Politique de confidentialité

1. Qui sommes-nous

Monapai est une infrastructure d'orchestration de paiement Mobile Money pour l'Afrique de l'Ouest et Centrale (7 pays : Bénin, Burkina Faso, Cameroun, Côte d'Ivoire, Niger, Sénégal, Togo).

Statut : orchestrateur technique, pas opérateur financier. Monapai n'est ni une banque, ni un établissement de paiement, ni un émetteur de monnaie électronique, ni un opérateur Mobile Money. Nous transmettons les ordres de paiement vers des agrégateurs partenaires agréés qui interagissent eux-mêmes avec les opérateurs Mobile Money (MTN, Orange, Moov, Wave, etc.). Les fonds restent juridiquement entre les mains des opérateurs Mobile Money jusqu'à leur libération effective vers le marchand.

Pour les données collectées via notre dashboard et notre API, Monapai agit en tant que responsable de traitement. Pour les données du payeur final, Monapai agit en sous-traitant pour le compte du marchand, qui reste responsable du traitement à leur égard.

2. Quelles données nous collectons

2.1 Données du marchand (titulaire de compte)

• Identification : nom, prénom ou raison sociale, email, téléphone, pays
• Activité : nom commercial, site web, catégorie business, logo
• KYC : pièce d'identité, justificatif d'adresse, registre du commerce, statuts (selon le type de compte)
• Configuration technique : URLs de webhook, clés API, secret HMAC
• Données financières : soldes par pays, historique des reversements, méthode de retrait (mobile money, banque, crypto)

2.2 Données du payeur (client final du marchand)

• Numéro de téléphone Mobile Money
• Opérateur (MTN, Orange, Moov, Wave, Free, Yas, Airtel…)
• Pays d'origine du paiement
• Montant et devise (XOF / XAF)
• Motif de transaction (renseigné par le marchand)

Note : le payeur n'a pas de compte Monapai. Nous traitons ses données pour le compte du marchand, qui reste responsable du traitement à leur égard.

2.3 Données techniques

• Adresse IP, user-agent, timestamps lors de chaque action sensible (audit log)
• Cookies de session et CSRF token
• Logs des appels API marchands (endpoints, statuts HTTP, durée)

3. Pourquoi nous collectons ces données

• Exécution du service : initier des paiements, vérifier leur statut, créditer les soldes marchands, traiter les retraits
• Conformité KYC / lutte anti-blanchiment : vérifier l'identité des marchands avant tout reversement de fonds
• Sécurité : détecter les fraudes, signer les webhooks (HMAC), authentifier les API calls
• Audit : tracer toute action sensible (création/révocation d'admin, rotation de secret, export de données, modification de commission)
• Communication : envoyer des emails transactionnels (confirmation paiement, statut de retrait, OTP)

4. Avec qui nous partageons vos données

Nous transmettons strictement le minimum nécessaire à :

• Agrégateurs Mobile Money partenaires : numéro du payeur, montant, opérateur — strictement nécessaire pour exécuter le paiement
• Hébergeur et services techniques (envoi d'emails, stockage des KYC chiffrés) sous obligation contractuelle de confidentialité
• Autorités uniquement sur réquisition légale opposable

Nous ne vendons jamais vos données. Aucune publicité tierce n'est intégrée à la plateforme.

5. Combien de temps nous conservons

• Données KYC : 5 ans après la fin de la relation (obligation légale anti-blanchiment)
• Transactions : 10 ans (obligation comptable)
• Audit logs : 5 ans
• Données de session : supprimées à la déconnexion ou après 30 minutes d'inactivité (gate admin)

6. Vos droits

Vous disposez à tout moment d'un droit :

• D'accès à vos données (export disponible depuis le dashboard)
• De rectification via Gestion → Profil
• D'opposition au traitement de vos données pour des finalités optionnelles
• De suppression (sauf obligation légale de conservation)
• De portabilité de vos données dans un format structuré

Pour exercer un droit : privacy@monapai.com

7. Sécurité

• Chiffrement en transit : TLS 1.2+ obligatoire, vérification de certificat activée en production
• Chiffrement au repos : documents KYC et secrets stockés chiffrés
• Authentification : OTP par email pour les marchands et les admins, gate OTP supplémentaire pour le back-office
• Webhooks signés : signature HMAC X-Monapai-Signature sur chaque callback sortant
• Audit immuable : toute opération critique tracée avec acteur, IP, user-agent

8. Cookies

Nous utilisons uniquement des cookies essentiels au fonctionnement (session Laravel, CSRF). Aucun cookie publicitaire ni tracker tiers.

9. Modifications

Nous pouvons mettre à jour cette politique. Toute modification substantielle est notifiée par email aux marchands actifs au moins 30 jours avant son entrée en vigueur.

10. Contact

Délégué à la protection des données
Email : privacy@monapai.com
Pour toute autre question : support@monapai.com