation de préparation SOC 2, une analyse d'écart ISO 27001, une auto-évaluation PCI DSS SAQ-A, et des réponses à un questionnaire de sécurité (CAIQ ou équivalent).

Chaque partie est responsable des dommages causés par sa propre violation du présent DPA. Si Wajub enfreint matériellement ce DPA, le Responsable de traitement peut suspendre le traitement des Données Personnelles jusqu'à rétablissement de la conformité. Si Wajub ne rétablit pas la conformité dans les 14 jours suivant la notification, le Responsable peut résilier les Services concernés sans pénalité. À la résiliation, Wajub supprime toutes les Données Personnelles (sous réserve des obligations légales) et certifie la suppression par écrit.

Catégories de Données Personnelles : données d'identité (nom, email, téléphone, adresse), données de transaction (montant, devise, date, référence, statut, moyen de paiement), données techniques (adresse IP, empreinte appareil, navigateur, OS), données d'authentification (résultat 3DS, confirmation mobile money), token de paiement, données de localisation (pays, ville), données de session, données de communication, et données KYC/KYB (pièce d'identité, selfie, documents d'entreprise). Catégories de Personnes Concernées : clients finaux (acheteurs/payeurs), bénéficiaires de payouts, représentants des marchands, vendeurs plateforme. Wajub ne traite pas intentionnellement de catégories particulières de données (article 9 du RGPD) à l'exception des données biométriques pour le KYC avec consentement explicite.