Politique de confidentialité

1. Responsable du traitement et Délégué à la Protection des Données

SCORE360 SARL (ci-après « SCORE360 »), société de droit ivoirien immatriculée au RCCM d'Abidjan, siège social à Koumassi, Cité Houphouët-Boigny, Lot 2056, Abidjan, Côte d'Ivoire, est responsable du traitement des données personnelles dans le cadre de l'exploitation de la Plateforme.

Conformément à la Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel en Côte d'Ivoire et aux textes d'application de l'Autorité de Régulation des Télécommunications/TIC de Côte d'Ivoire (ARTCI), SCORE360 a procédé à la déclaration préalable de ses traitements de données auprès de l'ARTCI, autorité de contrôle compétente.

SCORE360 a désigné un Délégué à la Protection des Données (DPD), enregistré auprès de l'ARTCI conformément à l'Arrêté n° 0099/MTND/CAB du 16 août 2024. Pour toute question relative à la protection des données : privacy@score360.africa

2. Données collectées

SCORE360 traite plusieurs catégories de données dans le cadre de ses services :

Données des institutions partenaires : raison sociale, numéros d'identification (RCCM, NIF), coordonnées des représentants légaux, logs de connexion, paramètres de configuration, données de facturation.

Données relatives aux PME clientes des institutions : identifiants pseudonymisés, secteur d'activité, données de flux transactionnels agrégés (volumes, fréquences, catégories), historiques de remboursement transmis par l'institution partenaire sous sa responsabilité. Ces données ne comprennent jamais d'informations personnelles brutes (noms, adresses, numéros d'identification nationale) des dirigeants ou employés des PME.

Données de navigation : adresses IP, données de session, journaux d'utilisation de l'API, à des fins de sécurité et de supervision technique.

SCORE360 ne collecte aucune donnée bancaire directement auprès des clients finaux des institutions. Toute donnée sensible demeure hébergée dans l'environnement isolé de l'institution partenaire.

3. Base légale et finalités du traitement

Les traitements effectués par SCORE360 reposent sur les bases légales suivantes, conformément à la Loi n° 2013-450 :

— Exécution d'un contrat : fourniture du service de scoring (calcul dynamique, génération de grades, alertes de risque) à l'institution partenaire ; — Intérêt légitime : amélioration des modèles par apprentissage fédéré, sécurité et supervision de la Plateforme — aucune donnée brute ne quitte l'environnement de l'institution ; — Obligation légale : conformité aux exigences BCEAO, ARTCI, OHADA et au droit fiscal ivoirien ; — Consentement : lorsque des communications commerciales sont adressées aux représentants des institutions partenaires.

SCORE360 ne vend pas, ne loue pas et ne cède jamais les données des institutions ou de leurs clients à des tiers à des fins commerciales.

4. Obligations de l'institution partenaire concernant le consentement des clients PME

Conformément à l'article 53 de la Loi uniforme portant réglementation des Bureaux d'Information sur le Crédit dans les États membres de l'UMOA et à l'Instruction BCEAO n° 002-01-2015 relative aux modalités d'obtention du consentement des clients par les fournisseurs de données aux BIC, l'institution partenaire est seule responsable de l'obtention du consentement préalable, écrit et éclairé de ses clients PME avant tout partage ou transmission de données vers la Plateforme SCORE360.

Ce consentement doit préciser : l'identité de l'institution (responsable du traitement), la finalité (évaluation de la solvabilité), les catégories de données, la durée de conservation, les droits des personnes concernées et l'identité du prestataire technologique (SCORE360).

SCORE360 agit en qualité de sous-traitant au sens de la Loi n° 2013-450 et du RGPD (pour les institutions relevant du droit européen). Le Contrat de Traitement des Données (DPA) signé avec chaque institution partenaire précise les instructions de traitement, les mesures de sécurité et les modalités de restitution ou de suppression des données conformément à l'Article 28 du RGPD.

5. Architecture technique et souveraineté des données

SCORE360 repose sur une architecture de Federated Learning (apprentissage fédéré) : chaque institution partenaire entraîne les modèles localement sur ses propres serveurs. Seuls des paramètres de modèles anonymisés et chiffrés (poids, gradients agrégés) transitent vers le module central ENGINE™. Aucune donnée brute de client PME n'est transmise ni stockée sur les serveurs centraux de SCORE360.

Chaque institution dispose d'un environnement techniquement isolé : machines virtuelles dédiées, réseau VLAN propre, base de données indépendante. L'ensemble de l'infrastructure est hébergé au datacenter Raxio CI (certification Tier III, Uptime Institute), situé à Abidjan, Côte d'Ivoire.

Conformément aux dispositions de la Loi uniforme BIC UMOA imposant la résidence des données sur le territoire des États membres, l'ensemble des données traitées demeure localisé dans l'espace UEMOA. Aucune donnée n'est transférée hors de cet espace sans accord préalable écrit de l'institution partenaire.

6. Durée de conservation

Les données sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées :

— Données de compte et de contrat : durée du contrat de service + 5 ans après résiliation (obligations OHADA/droit ivoirien) ; — Données de scoring relatives aux emprunteurs : 5 ans maximum à compter de la dernière mise à jour, conformément à l'Article 41 de la Loi uniforme BIC UMOA ; — Logs de sécurité et d'accès : 12 mois glissants ; — Données de facturation : 10 ans (obligation fiscale ivoirienne).

À l'expiration des durées applicables, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible. SCORE360 délivre, sur demande de l'institution, une attestation de suppression dans un délai de 30 jours.

7. Droits des personnes concernées

Conformément à la Loi n° 2013-450 du 19 juin 2013, toute personne physique dont les données sont traitées par SCORE360 — directement ou via une institution partenaire — dispose des droits suivants :

— Droit d'accès : obtenir confirmation du traitement et copie des données ; — Droit de rectification : corriger des données inexactes ou incomplètes ; — Droit à l'effacement (« droit à l'oubli ») : sous réserve des obligations légales de conservation ; — Droit à la limitation du traitement : suspendre le traitement pendant la vérification d'une contestation ; — Droit à la portabilité : recevoir les données dans un format structuré et lisible ; — Droit d'opposition : s'opposer à un traitement fondé sur l'intérêt légitime.

Ces droits s'exercent en adressant une demande écrite à privacy@score360.africa. SCORE360 s'engage à répondre dans un délai de 30 jours calendaires. En cas de réponse insatisfaisante, toute personne peut saisir l'ARTCI, autorité de contrôle compétente en Côte d'Ivoire.

8. Sécurité des données

SCORE360 met en œuvre des mesures de sécurité techniques et organisationnelles de niveau bancaire, conformément aux standards requis par la Loi n° 2013-450 et les recommandations de la BCEAO :

— Chiffrement de toutes les communications réseau (TLS 1.3) ; — Contrôle d'accès basé sur les rôles (RBAC) avec journalisation complète et immuable ; — Agrégation sécurisée des paramètres de modèles (différential privacy avant transmission) ; — Supervision continue, détection d'intrusion et alertes de sécurité en temps réel ; — Tests d'intrusion réguliers, revues de code et audits de sécurité indépendants ; — Cloisonnement strict des environnements des institutions partenaires (isolation réseau et données).

Ces mesures font l'objet d'un audit documenté annuel. Les résultats sont disponibles pour les institutions partenaires dans le cadre des droits d'audit prévus par leur DPA.

9. Notification en cas de violation de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, SCORE360 s'engage à :

— Notifier l'institution partenaire concernée dans les 72 heures suivant la découverte de l'incident, avec description de la nature de la violation, des catégories et volumes de données affectées, des mesures prises et envisagées ; — Documenter l'incident dans un registre interne des violations, conformément aux obligations de la Loi n° 2013-450 ; — Assister l'institution dans ses obligations de notification à l'ARTCI et, le cas échéant, aux personnes concernées.

SCORE360 met en place des procédures internes de réponse aux incidents permettant de détecter, contenir et remédier à toute violation dans les meilleurs délais.

10. Contrat de traitement des données (DPA) — institutions relevant du RGPD

Pour les institutions partenaires relevant du droit de l'Union européenne ou traitant des données de résidents européens, SCORE360 conclut un Contrat de Traitement des Données (Data Processing Agreement) conforme à l'Article 28 du Règlement (UE) 2016/679 (RGPD).

Ce DPA précise notamment : les instructions documentées de traitement, les obligations de confidentialité du personnel de SCORE360, les mesures de sécurité techniques et organisationnelles, les conditions d'autorisation de sous-traitants ultérieurs, les modalités d'assistance à l'exercice des droits des personnes concernées et aux analyses d'impact (DPIA), la suppression ou restitution des données en fin de contrat, et les droits d'audit de l'institution responsable.

Les sous-traitants ultérieurs de SCORE360 (hébergeur Raxio CI, prestataires de supervision) sont liés par des garanties contractuelles équivalentes. La liste à jour des sous-traitants ultérieurs est disponible sur demande à privacy@score360.africa.

11. Transferts de données hors UEMOA

Les données sont hébergées et traitées exclusivement en Côte d'Ivoire (Raxio CI, Abidjan), dans l'espace UEMOA. SCORE360 ne transfère aucune donnée hors de cet espace sans l'accord préalable écrit de l'institution partenaire et sans garanties contractuelles appropriées (clauses contractuelles types ou décision d'adéquation pour les transferts vers l'UE).

Pour les institutions dont le siège est dans un État membre de l'UEMOA, la résidence des données sur le territoire de l'UEMOA est une condition réglementaire de la Loi uniforme BIC UMOA que SCORE360 garantit structurellement par son architecture d'hébergement.

12. Cookies et traceurs

La Plateforme (application web institutionnelle) utilise des cookies strictement nécessaires au fonctionnement du service : authentification et maintien de session, protection CSRF, préférences d'affichage. Aucun cookie publicitaire, de profilage commercial ou de traçage tiers n'est déposé.

Le site public score360.africa peut utiliser des cookies analytiques anonymes (mesure d'audience). Un bandeau de consentement conforme à la Loi n° 2013-450 est affiché lors de la première visite. Les cookies de session expirent à la fermeture du navigateur ou après 8 heures d'inactivité.

13. Modifications de la politique

SCORE360 peut modifier la présente politique à tout moment pour l'adapter à l'évolution du service, de la réglementation ivoirienne (ARTCI), des instructions BCEAO ou du droit européen (RGPD). Les modifications substantielles sont notifiées aux institutions partenaires par voie électronique avec un préavis minimum de 30 jours avant leur entrée en vigueur.

La date de dernière mise à jour est indiquée en tête de document. L'utilisation continue de la Plateforme après la date d'entrée en vigueur vaut acceptation de la politique révisée. Les versions archivées sont disponibles sur demande.

14. Contact et autorité de contrôle

Délégué à la Protection des Données (DPD) : E-mail : privacy@score360.africa Courrier : SCORE360 SARL — DPD, Koumassi, Cité Houphouët-Boigny, Lot 2056, Abidjan, Côte d'Ivoire

Autorité de contrôle compétente : ARTCI — Autorité de Régulation des Télécommunications/TIC de Côte d'Ivoire Site web : artci.ci

Toute personne concernée qui estime que ses droits ne sont pas respectés peut introduire une réclamation auprès de l'ARTCI, sans préjudice de tout autre recours administratif ou juridictionnel.