Politique de confidentialité

VAXAFI SAS, agréée PSFP (AMF) et CIP (AMF-UMOA / CREPMF), agit en qualité de responsable du traitement au sens du règlement (UE) 2016/679 (RGPD), de la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée) et du règlement portant protection des données à caractère personnel de l'UEMOA.

Délégué à la Protection des Données (DPO) : dpo@vaxafi.com.

Vos données sont traitées pour les finalités suivantes, sur les bases légales correspondantes (RGPD art. 6) :

• Exécution contractuelle : gestion du compte investisseur, souscriptions, paiements, suivi de portefeuille.
• Obligations légales : LCB-FT (Code monétaire et financier L.561-5, directive (UE) 2015/849), conservation comptable.
• Obligations fiscales : déclarations IRVM, IFU, FATCA / CRS le cas échéant.
• Intérêt légitime : lutte contre la fraude, sécurité de la Plateforme, amélioration du service.
• Consentement : communications marketing, cookies analytiques non strictement nécessaires.

Catégories de données traitées :

• Identité : nom, prénom, date et lieu de naissance, nationalité.
• Coordonnées : email, téléphone, adresse postale.
• KYC : pièce d'identité, justificatif de domicile, selfie de vérification.
• Bancaires : IBAN / RIB, identifiants Mobile Money.
• Connexion : adresse IP, user-agent, journal des sessions.
• Transactionnelles : historique des souscriptions, coupons, retraits.

Les données sont conservées pour la durée strictement nécessaire à la finalité poursuivie, dans le respect des obligations légales :

Vos données peuvent être communiquées à :

• Le personnel VAXAFI habilité (commercial, support, conformité, compliance).
• Les prestataires techniques agissant en sous-traitants RGPD : signature eIDAS (Yousign), SMS / OTP, analytics anonymisé, hébergement (Scaleway, Paris & Amsterdam).
• Les banques dépositaires : BICICI (UEMOA) et Société Générale (UE).
• Les autorités compétentes sur demande légale : AMF, AMF-UMOA, TRACFIN, CENTIF, administration fiscale.

Aucun transfert de données hors UE / UEMOA n'est effectué sans garanties appropriées (clauses contractuelles types, décision d'adéquation).

Conformément au RGPD, vous disposez des droits suivants :

• Accès à vos données (art. 15).
• Rectification en cas d'inexactitude (art. 16).
• Effacement dans les limites de nos obligations légales (art. 17).
• Limitation du traitement (art. 18).
• Portabilité des données fournies (art. 20).
• Opposition au traitement, notamment marketing (art. 21).
• Directives post-mortem sur le sort de vos données.

Pour exercer vos droits : écrivez à dpo@vaxafi.com. Réponse sous 30 jours maximum. En cas de désaccord, vous pouvez saisir la CNIL (France) ou l'ARTCI (Côte d'Ivoire).

Mesures techniques et organisationnelles mises en œuvre :

• Chiffrement AES-256-GCM des données sensibles (email, téléphone, KYC) en base.
• Chiffrement TLS 1.3 en transit, HSTS strict.
• Authentification multi-facteurs (TOTP / SMS OTP), gestion de sessions révocables.
• Journalisation complète des accès et opérations sensibles (audit-log immuable).
• Hébergement Scaleway certifié ISO 27001 et HDS.
• Tests d'intrusion annuels et procédure de gestion d'incidents (notification CNIL sous 72 heures).

La Plateforme utilise trois catégories de cookies :

• Strictement nécessaires : session, authentification, sécurité (CSRF, anti-bot). Pas de consentement requis.
• Mesure d'audience anonymisée : statistiques agrégées sans suivi individuel (exempté de consentement selon les lignes directrices CNIL).
• Analytiques optionnels : déposés uniquement après votre consentement explicite via la bannière cookies, retirable à tout moment depuis les paramètres.

VAXAFI peut faire évoluer la présente politique pour s'adapter aux évolutions réglementaires, techniques ou opérationnelles. Toute modification substantielle est notifiée par email aux utilisateurs actifs au moins 30 jours avant son entrée en vigueur.