Politique de confidentialité
Dernière mise à jour : 19 juin 2026
1. Responsable du traitement
GOROGO SARL, société à responsabilité limitée de droit béninois, dont le siège est à Cotonou, République du Bénin, est responsable du traitement de vos données personnelles.
Contact DPO : privacy@gorogo.com
2. Base légale
Le traitement de vos données est fondé sur :
- L'exécution du contrat : traiter vos commandes, gérer votre compte, effectuer les paiements
- Votre consentement : notifications push, emails marketing, cookies analytiques — horodaté et révocable à tout moment
- L'obligation légale : KYC/AML, obligations comptables et fiscales
- L'intérêt légitime : sécurité de la plateforme, détection de fraude, amélioration des services
Base réglementaire : Loi n°2017-20 du 20 avril 2018 portant Code du Numérique en République du Bénin (Titre V : Protection des données personnelles) et Actes Uniformes OHADA applicables.
3. Données personnelles collectées
| Catégorie | Données | Finalité | Conservation |
|---|---|---|---|
| Identification | Nom, prénom, nom d'affichage | Création et gestion du compte | Durée du compte + 30 j |
| Adresse email + statut de vérification + date de vérification | Connexion, notifications transactionnelles, récupération de compte | Durée du compte + 30 j | |
| Téléphone | Numéro de téléphone + statut de vérification | Vérification SMS (Twilio), sécurité 2FA | Durée du compte + 30 j |
| Photo de profil | Avatar et image de couverture (URL Cloudinary) | Affichage du profil public | Supprimé à la clôture du compte |
| Biographie | Texte de présentation libre | Profil vendeur visible par les acheteurs | Supprimé à la clôture du compte |
| Localisation | Pays, fuseau horaire, langue préférée | Personnalisation de l'expérience, devises, notifications | Durée du compte |
Nous collectons vos adresses de livraison (rue, ville, région, code postal, pays, téléphone de contact, nom du destinataire) pour traiter et expédier vos commandes. Vous pouvez ajouter plusieurs adresses et définir une adresse par défaut. Vos adresses sont partagées avec les vendeurs et transporteurs uniquement pour les commandes concernées.
Transactions et wallet| Catégorie | Données | Finalité | Conservation |
|---|---|---|---|
| Commandes | Référence, articles, montants, statut, dates | Traitement, suivi, SAV, comptabilité | 10 ans |
| Paiements | Méthode utilisée, référence passerelle, montant, statut (jamais les données de carte) | Comptabilité, remboursements, litiges | 10 ans |
| Wallet | Solde disponible, solde escrow, transactions, retraits | Gestion financière vendeur | 10 ans |
| Comptes de retrait | Numéro Mobile Money, IBAN ou email PayPal fournis lors d'un retrait | Exécution du retrait | Durée du compte |
| Catégorie | Données | Finalité | Conservation |
|---|---|---|---|
| Sessions | Appareil, navigateur, système d'exploitation, IP, date/heure de connexion | Sécurité du compte, détection d'intrusion | 1 an |
| Mot de passe | Hash bcrypt uniquement (jamais le mot de passe en clair) | Authentification | Durée du compte |
| MFA | Secret TOTP chiffré (si 2FA activé) | Double authentification | Jusqu'à désactivation |
| Tokens | Tokens de reset de mot de passe et de vérification email (hashés SHA-256, expirés rapidement) | Récupération et vérification de compte | 1 heure maximum |
| Activité | Nombre de connexions, tentatives échouées, date de verrouillage | Protection contre les attaques brute force | 1 an |
| IP de dernière connexion | Adresse IP de la dernière connexion réussie | Détection d'accès inhabituels | 30 jours |
Pour les vendeurs, nous collectons dans le cadre du processus KYC :
- Pièce d'identité officielle (carte nationale, passeport ou permis) : numéro, dates de validité, pays émetteur
- Selfie de vérification ou données biométriques (via partenaire accrédité)
- Justificatif de domicile (pour retraits supérieurs à $500)
- Pour les entreprises (KYB) : documents constitutifs, IFU/RCCM, identité des bénéficiaires effectifs (UBO)
Ces données sont stockées de manière chiffrée. Elles sont traitées conformément à la Loi n°2018-17 relative à la lutte contre le blanchiment de capitaux (LCB-FT) et aux recommandations du GAFI. Durée de conservation : 5 ans après clôture du compte, conformément aux obligations AML.
Profils spécialisésSelon votre type de compte, des données supplémentaires peuvent être collectées :
- Coursier : type de véhicule, zones de livraison, disponibilité, évaluations clients
- Créateur de contenu : profil créateur, statistiques de contenu, liens sociaux
- Artisan : spécialité, portfolio, certifications, tarifs
- Ambassadeur : liens de parrainage, statistiques de conversion, paliers de récompense
- Affilié : codes de référence, commissions générées, historique des conversions
Nous collectons les tokens de notification push (via l'API Web Push) si vous activez les notifications dans votre navigateur. Ces tokens permettent d'envoyer des alertes en temps réel (nouvelles commandes, livraisons, messages). Ils sont spécifiques à votre navigateur et peuvent être révoqués depuis les paramètres de votre compte ou du navigateur.
4. Finalités du traitement
- Gestion du compte : inscription, connexion, paramètres, suppression
- Traitement des commandes : paiement, expédition, suivi, livraison, remboursement
- Sécurité : vérification d'email et de téléphone, MFA, détection de connexions suspectes, verrouillage de compte après tentatives échouées
- Vérification d'identité (KYC/KYB) : conformité anti-blanchiment, vérification vendeurs, déblocage des retraits
- Communications transactionnelles : confirmations de commande, expéditions, livraisons, alertes de sécurité — via email (Resend) et SMS (Twilio)
- Support client : tickets de support, messagerie, résolution de litiges
- Fonctionnalités IA : génération de descriptions produit, suggestions de prix, traduction, prévisions de ventes (données produit anonymisées transmises à Anthropic)
- API développeur : authentification des clés API, logs d'utilisation, webhooks
- Prévention de la fraude : analyse comportementale, détection d'anomalies, signalement aux autorités si requis par la loi
- Conformité légale : comptabilité, obligations fiscales, réponse aux réquisitions judiciaires
Nous n'utilisons pas vos données à des fins de profilage publicitaire externe. Nous ne vendons pas vos données à des tiers.
5. Partage des données
| Catégorie | Données | Finalité | Conservation |
|---|---|---|---|
| Vendeurs / acheteurs | Nom, adresse de livraison, contact pour la commande concernée | Exécution de la transaction | Durée légale transaction |
| Transporteurs | Référence commande, adresse de livraison, téléphone destinataire | Livraison physique | Durée de la livraison |
| Prestataires de paiement | Données strictement nécessaires au traitement (Stripe, Wave, MTN, Orange Money, CinetPay, Flutterwave, FedaPay, PayPal) | Paiement et remboursement | Selon prestataire |
| Vercel | Logs serveur, requêtes | Hébergement de l'application | 30 jours |
| Supabase | Toutes les données de la base | Stockage principal | Durée du contrat |
| Upstash Redis | Sessions, cache temporaire | Performance et sessions | Jusqu'à expiration |
| Cloudinary | Photos de profil, photos produits | Stockage et optimisation des médias | Jusqu'à suppression explicite |
| Resend | Email, nom (pour les emails) | Emails transactionnels | 90 jours (logs) |
| Twilio | Numéro de téléphone | Vérification SMS, 2FA | 90 jours (logs) |
| Anthropic | Données produit anonymisées (nom, catégorie, statistiques) | Fonctionnalités IA | Non conservées (traitement instantané) |
| Sentry | Logs d'erreurs techniques anonymisés | Monitoring et débogage | 90 jours |
Tous ces prestataires sont contractuellement tenus de protéger vos données et de ne les utiliser qu'aux fins spécifiées.
6. Transferts internationaux
Plusieurs de nos prestataires techniques (Vercel, Supabase, Upstash, Anthropic, Cloudinary, Resend, Twilio) sont basés aux États-Unis. Ces transferts sont encadrés par des garanties contractuelles (Standard Contractual Clauses — SCC) conformes aux standards internationaux de protection des données.
Pour les utilisateurs résidant au Bénin, nous appliquons les dispositions du Titre V du Code du Numérique béninois concernant les transferts transfrontaliers de données personnelles.
7. Cookies et traceurs
| Catégorie | Données | Finalité | Conservation |
|---|---|---|---|
| Cookies essentiels | Token de session, panier, préférences langue/devise | Fonctionnement de la plateforme (ne peuvent pas être refusés) | Session à 30 jours |
| Cookies sécurité | Jeton CSRF, token NextAuth | Protection contre les attaques de type cross-site | Session |
| Cookies analytiques | Pages visitées, durée, appareil (anonymisés) | Amélioration des services — refusables | 13 mois |
| Cookies publicitaires | Identifiant Google AdSense | Publicités contextuelles — refusables | 13 mois |
Le refus des cookies analytiques et publicitaires n'affecte pas le fonctionnement de la plateforme. Vous pouvez gérer vos préférences via les paramètres de votre navigateur.
8. Sécurité des données
- Chiffrement en transit : TLS 1.3 sur toutes les connexions
- Chiffrement au repos : AES-256 (Supabase)
- Mots de passe : hachés avec bcrypt (facteur de coût 12) — jamais stockés en clair
- Secrets de vérification : hashés SHA-256 avec expiration courte (10 minutes à 1 heure)
- MFA : double authentification TOTP disponible pour tous les comptes
- Protection brute force : verrouillage automatique après tentatives échouées, alertes email
- Sessions multi-appareils : visibles et révocables depuis la page Sécurité de votre compte
- Accès interne : restreint aux personnels autorisés via contrôle de rôle (RBAC)
- Audit : toutes les actions administratives sont journalisées dans les logs d'audit
- Clés API : stockées sous forme de hash — la valeur secrète est affichée une seule fois à la création
En cas de violation de données présentant un risque pour vos droits, vous serez notifié dans les 72 heuresconformément aux exigences du Code du Numérique béninois.
9. Durée de conservation
| Catégorie | Données | Finalité | Conservation |
|---|---|---|---|
| Données de compte | Profil, paramètres, préférences | Gestion du compte | Durée du compte + 30 jours |
| Données de transaction | Commandes, paiements, wallet | Obligation comptable et légale | 10 ans |
| Données KYC/KYB | Documents d'identité, selfies, justificatifs | Obligation LCB-FT (AML) | 5 ans après clôture |
| Logs de sécurité | Sessions, connexions, tentatives échouées | Sécurité et audit | 1 an |
| Adresses de livraison | Adresses sauvegardées | Commandes futures | Durée du compte |
| Données IA | Requêtes envoyées à Anthropic | Traitement instantané | Non conservées |
| Tokens de vérification | Reset mot de passe, vérification email | Sécurité | 1 heure maximum |
| Logs d'erreurs | Sentry — anonymisés | Débogage | 90 jours |
| Tokens push | Abonnements aux notifications | Notifications temps réel | Jusqu'à révocation |
10. Vos droits
Conformément au Code du Numérique béninois, vous disposez des droits suivants :
Droit d'accès
Obtenir une copie lisible de toutes vos données personnelles détenues par GOROGO
Paramètres → Confidentialité → Télécharger mes données
Droit de rectification
Corriger des données inexactes ou incomplètes
Paramètres → Profil → Modifier
Droit à l'effacement
Supprimer votre compte et vos données (sous réserve des obligations légales de conservation)
Paramètres → Compte → Supprimer mon compte, ou email à privacy@gorogo.com
Droit à la portabilité
Recevoir vos données dans un format structuré et lisible par machine (JSON)
Paramètres → Confidentialité → Exporter mes données
Droit d'opposition
Vous opposer aux traitements fondés sur l'intérêt légitime (ex : communications marketing)
Paramètres → Notifications → Gérer les préférences
Droit de retrait du consentement
Révoquer un consentement donné (cookies analytiques, notifications push) à tout moment
Paramètres → Confidentialité
Droit à la limitation
Demander la suspension du traitement de vos données pendant une vérification
Email à privacy@gorogo.com
Les demandes sont traitées dans un délai de 30 jours. En cas de demande complexe, ce délai peut être étendu à 3 mois avec notification préalable. Pour les demandes d'effacement, les données soumises à obligation légale de conservation (transactions, KYC) ne peuvent pas être supprimées avant l'expiration de leur durée légale.
11. Mineurs
La plateforme GOROGO est réservée aux personnes majeures (18 ans et plus). Nous ne collectons pas sciemment de données personnelles concernant des mineurs. Si vous constatez qu'un mineur a créé un compte, contactez-nous immédiatement à privacy@gorogo.com pour suppression du compte et des données dans les 72 heures.
12. Modifications de la politique
Nous pouvons mettre à jour cette politique à tout moment. La date de dernière mise à jour est affichée en haut du document. Pour toute modification substantielle affectant vos droits ou nos pratiques de traitement, vous serez notifié par email 15 jours avant l'entrée en vigueur. La poursuite de l'utilisation de la plateforme après ce délai vaut acceptation des nouvelles conditions.
13. Contact et réclamations
Pour toute question relative à vos données personnelles : privacy@gorogo.com
Vous pouvez également adresser une réclamation auprès de l'autorité nationale compétente en matière de protection des données personnelles en République du Bénin, ou de l'autorité compétente dans votre pays de résidence.
Cette politique est établie conformément à la Loi n°2017-20 du 20 avril 2018 portant Code du Numérique de la République du Bénin et aux Actes Uniformes OHADA. Voir aussi nos CGU, Conditions Paiements et Mentions légales.