Aqointa

Politique de confidentialité

Dernière mise à jour : 28 avril 2026

1. Introduction et identité du responsable de traitement

Aqointa est une plateforme de gestion financière en mode SaaS (Software as a Service) destinée aux petites et moyennes entreprises, notamment celles opérant en zone OHADA (Afrique de l'Ouest et Centrale). Aqointa permet entre autres à ses utilisateurs de connecter leur compte WhatsApp Business via l'API WhatsApp Cloud de Meta, afin d'envoyer et de recevoir des messages, de gérer des modèles de messages (templates) et d'automatiser la relation client (relances de factures, notifications transactionnelles).

La plateforme est éditée et exploitée par TRIDA Luxembourg SARL-S, société à responsabilité limitée simplifiée de droit luxembourgeois.

  • Siège social : 11-13 Boulevard Grande-Duchesse Charlotte, L-1331 Luxembourg
  • Registre de Commerce et des Sociétés : Luxembourg, n° B280378
  • N° TVA intracommunautaire : LU35191913
  • Autorisation d'établissement : n° 1015831/0
  • Email de contact (données personnelles) : privacy@aqointa.com

Au sens du Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679), TRIDA Luxembourg SARL-S agit en qualité de responsable du traitement pour les données personnelles collectées via le site aqointa.com, l'application web Aqointa, et l'ensemble des services et intégrations qui y sont liés, y compris l'intégration WhatsApp Business API.

Lorsque les utilisateurs d'Aqointa (entreprises clientes) envoient des messages à leurs propres clients via l'API WhatsApp Business, Aqointa agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour le traitement de ces données de communication. L'entreprise cliente reste responsable du traitement vis-à-vis de ses propres clients et destinataires de messages.

2. Données personnelles collectées

Nous collectons uniquement les données nécessaires au bon fonctionnement des services que vous utilisez. Selon votre usage, cela peut inclure les catégories suivantes :

2.1 Données de compte Aqointa

  • Nom, prénom, adresse email, numéro de téléphone.
  • Mot de passe, stocké sous forme de hachage cryptographique irréversible (bcrypt) — jamais en clair.
  • Langue préférée, fuseau horaire, rôle dans l'entreprise.

2.2 Données d'entreprise

  • Raison sociale, adresse, numéro RCCM ou équivalent, numéro d'identification fiscale, logo, secteur d'activité.
  • Données de facturation client (noms, adresses, contacts, historique de factures, statuts de paiement) que vous saisissez dans Aqointa. Ces données vous appartiennent et restent strictement isolées de celles des autres utilisateurs.

2.3 Données WhatsApp Business (Embedded Signup et API)

Lorsque vous connectez votre compte WhatsApp Business à Aqointa via le flux Meta Embedded Signup ou via la configuration manuelle, nous collectons et stockons :

  • L'identifiant de votre compte WhatsApp Business (WABA ID).
  • L'identifiant et le numéro de téléphone professionnel associé (Phone Number ID).
  • Le nom d'affichage de votre profil WhatsApp Business.
  • Le jeton d'accès système (System User Access Token), stocké sous forme chiffrée AES-256-GCM au repos.
  • Le statut et le contenu de vos modèles de messages (templates) soumis à Meta.

Contenu des messages : les messages envoyés et reçus via l'API WhatsApp Cloud transitent par l'infrastructure de Meta Platforms. Aqointa stocke les métadonnées nécessaires au suivi de livraison (identifiant du message, horodatage, statut d'envoi, de réception et de lecture) ainsi que, le cas échéant, le contenu des messages reçus pour permettre leur affichage dans l'interface Aqointa. Les pièces jointes (documents PDF, images) sont stockées de manière chiffrée.

Consentements (opt-ins) : les consentements de vos contacts à recevoir des messages WhatsApp sont horodatés et conservés avec leur source (formulaire, verbal, import, message entrant) pour preuve en cas de contrôle, conformément à la politique commerciale Meta et à l'article 7 du RGPD.

2.4 Données techniques

  • Adresse IP, type et version du navigateur, système d'exploitation.
  • Pages visitées, horodatages de connexion, durée des sessions.
  • Logs d'erreurs et événements de sécurité.

2.5 Données de paiement

Si vous souscrivez à un abonnement payant, les informations de paiement sont traitées directement par nos prestataires de paiement (Stripe, PayDunya). Nous ne stockons jamais les numéros complets de carte bancaire ni les coordonnées bancaires directes.

3. Finalités du traitement

Vos données personnelles sont traitées pour les finalités suivantes :

  • Fourniture du Service : création et gestion de votre compte, facturation, gestion commerciale et comptable, support client.
  • Service de messagerie WhatsApp Business : envoi et réception de messages via l'API WhatsApp Cloud de Meta pour le compte de votre entreprise, gestion des modèles de messages, automatisation des relances de factures impayées.
  • Connexion WhatsApp via Embedded Signup : faciliter la connexion de votre compte WhatsApp Business à Aqointa via le flux d'inscription intégrée de Meta, administration de votre configuration WhatsApp Business.
  • Sécurité et prévention de la fraude : détection d'accès non autorisés, protection contre les abus, journalisation des événements de sécurité.
  • Conformité légale et réglementaire : conservation des documents comptables et fiscaux, réponse aux requêtes des autorités compétentes, respect de la politique commerciale Meta.
  • Amélioration du produit : analyse agrégée et anonymisée de l'utilisation du Service pour améliorer les fonctionnalités et l'expérience utilisateur. Aucune donnée personnelle identifiable n'est utilisée à cette fin.

4. Bases légales du traitement (article 6 du RGPD)

Chaque traitement de données personnelles repose sur l'une des bases légales suivantes :

  • Exécution du contrat (article 6.1.b) : fourniture du Service Aqointa, création de compte, envoi de messages WhatsApp Business en votre nom, facturation, support client. Le traitement est nécessaire à l'exécution du contrat auquel vous êtes partie (les Conditions Générales d'Utilisation).
  • Intérêt légitime (article 6.1.f) : sécurité de la plateforme, prévention de la fraude, amélioration continue du Service sur la base de données agrégées et anonymisées. Notre intérêt légitime est toujours mis en balance avec vos droits et libertés fondamentaux.
  • Obligation légale (article 6.1.c) : conservation des documents comptables et fiscaux pendant les durées prévues par la loi luxembourgeoise et les réglementations OHADA, lutte contre la fraude et le blanchiment d'argent, réponse aux requêtes d'autorités judiciaires ou administratives.
  • Consentement (article 6.1.a) : envoi de communications commerciales (newsletters), utilisation de cookies non essentiels. Vous pouvez retirer votre consentement à tout moment sans que cela n'affecte la licéité des traitements effectués antérieurement.

5. Partage des données et sous-traitants

Vos données personnelles sont accessibles uniquement au personnel autorisé de TRIDA Luxembourg SARL-S, dans la stricte mesure nécessaire à l'exercice de leurs fonctions. Nous ne vendons jamais vos données à des tiers. Nous ne les partageons qu'avec les sous-traitants et partenaires suivants, strictement nécessaires à la fourniture du Service :

  • Meta Platforms Ireland Ltd (Dublin, Irlande) : fourniture de l'API WhatsApp Cloud, traitement des messages WhatsApp Business, gestion du flux Embedded Signup. Les données transitant par l'API WhatsApp sont soumises aux conditions WhatsApp Business et à la politique de confidentialité de Meta.
  • Render Inc. (États-Unis) : hébergement de l'infrastructure applicative backend. Transfert encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne.
  • Neon Inc. (États-Unis) : hébergement de la base de données PostgreSQL. Transfert encadré par les CCT.
  • Resend Inc. (États-Unis) : envoi des emails transactionnels (confirmations de compte, notifications, réinitialisations de mot de passe). Transfert encadré par les CCT.
  • Cloudflare Inc. (États-Unis) : hébergement et distribution de contenu (CDN) du site web et des applications frontend, stockage chiffré des fichiers (documents PDF, reçus) via Cloudflare R2. Transfert encadré par les CCT.
  • Stripe Inc. (États-Unis) et PayDunya (Sénégal) : traitement des paiements par carte bancaire et mobile money. Stripe est certifié PCI-DSS niveau 1. Nous ne stockons jamais les données bancaires complètes.
  • Anthropic PBC (États-Unis) : traitement IA (extraction automatique de reçus, assistant conversationnel), uniquement si activé dans votre compte. Transfert encadré par les CCT.

Chaque sous-traitant est lié à TRIDA Luxembourg SARL-S par un accord de traitement des données conforme à l'article 28 du RGPD, garantissant un niveau de protection au moins équivalent à celui prévu par la présente politique.

6. Transferts hors Union européenne

Certains de nos sous-traitants (Render, Neon, Resend, Cloudflare, Stripe, Anthropic) traitent des données aux États-Unis. Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914), signées avec chaque sous-traitant concerné.
  • Le cas échéant, les décisions d'adéquation de la Commission européenne, notamment le cadre EU-U.S. Data Privacy Framework pour les sous-traitants auto-certifiés.
  • Des mesures techniques complémentaires : chiffrement en transit (TLS 1.2+) et au repos, minimisation des données transférées, pseudonymisation lorsque possible.

Aucune donnée personnelle n'est transférée vers un pays tiers ne présentant pas un niveau de protection adéquat sans les garanties appropriées décrites ci-dessus.

En ce qui concerne l'intégration WhatsApp Business, les données de messages transitent par l'infrastructure de Meta Platforms. Meta Platforms Ireland Ltd (entité européenne) est notre interlocuteur contractuel. Les conditions de transfert applicables sont celles définies par Meta dans ses conditions de service WhatsApp Business.

7. Durée de conservation

Vos données sont conservées pendant la durée strictement nécessaire à la finalité pour laquelle elles ont été collectées, puis archivées ou supprimées conformément au tableau suivant :

  • Données de compte actif : pendant toute la durée d'utilisation du Service, puis 3 ans après la dernière activité, sauf demande de suppression anticipée.
  • Documents comptables et fiscaux : 10 ans conformément aux obligations légales luxembourgeoises et aux dispositions SYSCOHADA applicables.
  • Métadonnées de messages WhatsApp : pendant la durée du contrat, avec un maximum de 24 mois après le dernier envoi, sauf obligation légale de conservation plus longue. La durée précise peut être définie contractuellement avec le client.
  • Consentements WhatsApp (opt-ins) : conservés pendant toute la durée de la relation commerciale entre l'entreprise cliente et son contact, et 3 ans après la révocation pour preuve en cas de contrôle.
  • Jetons d'accès WhatsApp : jusqu'à révocation par l'utilisateur, déconnexion de l'intégration, ou suppression de l'entité Aqointa correspondante.
  • Logs techniques et de sécurité : 12 mois maximum.
  • Données de paiement : conformément aux durées de conservation de nos prestataires de paiement (Stripe, PayDunya) et aux obligations fiscales.

À l'issue de ces durées, les données sont définitivement supprimées ou anonymisées de manière irréversible.

8. Droits des utilisateurs

Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :

  • Droit d'accès (article 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification (article 16) : corriger toute donnée inexacte ou incomplète.
  • Droit à l'effacement (article 17) : demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation.
  • Droit à la limitation du traitement (article 18) : obtenir la restriction d'un traitement dans les cas prévus par le RGPD.
  • Droit à la portabilité (article 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
  • Droit d'opposition (article 21) : vous opposer à un traitement fondé sur l'intérêt légitime, y compris le profilage.
  • Droit de retirer votre consentement à tout moment, sans affecter la licéité des traitements effectués antérieurement sur la base de ce consentement.

Pour exercer l'un de ces droits, contactez-nous à l'adresse privacy@aqointa.com. Nous nous engageons à répondre dans un délai maximum d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de demande complexe ou de nombre élevé de demandes, auquel cas vous en serez informé.

En cas de difficulté non résolue, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale pour la Protection des Données (CNPD), autorité de contrôle compétente au Luxembourg :

  • Site web : cnpd.public.lu
  • Adresse : 15, Boulevard du Jazz, L-4370 Belvaux, Luxembourg

9. Sécurité

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre l'accès non autorisé, la perte, la modification ou la divulgation. Ces mesures comprennent notamment :

  • Chiffrement des communications : toutes les données en transit sont protégées par TLS 1.2 ou supérieur.
  • Chiffrement au repos : les données sensibles, et en particulier les jetons d'accès WhatsApp Business, sont chiffrés avec l'algorithme AES-256-GCM.
  • Stockage sécurisé des mots de passe : hachage irréversible via bcrypt avec salage individuel. Aucun mot de passe n'est stocké en clair.
  • Isolation multi-tenant : les données de chaque entreprise cliente sont strictement cloisonnées au niveau de la base de données. Un utilisateur ne peut accéder aux données d'une autre entreprise.
  • Journaux d'audit : les actions sensibles (connexions, modifications de droits, envois WhatsApp, accès aux données) sont tracées dans des journaux d'audit horodatés.
  • Contrôle d'accès : l'accès interne aux données est restreint au strict nécessaire selon le principe du moindre privilège. L'authentification utilise des jetons JWT avec renouvellement automatique.
  • Revue du code et des dépendances : revues régulières du code source et surveillance des vulnérabilités dans les dépendances tierces.

10. Cookies et traceurs

Aqointa utilise uniquement des cookies strictement nécessaires au fonctionnement du Service :

  • Cookie de session : maintient votre connexion active pendant votre utilisation de l'application.
  • Préférences d'interface : mémorise vos choix d'affichage (langue, thème, sidebar).
  • Jeton d'authentification : stocke de manière sécurisée le jeton nécessaire à l'identification de vos requêtes.

Aucun cookie de publicité, de suivi comportemental ou de marketing tiers n'est déposé sur votre appareil. Aucun outil de pistage tiers (analytics, remarketing, pixels) n'est utilisé sans votre consentement explicite préalable.

Si des cookies non essentiels venaient à être introduits (par exemple, pour des analyses d'usage anonymisées), votre consentement serait recueilli préalablement via un bandeau d'information conforme à la directive ePrivacy et au RGPD.

11. Modifications de la présente politique

Nous pouvons être amenés à modifier cette politique de confidentialité pour refléter une évolution légale, technique ou opérationnelle. La date de dernière mise à jour est indiquée en haut de cette page. Les modifications substantielles vous seront notifiées par email ou via une bannière dans l'application au moins 15 jours avant leur entrée en vigueur. Votre utilisation continue du Service après ce délai vaut acceptation de la politique modifiée.

12. Contact

Pour toute question relative à la protection de vos données personnelles, à l'exercice de vos droits, ou à la présente politique :

TRIDA Luxembourg SARL-S
11-13 Boulevard Grande-Duchesse Charlotte
L-1331 Luxembourg
Grand-Duché de Luxembourg
Email données personnelles : privacy@aqointa.com
Email support : support@aqointa.com
Site web : aqointa.com