oon.click
Politique de Confidentialité Version 1.0 — 3 avril 2026

Politique de Confidentialité

Version 1.0 3 avril 2026 République de Côte d'Ivoire
Délégué à la Protection des Données (DPO) : [email protected]
Préambule

La société OON CLICK, éditrice de la plateforme oon.click, s'engage à protéger la vie privée et les données à caractère personnel de ses Utilisateurs conformément à la législation ivoirienne en vigueur.

La présente Politique est établie conformément aux dispositions de :

  • Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel ;
  • Loi n°2013-451 du 19 juin 2013 relative à la lutte contre la cybercriminalité (modifiée par la Loi n°2023-593) ;
  • Loi n°2013-546 du 30 juillet 2013 relative aux transactions électroniques ;
  • Loi n°2016-412 du 15 juin 2016 relative à la consommation ;
  • Loi n°2020-522 du 16 juin 2020 portant régime juridique de la communication publicitaire ;
  • Loi n°2024-352 du 6 juin 2024 relative aux communications électroniques ;
  • Le Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne, appliqué à titre de référence de bonnes pratiques internationales.

L'ARTCI (Autorité de Régulation des Télécommunications/TIC de Côte d'Ivoire) est l'autorité compétente en matière de protection des données à caractère personnel.

Article 1 Responsable du traitement

Le responsable du traitement des données à caractère personnel est :

OON CLICK
Forme juridique : Société de droit ivoirien
Siège social : Abidjan, Côte d'Ivoire
E-mail DPO : [email protected]
Site web : https://oon.click

L'Éditeur a désigné un Délégué à la Protection des Données (DPO) joignable à l'adresse [email protected], conformément à la Loi n°2013-450.

Article 2 Données collectées

2.1 Données fournies directement par l'Utilisateur

Catégorie Données concernées Caractère
Identité Nom, prénom, date de naissance, genre Obligatoire
Contact Numéro de téléphone, adresse e-mail Obligatoire
Localisation Ville, commune, quartier, pays Obligatoire
Socio-professionnel Éducation, profession, fonction, tranche salariale Obligatoire
Santé Groupe sanguin Facultatif (avec consentement spécifique)
Préférences Centres d'intérêt (15 catégories) Obligatoire
Entreprise (Annonceur) Raison sociale, secteur, RCCM, NIF, site web, adresse, taille, budget mensuel Obligatoire pour Annonceurs
Vérification KYC Pièce d'identité (CNI, passeport), selfie, justificatif de domicile, registre de commerce Obligatoire selon le niveau KYC
Parrainage Code de parrainage, référent Facultatif

2.2 Données collectées automatiquement

Catégorie Données concernées Finalité
Appareil Empreinte numérique (device fingerprint), modèle, système d'exploitation, version de l'application Sécurité et anti-fraude
Connexion Adresse IP, user agent, date et heure de connexion Sécurité et audit
Comportement Historique de visionnage, durée de visionnage, taux de complétion, interactions Ciblage et amélioration du service
Engagement Niveaux, badges, streaks, scores de confiance (OON Trust Score) Gamification et lutte anti-fraude
Financier Solde du portefeuille, historique des transactions, demandes de retrait Gestion financière
Géolocalisation Coordonnées GPS (si autorisé) Ciblage géographique (avec consentement)
Token FCM Token Firebase Cloud Messaging, type d'appareil Notifications push
Signaux d'attention C7 Score d'attention (0-100), nombre de pertes de focus pendant la lecture, état audio (audible/coupé), réponses aux confirmations « Touchez pour continuer », réponses aux mini-quiz post-vue.
Aucune donnée biométrique (pas d'accès caméra ni micro)		 Détection anti-fraude automatique des vues frauduleuses (bots, multi-comptes, click-farms). Consentement C7 — voir Article 5.

2.3 Données sensibles

Au sens de la Loi n°2013-450, certaines données collectées sont qualifiées de « sensibles », notamment le groupe sanguin et les données de santé. La collecte de ces données est facultative et ne peut être effectuée qu'avec le consentement explicite et spécifique de l'Utilisateur, recueilli par un mécanisme distinct (case à cocher séparée, non pré-cochée).

L'Utilisateur peut retirer son consentement à tout moment pour ces données sensibles sans affecter son accès aux fonctionnalités principales de la Plateforme.

Article 3 Finalités du traitement

Les données à caractère personnel sont traitées pour les finalités suivantes :

Finalité Base légale Durée de conservation
Création et gestion des comptes Utilisateurs Exécution du contrat (CGU) Durée de la relation contractuelle + 5 ans
Fourniture du service de publicité rémunérée Exécution du contrat Durée de la relation contractuelle
Ciblage publicitaire (démographique, géographique, par centres d'intérêt) Consentement explicite de l'Utilisateur Durée du consentement
Mise à disposition de données agrégées aux Annonceurs Consentement explicite (monétisation) Durée du consentement
Vérification d'identité (KYC) Obligation légale (réglementation BCEAO) 5 ans après la clôture du compte
Lutte contre la fraude et scoring de confiance Intérêt légitime de l'Éditeur 3 ans après le dernier événement
Gestion des paiements et retraits Obligation légale et exécution du contrat 10 ans (obligations comptables)
Amélioration du service et analyses statistiques Intérêt légitime (données anonymisées) Indéfini (après anonymisation)
Envoi de notifications (push, e-mail, SMS) Consentement Durée du consentement
Modération des contenus publicitaires Obligation légale (Loi n°2020-522) 1 an après fin de la campagne
Audit et traçabilité (journal d'audit immuable) Intérêt légitime et obligation légale 5 ans minimum

Article 4 Partage et destinataires des données

4.1 Données partagées avec les Annonceurs

Les Annonceurs accèdent aux données suivantes dans le cadre de leurs campagnes publicitaires :

  • Données agrégées et anonymisées : statistiques démographiques, statistiques d'engagement, données de performance de campagne ;
  • Estimation de portée (reach) : calculée en temps réel sur la base des critères de ciblage, sans identification individuelle ;
  • Rapports de campagne : incluant des ventilations démographiques et géographiques agrégées.
EN AUCUN CAS les données nominatives, les coordonnées personnelles (téléphone, e-mail) ou les pièces d'identité des Abonnés ne sont transmises directement aux Annonceurs, sauf consentement explicite et spécifique de l'Abonné via le mécanisme de « Consentement de Monétisation Avancée ».

4.2 Sous-traitants et prestataires techniques

Sous-traitant Service fourni Données concernées Localisation
Paystack Paiements (Mobile Money, VISA) Données financières Nigeria/International
Firebase (Google) Authentification, notifications push Téléphone, tokens FCM International
AWS (Amazon) Stockage média (S3), modération IA (Rekognition) Médias, contenus publicitaires International
Cloudflare Sécurité (WAF, DDoS), stockage (R2) Données de connexion, fichiers KYC International
SendGrid E-mails transactionnels Adresse e-mail International
Twilio SMS (OTP, notifications) Numéro de téléphone International
Sentry Suivi d'erreurs Données techniques anonymisées International
Google Cloud Platform Hébergement infrastructure Toutes données International

Conformément à la Loi n°2013-450, le transfert de données vers des pays tiers est encadré par des clauses contractuelles types et des garanties de sécurité adéquates. L'Utilisateur est informé et consent expressément à ces transferts lors de l'acceptation des présentes.

4.3 Autorités compétentes

L'Éditeur peut être amené à communiquer des données aux autorités judiciaires, administratives ou réglementaires compétentes (ARTCI, ACP, autorités judiciaires) sur réquisition légale ou dans le cadre de la lutte contre la fraude et la cybercriminalité.

Article 5 Consentement et monétisation des données

5.1 Principe de la rémunération liée aux données

La Plateforme repose sur un modèle économique dans lequel les Abonnés mettent à disposition certaines de leurs données de profil pour permettre un ciblage publicitaire pertinent, en contrepartie d'une rémunération en FCFA pour chaque contenu publicitaire consommé. Ce modèle est conforme à la Loi n°2013-450 dès lors que le consentement est libre, spécifique, éclairé et univoque.

5.2 Niveaux de consentement

Type de consentement Données concernées Moment de la collecte Révocable
Consentement de base (CGU) Données de profil obligatoires, utilisation du service Inscription Oui (entraîne la clôture du compte)
Consentement au ciblage publicitaire Données démographiques, localisation, intérêts pour ciblage Inscription (case séparée) Oui (réduit la pertinence des pubs)
Consentement à la géolocalisation (C8) Position GPS approximative (~100 m), capturée uniquement à l'ouverture de l'application (jamais en arrière-plan). Durée de conservation : tant que le consentement est actif. Suppression auto après 30 j d'inactivité. Première utilisation, opt-in explicite avec bonus 50 FCFA Oui — Profil → Localisation → désactiver, avec effacement immédiat côté serveur
Consentement aux données sensibles Groupe sanguin, données de santé Profil (case spécifique) Oui
Consentement aux notifications Token FCM, préférences de communication Après inscription Oui
Consentement de monétisation avancée Données nominatives partagées individuellement avec Annonceurs Sur demande, avant partage Oui
Consentement au transfert international Toutes données traitées par des sous-traitants internationaux Inscription Oui (entraîne la clôture)

5.3 Valeur probante du consentement

Conformément à la Loi n°2013-546, chaque acte de consentement est :

  • Horodaté avec précision (date, heure, minute, seconde) ;
  • Associé à l'identifiant unique de l'Utilisateur ;
  • Enregistré avec l'adresse IP et l'identifiant de l'appareil ;
  • Archivé dans le journal d'audit immuable de la Plateforme ;
  • Lié à la version exacte du texte juridique accepté.
Ces éléments constituent une preuve électronique recevable devant les juridictions ivoiriennes. L'Éditeur conserve l'intégralité de ces preuves pendant une durée minimale de dix (10) ans.

Article 6 Sécurité des données

L'Éditeur met en oeuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement en transit : TLS 1.3 obligatoire sur toutes les communications, HSTS preload, épinglage de certificat (certificate pinning) sur l'application mobile ;
  • Chiffrement au repos : AES-256 pour les documents KYC et les données sensibles ;
  • Authentification : JWT RS256 avec durée limitée (15 minutes), tokens de rafraîchissement rotatifs (7 jours), liste noire en cache Redis ;
  • Contrôle d'accès : RBAC (Role-Based Access Control) avec vérification du propriétaire sur chaque ressource ;
  • Infrastructure : VPC privé, pare-feu applicatif Cloudflare (WAF), protection anti-DDoS, limitation de débit (rate limiting) ;
  • Stockage sécurisé : Google Secret Manager pour les secrets d'application, Cloudflare R2 pour les fichiers KYC avec accès restreint ;
  • Journalisation : Logs d'audit immuables enregistrant toute action administrative ;
  • Sauvegarde : Sauvegardes chiffrées quotidiennes avec rétention de 30 jours et plan de reprise d'activité (PRA).
En cas de violation de données personnelles, l'Éditeur s'engage à notifier l'ARTCI dans les 72 heures suivant la découverte de l'incident, et à informer les Utilisateurs concernés dans les meilleurs délais, conformément aux dispositions de la Loi n°2013-450.

Article 7 Droits des Utilisateurs

Conformément à la Loi n°2013-450, l'Utilisateur dispose des droits suivants :

Droit Description Modalité d'exercice
Droit d'accès Obtenir la confirmation du traitement de ses données et en obtenir copie Demande à [email protected] ou via l'application
Droit de rectification Faire corriger des données inexactes ou incomplètes Modification directe dans le profil ou demande au DPO
Droit de suppression Demander l'effacement de ses données personnelles Demande à [email protected] (sous réserve des obligations légales)
Droit d'opposition S'opposer au traitement de ses données pour des motifs légitimes Demande à [email protected]
Droit à la limitation Demander la limitation du traitement dans certains cas Demande à [email protected]
Droit à la portabilité Recevoir ses données dans un format structuré et lisible par machine Demande à [email protected] (format JSON)
Droit de retrait du consentement Retirer son consentement à tout moment sans effet rétroactif Centre de préférences dans l'application ou demande au DPO
Droit de réclamation Saisir l'ARTCI en cas de violation Saisine de l'ARTCI (www.artci.ci)

L'Éditeur s'engage à répondre à toute demande relative à l'exercice de ces droits dans un délai maximum de trente (30) jours à compter de la réception de la demande.

Article 8 Cookies et technologies similaires

L'application mobile oon.click utilise des technologies de stockage local (cache local, Hive, SecureStorage) pour :

  • Maintenir la session de l'Utilisateur connecté ;
  • Stocker les préférences de l'Utilisateur (mode hors ligne, préférences de notification) ;
  • Permettre le fonctionnement du mode hors ligne (cache de contenus publicitaires) ;
  • Améliorer la performance et réduire la consommation de données mobiles.

Le site web associé peut utiliser des cookies. L'Utilisateur sera invité à donner son consentement via un bandeau de cookies lors de sa première visite.

Article 9 Conservation des données

Les durées de conservation des données sont déterminées en fonction de la finalité du traitement et des obligations légales applicables (cf. Article 3). À l'expiration de ces délais, les données sont :

  • Supprimées de manière irréversible ; ou
  • Anonymisées de manière irréversible pour être utilisées à des fins statistiques uniquement.

Les documents KYC sont conservés pendant cinq (5) ans après la clôture du compte, conformément aux obligations réglementaires de la BCEAO en matière de lutte contre le blanchiment de capitaux.

Les journaux d'audit sont conservés pendant cinq (5) ans minimum et sont immuables (aucune modification ni suppression possible).

Article 10 Protection des mineurs

La Plateforme est réservée aux personnes âgées d'au moins dix-huit (18) ans. L'Éditeur ne collecte pas sciemment de données relatives à des mineurs. Si l'Éditeur découvre qu'un mineur a créé un compte, celui-ci sera immédiatement suspendu et les données associées seront supprimées.

Tout représentant légal souhaitant signaler la présence d'un mineur sur la Plateforme peut contacter le DPO à l'adresse [email protected].

Article 11 Modification de la Politique de Confidentialité

L'Éditeur se réserve le droit de modifier la présente Politique à tout moment. Toute modification substantielle sera notifiée aux Utilisateurs par notification push, e-mail ou affichage dans l'application, au moins quinze (15) jours avant son entrée en vigueur.

En cas de modification affectant les finalités du traitement ou les catégories de données traitées, un nouveau consentement explicite sera demandé à l'Utilisateur.

Article 12 Déclaration auprès de l'ARTCI

Conformément à la Loi n°2013-450, l'Éditeur s'engage à effectuer les déclarations nécessaires auprès de l'ARTCI pour le traitement des données à caractère personnel, et à se conformer à toute demande ou recommandation de ladite autorité.

Le numéro de déclaration sera communiqué dès obtention et intégré dans la présente Politique.

Article 13 Contact

Pour toute question relative à la présente Politique de Confidentialité ou pour exercer vos droits :