Politique de protection des données personnelles

Préambule.

Nexus attache une importance fondamentale au respect de la vie privée et à la protection des données personnelles. Nous nous engageons à traiter vos données en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), la loi française "Informatique et Libertés" modifiée, ainsi qu'avec l'ensemble des lois nationales applicables sur les territoires où nous opérons (Côte d'Ivoire, Sénégal, Cameroun, Bénin, Maroc, etc.).

La présente politique s'applique à toutes les données traitées par Nexus via ses sites web, ses applications, ses APIs, ses dashboards et tout autre service fourni sous la marque Nexus.

Responsable du traitement.

Le responsable du traitement de vos données personnelles est Nexus SA, société anonyme au capital de X XAF, immatriculée au RCCM de Douala sous le numéro RC/DLA/XXXX/B/XXXXX, dont le siège social est situé au Cameroun.

Pour toute question relative à la protection de vos données, vous pouvez contacter notre Délégué à la Protection des Données (DPO) à l'adresse dpo@nexus.com.

Données personnelles collectées.

Nexus collecte plusieurs catégories de données personnelles selon votre relation avec nos services :

Données d'identification

Nom, prénom, date et lieu de naissance, genre, nationalité
Pièce d'identité (CNI, passeport, titre de séjour) avec photo
Numéro d'identifiant national (si applicable)
Photographie de vérification "selfie" pour le KYC biométrique
Adresse postale et justificatifs de domicile

Données de contact

Adresse e-mail, numéro de téléphone mobile

Données financières

Numéros de wallet Mobile Money, IBAN, numéro de compte bancaire
Historique des transactions, montants, horodatages, contreparties
Données liées aux cartes de paiement (tokenisées, jamais en clair)

Données professionnelles

Nom de l'entreprise, rôle, secteur d'activité
Documents juridiques de l'entreprise (RCCM, statuts, bénéficiaires effectifs)

Données techniques

Adresse IP, user-agent, type de terminal, OS
Identifiants de session et cookies
Logs de connexion et d'utilisation de l'API
Géolocalisation approximative (pays, ville)

Finalités du traitement.

Nexus traite vos données uniquement pour des finalités déterminées, explicites et légitimes :

Finalité	Catégories de données
Fourniture des services de paiement et exécution des transactions	Identification, financières, techniques
Vérification d'identité (KYC) et lutte anti-blanchiment (AML/CFT)	Identification, contact, professionnelles
Prévention de la fraude et détection des opérations suspectes	Transactions, techniques, comportementales
Respect des obligations règlementaires de reporting	Transactions, identification
Relation client, support technique, réclamations	Contact, historique d'échanges
Amélioration de nos services et analyses statistiques (données anonymisées)	Techniques, comportementales
Communication commerciale (avec votre consentement)	Contact
Recouvrement et gestion du contentieux	Identification, financières

Bases légales.

Chaque traitement de données par Nexus repose sur l'une des bases légales suivantes :

Exécution du contrat (article 6.1.b RGPD) — pour la fourniture des services de paiement souscrits.
Obligation légale (article 6.1.c RGPD) — pour les obligations KYC, AML/CFT, reporting aux régulateurs BEAC, BCEAO, TRACFIN, CENTIF.
Intérêt légitime (article 6.1.f RGPD) — pour la prévention de la fraude, l'amélioration des services, la sécurisation de la plateforme.
Consentement (article 6.1.a RGPD) — pour les communications marketing, les cookies non essentiels, l'utilisation de données biométriques.

Durées de conservation.

Nexus ne conserve vos données que le temps nécessaire aux finalités poursuivies :

Donnée	Durée
Données d'identification et KYC	10 ans après la clôture de la relation (obligation LCB-FT)
Historique des transactions	10 ans après la transaction
Logs techniques	12 mois
Logs d'audit (journaux de sécurité)	10 ans (non-répudiation)
Données de cartes tokenisées	Durée du contrat + 13 mois
Données prospects sans commande	3 ans après le dernier contact
Cookies de mesure d'audience	13 mois

À l'issue de ces durées, les données sont soit supprimées, soit anonymisées de manière irréversible à des fins statistiques.

Destinataires des données.

Vos données peuvent être communiquées, dans le strict respect de leurs finalités, à :

Les services internes autorisés : compliance, finance, support, risque.
Nos sous-traitants et prestataires techniques : hébergement cloud, envoi d'e-mails/SMS, prestataires KYC/screening, outils d'analyse.
Les partenaires bancaires et opérateurs Mobile Money : Orange Money, Wave, MTN, Moov, YAS, Airtel, etc. — strict minimum nécessaire à l'exécution des opérations.
Les autorités de régulation et judiciaires : BEAC, BCEAO, COBAC, TRACFIN, CENTIF, tribunaux, sur réquisition valable.
Les auditeurs externes : commissaires aux comptes, auditeurs certification (ISO, PCI-DSS, SOC 2) — sous engagement de confidentialité.

Nexus ne vend jamais vos données à des tiers. Aucune donnée personnelle n'est transférée à des courtiers en données, data brokers, ou régies publicitaires, à quelque fin que ce soit.

Transferts hors Union Européenne.

Nexus héberge ses données principalement en Afrique (data centers en zone UEMOA/CEMAC) et en Union Européenne (Paris, Dublin). Certains transferts peuvent avoir lieu vers d'autres pays dans le cadre de l'exécution des opérations de paiement transfrontalières.

Ces transferts sont encadrés par les garanties appropriées prévues par le RGPD :

Clauses contractuelles types (SCC) de la Commission européenne pour les transferts hors UE.
Décisions d'adéquation de la Commission européenne (le cas échéant).
Règles d'entreprise contraignantes (BCR) au sein du groupe Nexus.

Vos droits sur vos données.

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accèsObtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.

Droit de rectificationCorriger les données inexactes ou incomplètes vous concernant.

Droit à l'effacementSupprimer vos données dans les cas prévus par le RGPD (hors obligations légales de conservation).

Droit à la limitationRestreindre temporairement le traitement de vos données.

Droit à la portabilitéRecevoir vos données dans un format structuré et lisible par machine.

Droit d'oppositionVous opposer au traitement fondé sur l'intérêt légitime ou au marketing direct.

Décision automatiséeDroit de ne pas faire l'objet d'une décision uniquement automatisée produisant des effets juridiques.

Directives post-mortemDéfinir le sort de vos données après votre décès.

Pour exercer vos droits, adressez votre demande à dpo@nexus.com accompagnée d'un justificatif d'identité. Nous répondons dans un délai maximum d'un mois, éventuellement prolongé de deux mois en cas de demande complexe.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès d'une autorité de contrôle : CNIL en France, ARTCI en Côte d'Ivoire, CDP au Sénégal, APDP au Bénin, CNDP au Maroc, etc.

Cookies et traceurs.

Nexus utilise des cookies et technologies similaires pour assurer le fonctionnement du site, mesurer l'audience et améliorer votre expérience. Vous pouvez à tout moment modifier vos préférences via le bandeau de consentement ou les paramètres de votre navigateur.

Cookies strictement nécessaires

Indispensables au fonctionnement du site (session, sécurité, CSRF). Ne requièrent pas de consentement.

Cookies de mesure d'audience

Nous utilisons un outil analytics respectueux de la vie privée, avec IP anonymisée.

Cookies tiers

Uniquement posés après votre consentement explicite. Vous pouvez les refuser sans impact sur votre navigation.

Sécurité des données.

Nexus met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre la destruction, la perte, la modification, la divulgation ou l'accès non autorisés.

Chiffrement TLS 1.3 en transit, AES-256 au repos
Cloisonnement des environnements (prod / pré-prod / dev)
Authentification multi-facteurs obligatoire pour les accès internes
Tests d'intrusion annuels par cabinets certifiés
Programme de bug bounty permanent
Certifications PCI-DSS Level 1, ISO 27001, SOC 2 Type II

En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous notifierons l'autorité de contrôle dans les 72 heures et, le cas échéant, les personnes concernées.

Traitement des données des mineurs.

Les services Nexus sont réservés aux personnes majeures (18 ans et plus) ou aux mineurs émancipés. Nous ne collectons pas sciemment de données relatives à des mineurs sans l'autorisation préalable d'un titulaire de l'autorité parentale.

Modifications de la politique.

Nexus peut modifier la présente politique pour refléter l'évolution de ses services, de la règlementation ou des bonnes pratiques. Toute modification substantielle vous sera notifiée par e-mail et/ou via votre dashboard au moins 30 jours avant son entrée en vigueur.

Contact du Délégué à la Protection des Données.

Pour toute question relative au traitement de vos données personnelles :

Data Protection Officer — Nexus
E-mail : dpo@nexus.com
Adresse postale : DPO — Nexus SA, BP XXXX, Douala, Cameroun

Politique de protection des données personnelles.

Préambule.

Responsable du traitement.

Données personnelles collectées.

Données d'identification

Données de contact

Données financières

Données professionnelles

Données techniques

Finalités du traitement.

Bases légales.

Durées de conservation.

Destinataires des données.

Transferts hors Union Européenne.

Vos droits sur vos données.

Cookies et traceurs.

Cookies strictement nécessaires

Cookies de mesure d'audience

Cookies tiers

Sécurité des données.

Traitement des données des mineurs.

Modifications de la politique.

Contact du Délégué à la Protection des Données.