Politique de protection des données (RGPD)

Vos données personnelles sont précieuses. Découvrez comment nous les protégeons.

Notre engagement de confidentialité
MILLENIUM QAF-OVCR s'engage à protéger vos données personnelles conformément au RGPD (Règlement UE 2016/679) et à la loi sénégalaise n°2008-12 sur la protection des données. Votre vie privée est notre priorité.

1. Responsable du traitement des données

Identité du responsable :
MILLENIUM QAF-OVCR Working Capital Hybrid Unit Trust (SAS)
Avenue Cheikh Anta Diop, Immeuble SDIH, 5ème étage
BP 25 000, Dakar, Sénégal

Délégué à la Protection des Données (DPO) :
Mme Fatima Ndiaye
Email : dpo@qaf-ovcr.org
Téléphone : +221 77 XXX XX XX

2. Données personnelles collectées

Nous collectons uniquement les données strictement nécessaires à la fourniture de nos services :

2.1 Données d'identité

  • Nom et prénom
  • Fonction et organisation
  • Adresse postale professionnelle
  • Date de naissance (pour les partenaires contractuels)
  • Numéro d'identification fiscale (pour les porteurs de projet)

2.2 Données de contact

  • Adresse email professionnelle
  • Numéro de téléphone professionnel
  • Adresse IP (lors de la navigation)

2.3 Données de connexion

  • Identifiants de connexion (login/mot de passe hashé)
  • Historique de connexion (date, heure, IP)
  • Logs de sécurité (tentatives d'authentification)
  • Préférences utilisateur (langue, notifications)

2.4 Données de navigation

  • Pages visitées et durée de consultation
  • Type de navigateur et système d'exploitation
  • Résolution d'écran et plugins installés
  • Source de trafic (référent)

2.5 Données de projet (pour les porteurs de projet)

  • Documents techniques et financiers téléversés
  • Informations sur le projet (budget, localisation, secteur)
  • Historique des échanges avec nos équipes
  • Statut d'avancement du dossier

3. Finalités du traitement des données

Vos données sont collectées et traitées pour les finalités suivantes :

Finalité Base légale Durée de conservation
Gestion des demandes de contact Consentement 3 ans après le dernier contact
Analyse des projets soumis Intérêt légitime 5 ans après la décision finale
Gestion de l'espace partenaires Exécution du contrat Durée du contrat + 5 ans
Envoi de newsletters Consentement Jusqu'au retrait du consentement
Sécurité et prévention de la fraude Obligation légale 1 an (logs) / 5 ans (incidents)
Statistiques de fréquentation Intérêt légitime 13 mois
Conformité AML/CFT Obligation légale 10 ans après la fin de la relation

4. Bases légales du traitement

Conformément au RGPD, chaque traitement de données repose sur l'une des bases légales suivantes :

Consentement (Art. 6.1.a RGPD) : Pour l'envoi de communications marketing, newsletters et cookies non essentiels.

Exécution d'un contrat (Art. 6.1.b RGPD) : Pour la gestion des projets, l'accès à l'espace partenaires et la fourniture de nos services.

Obligation légale (Art. 6.1.c RGPD) : Pour la conformité aux réglementations AML/CFT, FATCA, et aux obligations comptables et fiscales.

Intérêt légitime (Art. 6.1.f RGPD) : Pour l'amélioration de nos services, la sécurité du site, et l'analyse statistique anonymisée.

5. Destinataires des données

Vos données personnelles peuvent être communiquées aux catégories de destinataires suivantes :

5.1 Destinataires internes

  • Personnel habilité du Trust (analystes projets, équipe juridique, direction)
  • Services informatiques et sécurité (gestion technique du site)
  • Service compliance (conformité AML/CFT)

5.2 Prestataires externes

  • Hébergement : OVH SAS (France/Luxembourg) - Certification ISO 27001
  • CDN et sécurité : Cloudflare Inc. - Protection DDoS et WAF
  • Messagerie : Microsoft 365 (serveurs UE) - Chiffrement de bout en bout
  • Archivage documents : Nextcloud (instance privée hébergée en France)

5.3 Destinataires légaux

  • Autorités judiciaires ou administratives sur réquisition légale
  • Commissaires aux comptes et auditeurs externes
  • Organismes de régulation financière (en cas d'obligation légale)

Garanties contractuelles : Tous nos sous-traitants sont liés par des clauses contractuelles strictes garantissant la confidentialité et la sécurité de vos données (Data Processing Agreements conformes RGPD).

6. Transferts de données hors Union Européenne

Localisation prioritaire : Vos données sont hébergées principalement en France et au Luxembourg (datacenters OVH). Aucun transfert vers des pays tiers n'est effectué sans garanties appropriées.

En cas de transfert exceptionnel vers un pays hors UE, nous nous assurons de l'existence de garanties appropriées :

  • Décision d'adéquation de la Commission Européenne
  • Clauses Contractuelles Types (CCT) approuvées par la Commission
  • Règles d'entreprise contraignantes (Binding Corporate Rules)
  • Certification (ex: Privacy Shield successeur)

7. Durée de conservation des données

Vos données sont conservées pendant la durée strictement nécessaire aux finalités poursuivies :

7.1 Données de contact et navigation

  • Formulaire de contact : 3 ans après le dernier échange
  • Cookies et logs de navigation : 13 mois maximum
  • Newsletter : jusqu'au désabonnement + 3 ans (preuve du consentement)

7.2 Données contractuelles (partenaires)

  • Pendant la durée du contrat
  • + 5 ans en archives intermédiaires (obligations légales)
  • + 10 ans pour les documents AML/CFT

7.3 Données de projets

  • Projets acceptés : durée du projet + 10 ans
  • Projets refusés : 2 ans après notification du refus
  • Projets abandonnés : 1 an après abandon

Suppression automatique : À l'expiration des durées de conservation, vos données sont automatiquement supprimées de manière sécurisée et irréversible.

8. Sécurité des données

MILLENIUM QAF-OVCR met en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art pour garantir la sécurité de vos données :

8.1 Mesures techniques

  • Chiffrement : SSL/TLS (Let's Encrypt) pour toutes les communications
  • Chiffrement des données : AES-256 pour les données sensibles au repos
  • Authentification forte : 2FA obligatoire pour l'espace partenaires
  • Pare-feu : WAF Cloudflare et pare-feu applicatif OVH
  • Surveillance : Monitoring 24/7 et détection d'intrusion (IDS/IPS)
  • Sauvegarde : Backups quotidiens chiffrés avec rétention 30 jours
  • Mots de passe : Hashage bcrypt avec salt (pas de stockage en clair)

8.2 Mesures organisationnelles

  • Accès aux données limité au personnel habilité (principe du moindre privilège)
  • Formation annuelle RGPD pour tous les collaborateurs
  • Clauses de confidentialité dans les contrats de travail
  • Audits de sécurité réguliers par des tiers indépendants
  • Plan de continuité d'activité (PCA) et de reprise d'activité (PRA)
  • Procédure de gestion des violations de données (notification sous 72h)

8.3 Certifications

✓ ISO 27001:2022 - Management de la sécurité de l'information
✓ Conformité PCI DSS - Protection des données de paiement
✓ SOC 2 Type II - Contrôles de sécurité validés

9. Vos droits sur vos données

Conformément au RGPD, vous disposez des droits suivants que vous pouvez exercer à tout moment :

Droit d'accès

Obtenir la confirmation que vos données sont traitées et en recevoir une copie.

Droit de rectification

Corriger vos données inexactes ou incomplètes.

Droit à l'effacement

Demander la suppression de vos données (sous conditions).

Droit à la limitation

Restreindre temporairement le traitement de vos données.

Droit à la portabilité

Récupérer vos données dans un format structuré et lisible.

Droit d'opposition

Vous opposer au traitement de vos données pour des raisons légitimes.

Décisions automatisées

Ne pas faire l'objet de décisions basées uniquement sur un traitement automatisé.

Retrait du consentement

Retirer votre consentement à tout moment (newsletters, cookies).

Comment exercer vos droits ?

Par email : dpo@qaf-ovcr.org

Par courrier :
MILLENIUM QAF-OVCR - DPO
Avenue Cheikh Anta Diop, Immeuble SDIH, 5ème étage
BP 25 000, Dakar, Sénégal

Via le formulaire ci-dessous

Délai de réponse : Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois si nécessaire, compte tenu de la complexité de la demande.

Preuve d'identité : Pour des raisons de sécurité, nous pourrons vous demander une copie d'une pièce d'identité pour traiter votre demande.

Formulaire d'exercice de vos droits

10. Droit d'introduire une réclamation

Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle :

Autorité compétente au Sénégal :
Commission de Protection des Données Personnelles (CDP)
Adresse : Dakar, Sénégal
Email : contact@cdp.sn
Site web : www.cdp.sn

Autorité compétente en France (pour l'hébergement) :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
Téléphone : +33 1 53 73 22 22
Site web : www.cnil.fr

11. Gestion des cookies

Notre site utilise des cookies pour améliorer votre expérience et analyser le trafic. Vous pouvez gérer vos préférences à tout moment.

Vos préférences de cookies

Cookies strictement nécessaires

Toujours actifs

Ces cookies sont essentiels au fonctionnement du site (session, sécurité). Ils ne peuvent pas être désactivés.

Cookies de performance

Permettent d'analyser l'utilisation du site de manière anonyme (Google Analytics, statistiques).

Cookies fonctionnels

Mémorisent vos préférences (langue, région) pour améliorer votre expérience.

12. Modifications de cette politique

Nous pouvons modifier cette politique de confidentialité pour refléter les changements dans nos pratiques ou pour des raisons légales. En cas de modification substantielle, nous vous en informerons par email ou via une notification sur le site.

Date de dernière mise à jour : 26 octobre 2025

Version : 2.1

Prochaine révision prévue : 26 avril 2026

Nous contacter

Pour toute question concernant cette politique de confidentialité ou l'exercice de vos droits :

Délégué à la Protection des Données

Mme Fatima Ndiaye
dpo@qaf-ovcr.org
+221 77 XXX XX XX

Service Support

support@qaf-ovcr.org
Lun-Ven: 9h-17h GMT