On this page

Protection des données & Confidentialité

Ce document décrit comment Tajo traite les données personnelles des clients des marchands, des clients potentiels et des visiteurs des sites marchands. Notre engagement envers la protection des données garantit la conformité avec le RGPD, le CCPA et d’autres réglementations mondiales sur la confidentialité.

Finalité & Minimisation des données

Traitez-vous le minimum de données personnelles nécessaires pour apporter de la valeur aux marchands ?

Oui. Tajo traite uniquement les données personnelles essentielles nécessaires pour :

  • Synchroniser les informations client avec Brevo pour l’automatisation du marketing
  • Activer la fonctionnalité du programme de fidélité
  • Suivre les commandes et l’engagement des clients
  • Fournir des capacités de communication multicanal

Les données personnelles comprennent les informations permettant d’identifier une personne unique (nom, adresse email) ou pouvant être reliées à une personne unique (total de commande, ID client).

Informez-vous les marchands des données personnelles que vous traitez et de vos finalités de traitement ?

Oui. Nous assurons une transparence complète via :

  • Notre Accord de traitement des données (DPA) qui définit clairement toutes les catégories de données traitées
  • La documentation précisant exactement quelles données sont synchronisées avec Brevo
  • Une documentation API claire montrant tous les champs de données transmis
  • Une visibilité en temps réel sur les activités de synchronisation des données

Limitez-vous votre utilisation des données personnelles à cette finalité ?

Oui. Tajo utilise strictement les données personnelles uniquement pour :

  • Fournir les services de base de la plateforme tels que décrits dans nos Conditions d’utilisation
  • Synchroniser les données clients avec Brevo pour l’automatisation du marketing
  • Opérer les programmes de fidélité et les fonctionnalités d’engagement client
  • Générer des analyses et des insights pour les marchands

Nous n’utilisons pas les données clients à des fins autres que celles explicitement déclarées et convenues.

Consentement & Base légale

Avez-vous des accords de confidentialité et de protection des données avec vos marchands ?

Oui. Chaque marchand doit accepter nos :

  • Conditions d’utilisation, Régissant l’utilisation de la plateforme Tajo
  • Accord de traitement des données (DPA), Définissant notre rôle de sous-traitant
  • Politique de confidentialité, Décrivant nos pratiques de traitement des données

Ces accords établissent :

  • Tajo agit en tant que Sous-traitant des données clients des marchands
  • Les marchands agissent en tant que Responsables du traitement et sont chargés d’obtenir le consentement approprié
  • Des obligations claires pour les deux parties concernant la protection des données

Respectez-vous et appliquez-vous les décisions de consentement des clients ?

Oui. Tajo respecte le consentement des clients via :

  • Le traitement automatique des demandes de désinscription de Brevo
  • La synchronisation en temps réel des préférences de consentement
  • La suppression des communications aux clients qui ont refusé
  • Le respect des préférences des clients sur tous les canaux (email, SMS, WhatsApp)

Lorsqu’un client se désinscrit ou retire son consentement, Tajo :

  1. Synchronise immédiatement la préférence avec Brevo
  2. Empêche les futures communications marketing
  3. Conserve des journaux d’audit des changements de consentement

Respectez-vous et appliquez-vous les décisions des clients de refuser la vente de leurs données ?

Oui. Tajo ne vend pas les données clients en aucune circonstance. Nous :

  • Ne partageons jamais les données personnelles avec des tiers à des fins commerciales
  • Ne transmettons les données à Brevo que dans le cadre des fonctionnalités de base de la plateforme
  • Respectons les exigences CCPA “Ne pas vendre mes informations personnelles”
  • Maintenons des divulgations claires qu’aucune vente de données ne se produit

Si vous utilisez des données personnelles pour la prise de décision automatisée avec des effets juridiques ou significatifs, les clients peuvent-ils refuser ?

Non applicable. Tajo n’effectue pas de prise de décision automatisée ayant des effets juridiques ou significatifs sur les individus. La plateforme fournit :

  • L’automatisation du marketing (que les clients peuvent refuser entièrement)
  • La gestion du programme de fidélité (que les marchands contrôlent)
  • La segmentation des clients (à usage exclusif des marchands)

Aucune de ces activités ne constitue une prise de décision automatisée avec des effets juridiques ou significatifs au sens de l’article 22 du RGPD.

Stockage & Sécurité

Avez-vous des périodes de conservation pour vous assurer que les données personnelles ne sont pas conservées plus longtemps que nécessaire ?

Oui. Tajo met en œuvre des politiques claires de conservation des données :

Données clients actives :

  • Conservées pendant la durée d’activité du compte marchand
  • Utilisées pour la synchronisation continue et les fonctionnalités de la plateforme
  • Les marchands peuvent supprimer les données clients à tout moment via l’interface Tajo

Résiliation du compte :

  • Toutes les données clients sont supprimées dans les 90 jours suivant la résiliation du compte
  • Les marchands peuvent demander la suppression immédiate des données lors de la résiliation
  • Les données de sauvegarde sont purgées selon notre calendrier de conservation des sauvegardes (30 jours)

Conservation légale :

  • Les enregistrements de transactions peuvent être conservés plus longtemps lorsque la loi l’exige (ex. : registres fiscaux)
  • Données minimales conservées uniquement à des fins de conformité légale

Les marchands sont responsables de :

  • Gérer les périodes de conservation pour leurs propres activités de traitement des données
  • Supprimer les données clients lorsqu’elles ne sont plus nécessaires
  • Se conformer aux lois applicables de protection des données dans leur juridiction

Chiffrez-vous les données au repos et en transit ?

Oui. Tajo emploie un chiffrement aux normes de l’industrie :

En transit :

  • TLS 1.3 pour toutes les transmissions de données
  • HTTPS imposé pour tout le trafic web
  • Connexions API chiffrées vers Brevo
  • Certificate pinning pour les applications mobiles

Au repos :

  • Chiffrement AES-256 pour le stockage en base de données
  • Sauvegardes chiffrées
  • Stockage de fichiers chiffré pour tout document téléchargé
  • Chiffrement au niveau de la base de données pour les champs sensibles (ex. : clés API)

Chiffrez-vous vos sauvegardes de données ?

Oui. Toutes les données de sauvegarde sont chiffrées :

  • Sauvegardes quotidiennes automatisées chiffrées avec AES-256
  • Fichiers de sauvegarde stockés avec chiffrement au repos
  • Gestion sécurisée des clés pour les clés de chiffrement des sauvegardes
  • Tests réguliers de restauration des sauvegardes pour vérifier l’intégrité

Séparez-vous les données de test et de production ?

Oui. Tajo maintient une séparation stricte :

  • Environnements de production et de développement/test complètement séparés
  • Aucune donnée de production utilisée dans les environnements de test
  • Données de test anonymisées et synthétiques
  • Bases de données, serveurs et contrôles d’accès distincts
  • Clés API et identifiants différents pour chaque environnement

Avez-vous une stratégie de prévention des pertes de données ?

Oui. Tajo met en œuvre une prévention complète des pertes de données :

Mesures préventives :

  • Sauvegardes automatisées toutes les 24 heures
  • Réplication de base de données en temps réel
  • Stockage redondant sur plusieurs zones de disponibilité
  • Contrôle de version et suivi des modifications

Détection :

  • Surveillance automatisée de l’intégrité des données
  • Détection des anomalies pour les modèles d’accès inhabituels aux données
  • Audits de sécurité réguliers et tests de pénétration
  • Alertes automatiques pour les violations potentielles de données

Récupération :

  • Capacités de récupération à un point dans le temps
  • Procédures de reprise après sinistre documentées
  • Exercices réguliers de reprise après sinistre
  • RTO (Objectif de temps de récupération) : 4 heures
  • RPO (Objectif de point de récupération) : 24 heures

Contrôle d’accès

Limitez-vous l’accès du personnel aux données personnelles des clients ?

Oui. L’accès aux données clients est strictement contrôlé :

Principes d’accès :

  • Principe du moindre privilège
  • Contrôle d’accès basé sur les rôles (RBAC)
  • Accès en fonction du besoin uniquement
  • Révisions d’accès régulières (trimestrielles)

Niveaux d’accès :

  • Aucun accès : La plupart du personnel n’a pas accès aux données clients en production
  • Lecture seule : Le personnel de support a un accès en lecture limité et audité pour le dépannage
  • Administratif : Les administrateurs de base de données ont un accès élevé, fortement journalisé
  • Urgence : Procédures de break-glass pour les incidents critiques uniquement

Contrôles :

  • Authentification multi-facteurs (MFA) requise pour tout le personnel
  • VPN requis pour l’accès à distance
  • Liste blanche d’IP pour l’accès administratif
  • Délais d’expiration de session et verrouillages automatiques

Avez-vous des exigences strictes de mot de passe pour les mots de passe du personnel ?

Oui. Tajo applique des politiques de mot de passe de niveau entreprise :

Exigences :

  • Minimum 16 caractères
  • Doit inclure majuscules, minuscules, chiffres et caractères spéciaux
  • Ne peut pas réutiliser les 12 derniers mots de passe
  • Expiration du mot de passe tous les 90 jours
  • Verrouillage du compte après 5 tentatives échouées

Sécurité renforcée :

  • Authentification multi-facteurs (MFA) obligatoire pour tout le personnel
  • Intégration Single Sign-On (SSO) avec le fournisseur d’identité d’entreprise
  • Authentification biométrique prise en charge
  • Gestionnaire de mots de passe requis pour tous les employés
  • Formation régulière à la sensibilisation à la sécurité

Journalisez-vous l’accès aux données personnelles ?

Oui. Une journalisation d’audit complète est maintenue :

Activités journalisées :

  • Toutes les requêtes de base de données accédant aux données clients
  • Appels API à Brevo avec des informations client
  • Accès administratif aux systèmes de production
  • Exportations de données et opérations en masse
  • Changements de configuration
  • Tentatives d’authentification échouées

Les détails du journal incluent :

  • Horodatage de l’accès
  • Identité de l’utilisateur
  • Adresse IP et localisation
  • Action effectuée
  • Données accédées (IDs d’enregistrement)
  • Statut de succès ou d’échec

Gestion des journaux :

  • Journaux conservés pendant 1 an minimum
  • Stockage de journaux chiffré
  • Système de journalisation inviolable
  • Révisions régulières des journaux
  • Intégration SIEM pour la surveillance en temps réel
  • Alertes automatiques pour les activités suspectes

Avez-vous une politique de réponse aux incidents de sécurité ?

Oui. Tajo maintient un Plan de réponse aux incidents de sécurité complet :

Détection & Évaluation :

  • Surveillance de la sécurité 24h/24, 7j/7
  • Détection automatisée des menaces
  • Classification de la gravité des incidents
  • Évaluation initiale dans l’heure

Équipe de réponse :

  • Équipe dédiée de réponse aux incidents de sécurité
  • Procédures d’escalade claires
  • Rôles et responsabilités définis
  • Experts en sécurité externes sous contrat

Procédures de réponse :

  1. Confinement : Isolation immédiate des systèmes affectés
  2. Investigation : Analyse forensique pour déterminer la portée et la cause
  3. Éradication : Supprimer la menace et fermer les vulnérabilités
  4. Récupération : Restaurer les systèmes et vérifier la sécurité
  5. Notification : Notifier les parties concernées selon la loi
  6. Revue post-incident : Documenter les leçons apprises et améliorer les processus

Calendrier de notification :

  • Marchands notifiés dans les 72 heures suivant une violation de données confirmée
  • Autorités réglementaires notifiées selon la loi applicable (ex. : exigence RGPD de 72 heures)
  • Personnes concernées notifiées en cas de risque élevé pour leurs droits

Documentation :

  • Tous les incidents documentés en détail
  • Rapports annuels d’incidents de sécurité
  • Formation régulière et exercices de simulation
  • Amélioration continue des procédures de réponse

Accord de traitement des données (DPA)

Tajo opère sous un Accord de traitement des données complet qui respecte les exigences de l’article 28 du RGPD. Les éléments clés comprennent :

Rôles & Responsabilités

  • Tajo agit en tant que Sous-traitant des données clients des marchands
  • Les marchands agissent en tant que Responsables du traitement et sont responsables de :
    • Obtenir le consentement approprié des clients
    • Fournir des avis de confidentialité
    • Traiter les demandes de droits des personnes concernées
    • Déterminer les finalités et les moyens de traitement

Détails du traitement

Finalité : Fourniture des services de la plateforme Tajo, comprenant :

  • Synchronisation des données clients avec Brevo
  • Gestion du programme de fidélité
  • Automatisation du marketing multicanal
  • Analyses et reporting

Catégories de données :

  • Informations de contact (nom, email, téléphone)
  • Historique des commandes et données de transaction
  • Préférences clients et statut de consentement
  • Données comportementales (clics, ouvertures, engagement)
  • Données du programme de fidélité (points, niveaux, récompenses)

Personnes concernées :

  • Clients des marchands
  • Visiteurs du site web
  • Abonnés à la newsletter
  • Membres du programme de fidélité

Sous-traitants

Tajo fait appel aux sous-traitants suivants :

Sous-traitantServiceLocalisationGaranties
BrevoPlateforme email/SMS/WhatsAppFrance (UE)Conforme RGPD, Clauses contractuelles types
AWSInfrastructure cloudRégions UEConforme RGPD, Cadre EU-US de confidentialité des données
CloudflareCDN et sécuritéMondialClauses contractuelles types, Localisation des données

Avis de modification :

  • Marchands notifiés 30 jours avant l’engagement de nouveaux sous-traitants
  • Droit de s’opposer aux nouveaux sous-traitants
  • Solutions alternatives ou droits de résiliation si l’objection est justifiée

Droits des personnes concernées

Tajo aide les marchands à exercer les droits des personnes concernées :

Droits pris en charge :

  • Droit d’accès
  • Droit de rectification
  • Droit à l’effacement (“droit à l’oubli”)
  • Droit à la portabilité des données
  • Droit d’opposition
  • Droit à la limitation du traitement

Traitement des demandes :

  • Les marchands peuvent exporter les données clients à tout moment
  • Suppression des données clients disponible via l’interface Tajo
  • Points de terminaison API pour la gestion automatisée des données
  • Réponse aux demandes des personnes concernées dans les 5 jours ouvrables

Mesures de sécurité

Voir les mesures de sécurité complètes à l’Annexe 4 de notre DPA, comprenant :

  • Contrôles d’accès physiques et logiques
  • Chiffrement au repos et en transit
  • Surveillance de la sécurité et réponse aux incidents
  • Audits de sécurité réguliers et tests de pénétration
  • Formation du personnel et vérifications des antécédents

Transferts internationaux de données

Protection des données UE :

  • Stockage principal des données dans l’UE (Belgique, France)
  • Clauses contractuelles types pour tout transfert hors UE
  • Mesures supplémentaires incluant le chiffrement et les contrôles d’accès
  • Certification du Cadre EU-US de confidentialité des données le cas échéant

Conformité CCPA :

  • Relation de Fournisseur de services clairement définie
  • Aucune vente ou partage d’informations personnelles
  • Conformité aux droits de confidentialité de la Californie
  • Accord de traitement des données signé

Droits d’audit

Les marchands ont le droit de :

  • Demander la documentation de la conformité de Tajo
  • Examiner les certifications de sécurité et les rapports d’audit
  • Conduire des audits (avec préavis raisonnable, maximum une fois par an)
  • Recevoir la documentation de sécurité incluant les rapports SOC 2

Conformité réglementaire

RGPD (Règlement général sur la protection des données)

Statut de conformité : Entièrement conforme

Caractéristiques clés :

  • Base légale valide pour toutes les activités de traitement
  • Accord de traitement des données avec tous les marchands
  • Évaluations d’impact sur la protection des données (DPIA) réalisées
  • Délégué à la protection des données nommé : [email protected]
  • Procédures de notification des violations (72 heures)
  • Registres des activités de traitement maintenus
  • Principes de protection des données dès la conception et par défaut

CCPA (California Consumer Privacy Act)

Statut de conformité : Entièrement conforme

Caractéristiques clés :

  • Relation de Fournisseur de services (ne vend pas les données)
  • Droits des consommateurs pris en charge (accès, suppression, refus)
  • Divulgations de la politique de confidentialité
  • “Ne pas vendre mes informations personnelles” respecté
  • Formation annuelle à la protection des données pour le personnel
  • Obligations contractuelles avec les marchands

Directive NIS 2

Applicabilité : Conforme le cas échéant

Mesures de cybersécurité :

  • Cadre de gestion des risques mis en œuvre
  • Signalement des incidents de sécurité aux CSIRT
  • Exigences de sécurité de la chaîne d’approvisionnement
  • Évaluations de sécurité régulières
  • Plans de continuité d’activité et de reprise après sinistre

DORA (Digital Operational Resilience Act)

Applicabilité : Prêt pour les institutions financières utilisant Tajo

Caractéristiques de conformité :

  • Cadre de gestion des risques TIC
  • Procédures de signalement des incidents
  • Tests de résilience opérationnelle numérique
  • Gestion des risques tiers
  • Accès réglementaire et droits d’audit

Note : Les dispositions DORA s’appliquent uniquement aux institutions financières réglementées. Si vous êtes une institution financière soumise à DORA, contactez notre équipe enterprise pour la documentation de conformité spécifique.

Contact & Support

Délégué à la protection des données

Email : [email protected] Rôle : Supervise toute la conformité en matière de protection des données

Équipe de sécurité

Email : [email protected] Rôle : Gère les incidents de sécurité et les demandes

Support marchand

Email : [email protected] Site web : https://tajo.io/support Rôle : Support général de la plateforme et assistance

Signaler une vulnérabilité de sécurité

Email : [email protected] Clé PGP : Disponible sur https://tajo.io/security.txt

Nous encourageons la divulgation responsable des vulnérabilités de sécurité et maintenons un programme de bug bounty pour les rapports éligibles.

Ressources supplémentaires

Version du document

Version : 1.0 Dernière mise à jour : Janvier 2025 Prochaine révision : Juillet 2025

Ce document est révisé et mis à jour régulièrement pour assurer la conformité continue avec l’évolution des réglementations de protection des données et les meilleures pratiques du secteur.

Subscribe to updates

developer-docs

Drop your email or phone number — we'll send you what matters next.

auto-detect
Assistant AI

Bonjour ! Posez-moi vos questions sur la documentation.