Politique de confidentialité

Responsable de traitement : Washed, entité commerciale en cours de constitution à Lomé, Togo.

Adresse postale : à compléter par le fondateur — bureau opérationnel à Lomé.

Référent protection des données : à compléter — le fondateur exerce cette fonction tant qu’un poste dédié n’a pas été créé.

Contact : [email protected].

Washed met en relation des abonné·e·s avec des prestataires indépendantes — les laveuses — pour une ou plusieurs visites par cycle mensuel, payées par Mobile Money.

Une politique vague protège l’éditeur, pas l’utilisateur. Vous lisez ici un texte qui correspond à ce que notre code fait réellement : flux de données vérifiés contre les migrations PostgreSQL, le code d’API, le schéma des litiges et les politiques de rétention.

Lors de la création de votre compte, nous enregistrons les éléments suivants. Le numéro de téléphone est stocké chiffré au repos et indexé par une empreinte (phone_number_lookup_hash) qui permet de retrouver votre compte sans exposer le numéro en clair dans les requêtes internes. Seules les surfaces qui en ont strictement besoin — déclenchement OTP, support, paiement — le déchiffrent.

• Prénom et nom.
• Numéro de téléphone au format international (par exemple +228 90 12 34 56). C’est l’identifiant principal du compte.
• Adresse e-mail (facultative).
• Photo de profil (facultative), si vous l’ajoutez depuis l’écran X-26.
• Confirmation d’âge adulte (≥ 18 ans). Le service n’est pas accessible aux mineurs.

Nous enregistrons votre adresse de service et les éléments qui permettent à la laveuse de vous trouver. Les coordonnées GPS du domicile sont stockées à la fois en clair pour le calcul d’affectation et de routage, et en version chiffrée (gps_latitude_ciphertext, gps_longitude_ciphertext). Lors de la première visite réussie, la laveuse confirme le pin GPS exact de votre portail (verified_address) — ce qui améliore le routage des visites suivantes.

Pendant la fenêtre de visite uniquement, nous collectons des échantillons de position GPS de la laveuse (visit_location_samples) pour alimenter le suivi en route que vous voyez à l’écran X-12. Chaque échantillon porte une date d’expiration et est supprimé automatiquement après 30 minutes. Nous ne collectons jamais votre propre position GPS pendant la visite.

Aux moments de check-in et check-out, la position GPS de la laveuse est enregistrée dans la fiche de la visite — chiffrée. C’est ce qui nous permet de garantir qu’une visite a réellement eu lieu chez vous.

• Quartier (par exemple Bè, Adidogomé, Tokoin).
• Rue et repère local (landmark) — un point de repère textuel qui aide la laveuse à trouver le portail.
• Coordonnées GPS approximatives du domicile, capturées au moment de la saisie de l’adresse.
• Adresse vérifiée par check-in laveuse lors de la première visite réussie.

Le paiement passe par Mobile Money. Nous ne demandons jamais votre code secret. Vous le saisissez directement sur votre téléphone via la requête USSD ou STK envoyée par votre fournisseur — Washed n’a aucun accès à ce code et ne le reçoit à aucun moment.

• Fournisseur Mobile Money : Mixx by Yas ou Flooz.
• Numéro Mobile Money au format international.
• Identifiants de transaction retournés par notre agrégateur de paiement (PayDunya) et par le fournisseur Mobile Money.

Pour chaque visite, nous enregistrons les éléments nécessaires à la coordination du service et à l’instruction d’un éventuel litige. Aujourd’hui, l’application abonnée ne permet pas de joindre vos propres photos à un litige — l’équipe bureau se base sur les photos avant/après prises par la laveuse pour instruire le dossier.

• Formule (T1, T2, FE — Famille Essentiel, FC — Famille Confort selon la grille en vigueur), jour préféré, créneau préféré.
• Statuts de visite : scheduled, in_progress, completed, disputed, cancelled, no_show.
• Photos de visite avant et après, capturées par la laveuse. Stockage objet S3-compatible, taille maximale 5 Mo, formats image/jpeg, image/png, image/webp.
• Notes et commentaires (1–5, commentaire facultatif).
• Réclamations : type d’incident (damaged_item, missing_item, worker_no_show, other) et description écrite.

Quelques signaux techniques nous aident à diagnostiquer les bugs et à sécuriser le compte. Les rapports d’erreur Sentry contiennent le contexte technique du plantage, jamais votre numéro de téléphone, votre adresse, ni vos données de paiement.

À chaque connexion, nous envoyons un code OTP à 6 chiffres par SMS via notre fournisseur KingSMS. Nous stockons une empreinte hachée de ce code pendant sa courte durée de validité — jamais le code en clair. Les sessions authentifiées sont matérialisées par des jetons d’accès et de rafraîchissement chiffrés ; un identifiant d’appareil (device_id) est associé à chaque session pour révoquer à distance un appareil compromis.

• Modèle d’appareil et version iOS au lancement de l’application.
• Identifiant anonyme d’appareil (anonymous_id) pour les événements de navigation interne.
• Événements d’écran consultés (screen_view) avec le nom de l’écran et la durée. Aucune entrée utilisateur n’est enregistrée dans ces événements.
• Jetons de notification push (APNS, FCM) si vous acceptez les notifications, chiffrés au repos.
• Rapports d’erreur anonymisés Sentry uniquement si une erreur survient.

Chaque donnée a un usage opérationnel précis : connexion par OTP, affectation de la laveuse la plus proche, prélèvement Mobile Money via PayDunya, vérification GPS du service rendu au check-in et check-out, instruction loyale des litiges sur la base des photos avant/après, mesure de la qualité du service.

Préférences facultatives de profil (tranche d’âge, taille du foyer, source de découverte, motivation d’inscription) — strictement facultatives, jamais conditionnantes pour l’accès au service, vidables à tout moment.

Washed ne vend jamais vos données. Aucune donnée n’est utilisée pour de la publicité ciblée, à l’intérieur ou à l’extérieur de l’application.

Nous transmettons uniquement les données strictement nécessaires aux prestataires techniques qui font fonctionner le service. Aucune donnée n’est partagée avec des annonceurs, des courtiers de données ou des plateformes de marketing tiers. Nous communiquons les éléments strictement nécessaires aux autorités togolaises uniquement sur réquisition légale écrite, et nous documentons chaque transmission dans le registre audit_events.

• KingSMS (Togo) — envoi du SMS OTP de connexion. Reçoit votre numéro de téléphone et le texte du SMS au moment de l’envoi.
• PayDunya (Sénégal, Côte d’Ivoire) — agrégateur de paiement Mobile Money. Reçoit votre numéro Mobile Money, le montant et la référence de transaction.
• Mixx by Yas ou Flooz (Togo) — votre fournisseur Mobile Money, qui exécute le débit. Vous validez le débit côté téléphone.
• Fly.io (États-Unis, infrastructure déployée en région Paris — cdg) — hébergement de notre API et de notre base PostgreSQL.
• Stockage objet S3-compatible (région Paris) — photos avant/après et avatars de profil.
• APNS (Apple, États-Unis) et FCM (Google, États-Unis) — acheminement des notifications push.
• Sentry — rapports d’erreur anonymisés.
• Cloudflare — réseau de diffusion et protection contre les abus. Voit votre adresse IP et le chemin de la requête, jamais le contenu chiffré.

Notre code applique le tableau de rétention défini dans la migration data_retention_policies (0037). À la suppression de votre compte, nous conservons uniquement les éléments comptables et d’audit requis par la loi togolaise et la convention OHADA pendant la durée nécessaire — typiquement les enregistrements de paiement et les audit_events associés.

• Compte, profil, numéro de téléphone — vie du compte plus 24 mois ; anonymisation après suppression sauf obligation comptable.
• Adresse, GPS, repères — vie du compte plus 12 mois ; le pin exact est supprimé à la suppression du compte.
• Photos de visite (avant/après) — affichage utilisateur 12 mois après la visite ; politique opérationnelle interne 90 jours, ou clôture du litige plus 180 jours si la photo a servi de preuve.
• Échantillons GPS en route — supprimés automatiquement 30 minutes après capture.
• Notifications (logs de livraison) — 90 jours ; métriques agrégées de taux de livraison seulement au-delà.
• Réclamations, litiges, événements de sécurité — 36 mois ; caviardage des éléments personnels en texte libre après clôture lorsque c’est possible.
• Événements d’audit (audit_events) — 5 ans, durée imposée par la pratique comptable et conventionnelle OHADA. Table immuable par construction SQL — aucune mise à jour ni suppression possible.
• Sessions et jetons d’authentification — jusqu’à expiration ou révocation.

En tant qu’utilisateur·rice, vous disposez des droits suivants. Nous répondons à toute demande dans un délai maximal de 30 jours calendaires. En cas de désaccord sur notre réponse, vous pouvez saisir l’Instance togolaise de protection des données personnelles (IPDCP).

Comment exercer ces droits : depuis l’application, sur l’écran Vie privée & données (X-27) pour l’export et la suppression. Par e-mail à [email protected] pour toute autre demande, en précisant le numéro de téléphone associé à votre compte.

• Droit d’accès — consulter les données que nous détenons sur vous depuis X-27 ou par e-mail.
• Droit de rectification — modifier nom, adresse, numéro Mobile Money, photo de profil et préférences directement dans l’application.
• Droit à l’effacement — demander la suppression de votre compte depuis X-28. La demande est revue par le bureau ; vos données sont anonymisées ou supprimées sous 30 jours, sauf éléments comptables et d’audit que la loi nous oblige à conserver.
• Droit à la portabilité — demander un export depuis le bouton Télécharger mes données sur X-27. La demande est enregistrée comme subscriber_privacy_request de type export ; transmise sous environ 30 jours.
• Droit d’opposition — refuser certains traitements (notifications push). Le refus de traitements strictement nécessaires au service entraîne l’impossibilité de fournir le service.
• Droit à la limitation — suspendre le traitement de certaines données pendant l’instruction d’un litige.

Aucun système n’est invulnérable. En cas d’incident de sécurité significatif vous concernant, nous vous en informons sans délai injustifié — typiquement sous 72 heures — par notification dans l’application et par e-mail si nous disposons d’une adresse.

• Chiffrement en transit — TLS 1.2 ou supérieur sur toute communication application-API, via Cloudflare et Fly.io.
• Chiffrement au repos — données sensibles (numéro de téléphone, GPS, jetons push, identifiants d’appareil) chiffrées au niveau application via AES-256-GCM. Rotation de clé outillée et exécutée selon le runbook interne.
• Empreintes de recherche — indexation HMAC du numéro de téléphone avec un sel propre à la base. L’empreinte n’est pas réversible.
• Cloisonnement par pays (Row-Level Security) — un opérateur Togo ne peut lire que les enregistrements Togo. Règle forcée même pour le propriétaire de la table.
• Audit immuable — toute action sensible écrit un enregistrement immuable dans audit_events ; la table n’autorise ni UPDATE ni DELETE par construction SQL.
• Accès opérateur restreint — authentification double facteur (TOTP), identifiants gérés via Fly.io secrets. Aucun secret n’est exposé dans le code ni dans les applications client.

Le service Washed est réservé aux personnes majeures (≥ 18 ans). Au moment de l’inscription, vous confirmez avoir l’âge légal. Nous ne créons pas sciemment de compte pour un·e mineur·e. Si nous découvrons qu’un compte a été créé par un·e mineur·e, nous le supprimons et purgeons les données associées dans les meilleurs délais.

L’application iOS Washed ne contient aucun traceur publicitaire. Les seuls SDK tiers embarqués sont Sentry (exclusivement pour les rapports d’erreur anonymisés), Capacitor et ses plugins officiels (notifications, caméra, géolocalisation, stockage — aucune télémétrie réseau), APNS (Apple) et FCM (Google) uniquement pour les notifications push déclenchées par notre serveur.

Le site marketing washedafrica.com peut utiliser des outils d’analyse de trafic agrégés (Cloudflare Web Analytics), sans cookie publicitaire ni partage avec des plateformes de marketing tiers.

Notre infrastructure principale est hébergée à Paris (Fly.io région cdg). Vos données transitent et résident dans un pays disposant d’un cadre de protection des données équivalent au Règlement général sur la protection des données (RGPD).

Quelques fournisseurs sont basés en dehors de l’Union européenne — APNS et FCM aux États-Unis pour les notifications push, PayDunya au Sénégal et en Côte d’Ivoire pour le paiement Mobile Money. Les données transmises à ces fournisseurs sont strictement limitées à ce qui est nécessaire à leur fonction.

Nous pouvons modifier cette politique pour refléter une évolution du service ou une obligation légale nouvelle. En cas de modification substantielle, nous vous prévenons par notification dans l’application au prochain lancement et par e-mail si nous disposons d’une adresse vérifiée.

Vous disposez d’un délai de 30 jours pour examiner les modifications et, le cas échéant, supprimer votre compte si elles ne vous conviennent pas. Une modification mineure (correction d’orthographe, précision rédactionnelle) ne déclenche pas cette notification.

L’historique des versions est conservé dans le dépôt source de l’application.

La présente politique est régie par la loi togolaise. Pour les aspects de traitement de données personnelles, elle s’inspire des standards RGPD européens et de la jurisprudence émergente des autorités sous-régionales (CDP du Sénégal, CDP du Bénin) en l’attente du déploiement effectif de l’IPDCP au Togo.

Tout litige relatif à cette politique relève des tribunaux de Lomé.