logo

Politique de Confidentialite

1. Presentation de l'Application mobile

Bienvenue sur ATAYA APP, une plateforme mobile specialisee dans la reservation d'activites ludiques, de visites guidees, d'excursions et d'autres experiences de voyage et prestations de services. ATAYA APP est editee par la societe ATAYA APP SASU, societe par actions simplifiee unipersonnelle de droit senegalais.

La presente Politique de Confidentialite (ci-apres la « Politique ») a pour objet d'informer de maniere transparente et exhaustive les utilisateurs de l'Application mobile ATAYA APP (ci-apres l'« Application ») sur la nature des donnees a caractere personnel collectees, les finalites et bases legales de leur traitement, les destinataires et sous-traitants auxquels ces donnees peuvent etre communiquees, les conditions de conservation et de securisation de ces donnees, ainsi que sur l'ensemble des droits dont disposent les utilisateurs en vertu de la reglementation applicable.

La presente Politique s'applique a tout traitement de donnees a caractere personnel effectue par ATAYA APP SASU agissant en qualite de Responsable de Traitement au sens des articles 24 du RGPD et 74 de la loi n° 2008-12 du 25 janvier 2008. Elle est applicable des l'utilisation de l'Application, que l'utilisateur ait ou non cree un compte.

2. Identification du Responsable de traitement

Le Responsable de Traitement au sens de la presente Politique est :

  • Denomination sociale: ATAYA APP SASU
  • Forme juridique: Societe par actions simplifiee unipersonnelle (SASU)
  • Siege social: Cite des Enseignants, Guediawaye, villa n D5
  • RCCM: SN-DKR-2023-B-48.054
  • NINEA: 010762715
  • Email de contact: contact@ataya.app
  • Telephone / WhatsApp: +221 77 102 56 55
  • Delegue a la Protection des Donnees: contact@ataya.app

(ATAYA APP SASU est inscrite aupres de la Commission de Protection des Donnees Personnelles du Senegal (CDP) conformement aux obligations declaratives prevues par la loi n° 2008-12 du 25 janvier 2008.)

3. DONNEES A CARACTERE PERSONNEL COLLECTEES

ATAYA APP collecte uniquement les donnees strictement necessaires a la fourniture de ses services, dans le respect du principe de minimisation des donnees consacre par l'article 5(1)(c) du RGPD et l'article 35 alinea 2 de la loi n° 2008-12 du 25 janvier 2008. Les categories de donnees collectees sont les suivantes :

3.1 Donnees d'identification et de compte

Lors de la creation d'un compte utilisateur sur l'Application, ATAYA APP collecte les informations suivantes :

  • Prenom et nom de famille (obligatoire)
  • Adresse e-mail (facultative)
  • Numero de telephone (facultatif)
  • Photo de profil (facultative)

Ces donnees sont strictement limitees a l'identification de l'utilisateur et a la gestion de son compte. ATAYA APP ne collecte, ni ne traite aucune donnee relevant des categories particulieres au sens de l'article 9 du RGPD (origine ethnique, opinions politiques, convictions religieuses, donnees biometriques, donnees de sante, orientation sexuelle, etc.).

3.2 Donnees de geolocalisation

Avec le consentement explicite prealable de l'utilisateur, ATAYA APP collecte les donnees de geolocalisation (coordonnees GPS) afin de proposer des activites et experiences disponibles a proximite de l'utilisateur. Cette collecte n'est activee que lors de l'utilisation active de l'Application et peut etre desactivee a tout moment depuis les parametres du terminal de l'utilisateur. Les donnees de geolocalisation ne sont pas conservees au-dela de la session d'utilisation active.

3.3 Donnees de paiement et releves de transactions

ATAYA APP ne collecte ni ne stocke aucune coordonnee bancaire de l'utilisateur (numero de carte, IBAN, etc.). Les paiements sont traites integralement par des prestataires de services de paiement tiers certifies. En revanche, ATAYA APP conserve les releves de paiement electroniques (montant, date, reference de transaction, statut) a des fins de tracabilite comptable et de conformite legale, conformement a la loi n° 2008-08 du 25 janvier 2008 sur les transactions electroniques au Senegal.

3.4 Donnees de navigation et donnees techniques

Lors de l'utilisation de l'Application, des donnees techniques sont automatiquement collectees afin d'assurer le bon fonctionnement des services :

  • Adresse IP et identifiant de l'appareil
  • Type et version du systeme d'exploitation (iOS / Android)
  • Journaux de connexion (logs) horodates
  • Pages et fonctionnalites consultees, duree et frequence des sessions
  • Donnees de crash et rapports d'erreurs applicatives

Ces donnees sont utilisees exclusivement a des fins de securite, de surveillance des performances, de detection des fraudes et d'amelioration de l'Application.

3.5 Donnees de communication

Lorsque l'utilisateur contacte le service client d'ATAYA APP par email, par telephone ou via WhatsApp, les echanges sont conserves a des fins de gestion de la relation client, de suivi des demandes et d'amelioration de la qualite des services.

4. FINALITES ET BASES LEGALES DU TRAITEMENT

Conformement aux articles 35 de la loi de 2008-12 et 6 du RGPD, tout traitement de donnees personnelles repose sur une base legale explicite. Voici le detail des finalites poursuivies par ATAYA APP ainsi que la base legale correspondante :

  • Creation et gestion du compte utilisateur: Identification, email, telephone, photo (Base legale : Execution du contrat Article.33 loi de 2008-12 et 6(1)(b) RGPD)
  • Verification de l'identite: Identification (Base legale : Execution du contrat Articles 33 loi de 2008-12 et 6(1)(b))
  • Traitement des reservations et paiements: Identification, releves de transaction (Base legale : Execution du contrat Articles 33 loi de 2008-12 et 6(1)(b))
  • Geolocalisation pour recherche d'activites: Coordonnees GPS (Base legale : Consentement Articles 33 loi de 2008-12 et 6(1)(a) RGPD)
  • Gestion de la relation client et assistance: Identification, communication (Base legale : Execution du contrat Articles 33 loi de 2008-12 et 6(1)(b))
  • Envoi de newsletters et communications marketing: Email, telephone (Base legale : Consentement Articles 33 loi de 2008-12 et 6(1)(a))
  • Publicite personnalisee: Navigation, identification (Base legale : Consentement Articles 33 loi de 2008-12 et 6(1)(a))
  • Securite, lutte contre la fraude et la cybercriminalite: Donnees techniques, navigation (Base legale : Interet legitime Articles 33 loi de 2008-12 et 6(1)(f))
  • Statistiques et amelioration de l'Application: Donnees techniques, navigation (Base legale : Interet legitime Articles 33 loi de 2008-12 et 6(1)(f))
  • Respect des obligations legales et comptables: Releves de transaction (Base legale : Obligation legale Articles 33 loi de 2008-12 et 6(1)(c))
  • Gestion des candidatures (recrutement): Donnees de candidature (Base legale : Consentement / Pre-contrat Articles 33 loi de 2008-12 et 6(1)(a)(b))

5. DESTINATAIRES ET COMMUNICATION DES DONNEES

ATAYA APP ne vend ni ne loue les donnees personnelles des utilisateurs a des tiers. Les donnees peuvent etre communiquees uniquement dans les cas suivants, et apres verification du respect des obligations en matiere de protection des donnees :

5.1 Entites de la societe d'ATAYA APP

Les donnees peuvent etre partagees avec les societes dans lesquelles ATAYA APP SASU entretient un partenariat, dans la stricte mesure necessaire a la fourniture des services.

5.2 Prestataires de services et sous-traitants techniques

ATAYA APP fait appel a des prestataires et sous-traitants selectionnes rigoureusement pour la fourniture de services techniques et operationnels. Ces prestataires n'agissent que sur instruction documentee d'ATAYA APP et sont contractuellement tenus de respecter un niveau de securite et de confidentialite equivalent aux exigences du RGPD et de la loi n° 2008-12. Ils ne sont en aucun cas autorises a utiliser les donnees a des fins propres. Ces sous-traitants comprennent notamment les prestataires d'hebergement et d'infrastructure cloud (AWS).

5.3 Partenaires commerciaux

Les donnees ne sont transmises a des partenaires commerciaux d'ATAYA APP qu'avec le consentement prealable, libre, specifique, eclaire et univoque de l'utilisateur. Ce consentement peut etre retire a tout moment.

5.4 Autorites et obligations legales

ATAYA APP peut etre amenee a communiquer certaines donnees personnelles aux autorites competentes (judiciaires, administratives ou regulatrices) lorsque la loi l'exige, notamment en cas de requisition judiciaire, d'injonction administrative ou d'obligation legale declarative.

6. SOUS-TRAITANT PRINCIPAL : AMAZON WEB SERVICES (AWS)

ATAYA APP a recours aux services d'Amazon Web Services (AWS) en qualite de sous-traitant principal pour l'ensemble de son infrastructure cloud. Ce recours est formalise par un contrat de traitement des donnees (Data Processing Agreement : DPA) conforme aux articles 4-16 de la loi de 2008-12 et 28 du RGPD, qui impose a AWS le respect de toutes les obligations applicables au sous-traitant.

6.1 Presentation du sous-traitant

Amazon Web Services, Inc. est une filiale d'Amazon.com, Inc. En Europe, AWS opere sous la responsabilite d'Amazon Web Services EMEA SARL, etablie a 38 Avenue John F. Kennedy, L-1855 Luxembourg. AWS est l'un des leaders mondiaux des services d'infrastructure cloud et est certifie selon les normes ISO 27001, SOC.

6.2 Services AWS utilises et donnees concernees

Amazon Web Services (AWS) (Pays siege : Etats-Unis) Service fourni: Hebergement cloud, stockage des donnees, infrastructure serveur, securite reseau ; Region hebergement: EU (Paris) ; Base legale transfert: Clauses contractuelles types (CCT) Decision 2021/914/UE. L'ensemble de l'infrastructure ATAYA APP est hebergee dans la region AWS Europe (Paris), ce qui signifie que les donnees des utilisateurs sont stockees et traitees sur le territoire de l'Union Europeenne, conformement aux exigences du RGPD.

6.3 Garanties contractuelles et mesures de securite

Le traitement des donnees par AWS est encadre par les garanties suivantes :

  • Accord de traitement des donnees (DPA) signe entre ATAYA APP et AWS, conforme aux articles 4-16 de la loi de 2008-12 et 28 du RGPD
  • Clauses Contractuelles Types (CCT) adoptees par la Commission Europeenne (Decision 2021/914/UE du 4 juin 2021) pour tout transfert hors UE
  • Chiffrement des donnees en transit via le protocole TLS 1.2 minimum et au repos via AES-256
  • Controle d'acces strict par le biais d'AWS IAM (Identity and Access Management)
  • Journalisation complete des acces et operations via AWS CloudTrail et CloudWatch
  • Conformite aux certifications ISO 27001, SOC (securite cloud)
  • Rapports d'audit SOC 2 Type II disponibles sur demande
  • Politique de confidentialite AWS disponible a l'adresse : https://aws.amazon.com/privacy/

6.4 Responsabilites respectives

Dans le cadre de cette sous-traitance, ATAYA APP SASU demeure l'unique Responsable de Traitement et conserve la pleine responsabilite de la liceite des traitements, de l'information des utilisateurs et de l'exercice de leurs droits. AWS agit exclusivement en qualite de sous-traitant, selon les instructions documentees d'ATAYA APP, sans pouvoir acceder aux donnees a d'autres fins ni les utiliser pour son propre compte.

7. TRANSFERTS INTERNATIONAUX DE DONNEES

L'ensemble des donnees a caractere personnel des utilisateurs d'ATAYA APP est heberge dans la region AWS Europe (Paris), situee au sein de l'Espace Economique Europeen. En consequence, il n'existe pas de transfert de donnees vers des pays tiers dans le cadre des operations courantes d'ATAYA APP mais de stockage.

Dans l'hypothese exceptionnelle ou un transfert de donnees vers un pays tiers (situe hors de l'UE ou du Senegal) s'avererait necessaire, ATAYA APP s'engage a n'autoriser ce transfert que dans les conditions strictes suivantes :

  • Existence d'une decision d'adequation de la Commission europeenne reconnaissant un niveau de protection equivalent (art. 45 RGPD) ;
  • Mise en place de Clauses Contractuelles Types (CCT) adoptees par la Commission Europeenne (Decision 2021/914/UE) ;
  • Regles d'entreprise contraignantes (Binding Corporate Rules, BCR) approuvees par une autorite de controle competente ;
  • Consentement explicite de l'utilisateur, apres information sur les risques potentiels du transfert (art. 49.1 (a) RGPD).

Dans tous les cas, ATAYA APP s'assure que le pays ou l'organisation destinataire garantit un niveau de protection adequat et substantiellement equivalent a celui offert par le RGPD et la loi senegalaise n° 2008-12 du 25 Janvier 2008 sur la protection des donnees personnelles.

8. DUREES DE CONSERVATION DES DONNEES

Conformement au principe de limitation de la conservation enonce aux articles 72 de la loi de 2008-12 du 25 Janvier 2008 et 5(1)(e) du RGPD, les donnees a caractere personnel sont conservees pendant une duree strictement limitee a ce qui est necessaire au regard des finalites pour lesquelles elles ont ete collectees. Les durees de conservation applicables sont les suivantes :

  • Donnees du compte actif: Duree de la relation contractuelle (Justification : Fourniture des services)
  • Donnees post-resiliation du compte: 10 ans apres resiliation (Justification : Obligations comptables et fiscales (article. L. 123-22 Code de commerce)) et les dispositions de loi de 2008-12 du 25 Janvier 2008
  • Donnees de prospects: 3 ans apres dernier contact (Justification : Prospection commerciale article 6(1)(f) RGPD)
  • Donnees de candidature (RH): 2 ans apres depot ou dernier contact (Justification : Gestion du recrutement)
  • Releves de paiement electronique: 10 ans (Justification : Loi n° 2008-09 du 25 janv. 2008 sur les transactions electroniques)
  • Donnees de geolocalisation GPS: Duree de la session active (Justification : Minimisation - collecte non permanente)
  • Journaux de connexion / logs: 12 mois (Justification : Securite, detection des fraudes obligation legale)
  • Donnees de communication (service client): 3 ans apres cloture de la demande (Justification : Gestion relation client, preuve en cas de litige)

A l'expiration de ces delais, les donnees personnelles sont soit supprimees definitivement et de facon irreversible, soit anonymisees de maniere a ne plus permettre l'identification de la personne concernee, conformement aux standards techniques en vigueur.

9. SECURITE DES DONNEES

ATAYA APP met en oeuvre toutes les mesures techniques et organisationnelles appropriees pour assurer la securite, l'integrite et la confidentialite des donnees a caractere personnel, conformement a l'article 32 du RGPD et aux articles 70 a 74 de la loi n° 2008-12. Ces mesures comprennent notamment :

Mesures techniques

  • Chiffrement de l'ensemble des communications entre l'Application et les serveurs via le protocole TLS 1.2/1.3 (HTTPS)
  • Chiffrement des donnees au repos via AES-256 sur l'infrastructure AWS
  • Authentification forte des utilisateurs (AWS Cognito) avec gestion securisee des sessions
  • Cloisonnement des environnements (production, staging, developpement) et controle d'acces selon le principe du moindre privilege
  • Surveillance continue de l'infrastructure (AWS CloudWatch, AWS GuardDuty) et journalisation des acces (AWS CloudTrail)
  • Sauvegardes regulieres et plan de reprise apres sinistre (Disaster Recovery Plan)
  • Tests de penetration et audits de securite reguliers

Mesures organisationnelles

  • Politique interne de securite des systemes d'information (PSSI) applicable a l'ensemble des collaborateurs
  • Formation et sensibilisation reguliere du personnel a la protection des donnees et a la cybersecurite
  • Clauses de confidentialite dans tous les contrats de travail et contrats de prestation
  • Procedure documentee de notification des violations de donnees (article 33 RGPD : delai de 72 heures a la CDP)
  • Registre des traitements tenu a jour conformement a l'article 30 du RGPD

En cas de violation de donnees a caractere personnel susceptible d'engendrer un risque eleve pour les droits et libertes des utilisateurs concernes, ATAYA APP s'engage a notifier ces derniers dans les meilleurs delais, conformement a l'article 34 du RGPD, et a en informer la Commission de Protection des Donnees Personnelles du Senegal (CDP) dans un delai de 72 heures suivant la prise de connaissance de l'incident, conformement a l'article 33 du RGPD.

10. DROITS DES PERSONNES CONCERNEES

Conformement a la loi n° 2008-12 du 25 janvier 2008 et au RGPD, tout utilisateur dispose des droits suivants sur ses donnees a caractere personnel :

  • Droit d'acces: Obtenir une copie de l'ensemble de vos donnees personnelles traitees. (Delai de reponse : 3 jours ouvres)
  • Droit de rectification: Corriger toute donnee inexacte ou incomplete. (Delai de reponse : 3 jours ouvres)
  • Droit a l'effacement: Demander la suppression de vos donnees (sous reserve des obligations legales). (Delai de reponse : 3 jours ouvres)
  • Droit a la portabilite: Recevoir vos donnees dans un format structure et lisible par machine. (Delai de reponse : 3 jours ouvres)
  • Droit d'opposition: S'opposer au traitement fonde sur l'interet legitime. (Delai de reponse : 3 jours ouvres)
  • Droit a la limitation: Demander la suspension temporaire du traitement. (Delai de reponse : 3 jours ouvres)
  • Retrait du consentement: Retirer a tout moment votre consentement sans effet retroactif. (Delai de reponse : Immediat)

10.1 Modalites d'exercice des droits

Pour exercer l'un des droits enonces ci-dessus, l'utilisateur peut contacter ATAYA APP par l'un des moyens suivants :

  • Par email a l'adresse : contact@ataya.app (reponse sous 3 jours ouvres)
  • Via WhatsApp ou par telephone au : +221 77 102 56 55
  • Directement dans l'Application, depuis la section « Mon compte »

Afin de traiter la demande dans les meilleurs delais et de verifier l'identite du demandeur, ATAYA APP se reserve le droit de solliciter tout document d'identification permettant de confirmer l'identite de la personne exercant ses droits. Cette information est traitee de maniere confidentielle et n'est pas conservee au-dela du temps necessaire a la verification.

ATAYA APP s'engage a repondre a toute demande dans un delai maximum de trois (3) jours ouvres. En cas de demande particulierement complexe ou d'un volume important de demandes concomitantes, ce delai peut etre prolonge d'une (1) journee supplementaire, l'utilisateur en etant prealablement informe avec mention des raisons du delai.

10.2 Droit d'annulation et de remboursement

Les utilisateurs peuvent annuler leurs reservations dans les delais et conditions suivants :

  • Annulation 48 heures ou plus avant la date de l'activite : remboursement a hauteur de 50 %
  • Annulation entre 48 et 24 heures avant la date de l'activite : remboursement a hauteur de 25 %, ce montant couvrant les engagements contractuels vis-a-vis des prestataires partenaires
  • Annulation moins de 24 heures avant la date de l'activite : aucun remboursement

Les modalites specifiques d'annulation propres a chaque prestataire partenaire sont clairement indiquees sur la page de reservation de chaque activite. En cas de contradiction entre ces modalites et la presente Politique, les conditions specifiques du prestataire prevalent pour la partie annulation.

10.3 Suppression du compte et desinscription

Tout utilisateur peut a tout moment se desinscrire de l'Application et demander la suppression definitive de son compte. Cette demande a pour consequences :

  • La suppression definitive et irreversible de l'ensemble des donnees personnelles de l'utilisateur, sous reserve des donnees devant etre conservees pour satisfaire a des obligations legales, fiscales ou comptables
  • L'anonymisation technique des donnees ne pouvant etre supprimees pour des raisons legales ou techniques
  • La perte immediate et definitive de l'acces a l'ensemble des services proposes par l'Application

A lire attentivement : La desinscription et la suppression du compte doivent etre effectuees AVANT la desinstallation de l'Application. En cas de desinstallation prealable sans suppression du compte, les donnees personnelles de l'utilisateur continueront a etre conservees jusqu'a l'expiration des delais prevus a l'article 8 de la presente Politique. ATAYA APP ne pourra etre tenue responsable du maintien en base de donnees resultant d'une desinstallation sans suppression prealable du compte.

11. COOKIES ET TECHNOLOGIES DE SUIVI

L'Application ATAYA APP peut utiliser des technologies de suivi, notamment des identifiants de session et des identifiants publicitaires mobiles, afin d'assurer le bon fonctionnement des services, d'analyser l'utilisation de l'Application et, avec le consentement de l'utilisateur, de proposer des contenus et publicites personnalises.

Les technologies de suivi utilisees se repartissent en trois categories :

  • Identifiants de session essentiels : strictement necessaires au fonctionnement de l'Application (authentification, maintien de la session). Ils ne requierent pas le consentement de l'utilisateur.
  • Technologies analytiques : permettent de mesurer l'audience, d'analyser les comportements de navigation et d'ameliorer l'Application. Ils sont actives uniquement avec le consentement de l'utilisateur.
  • Technologies publicitaires : permettent la personnalisation des contenus et des publicites. Ils sont actives uniquement avec le consentement explicite de l'utilisateur.

L'utilisateur peut a tout moment gerer ses preferences en matiere de technologies de suivi depuis les parametres de confidentialite de l'Application ou depuis les parametres de son terminal mobile. Le retrait du consentement n'affecte pas la liceite des traitements effectues anterieurement.

12. CONTACT DU DELEGUE A LA PROTECTION DES DONNEES

Pour toute question relative a la presente Politique de Confidentialite, a l'exercice de vos droits ou a la protection de vos donnees personnelles, vous pouvez contacter le Delegue a la Protection des Donnees (DPO) d'ATAYA APP SASU par les moyens suivants :

  • Email: contact@ataya.app
  • WhatsApp / Telephone: +221 77 102 56 55
  • Application: Section « Mon compte »

Si, apres avoir contacte ATAYA APP, vous estimez que vos droits n'ont pas ete respectes, vous disposez du droit d'introduire une reclamation aupres de la Commission de Protection des Donnees Personnelles du Senegal (CDP), autorite de controle competente :

  • Autorite de controle: Commission de Protection des Donnees Personnelles (CDP) Senegal
  • Adresse: 7, rue Abdou Karim Bourgi, BP 15 716 Dakar, Senegal
  • Site internet: www.cdp.sn
  • Telephone: +221 33 849 38 90

13. MODIFICATIONS DE LA POLITIQUE DE CONFIDENTIALITE

ATAYA APP se reserve le droit de modifier la presente Politique de Confidentialite a tout moment, notamment pour l'adapter aux evolutions legales, reglementaires, jurisprudentielles ou techniques. En cas de modification substantielle affectant les droits des utilisateurs, ATAYA APP s'engage a informer les utilisateurs par voie de notification integree a l'Application ou par email, au moins trente (30) jours avant l'entree en vigueur des nouvelles dispositions.

La version applicable est celle en vigueur au moment de l'utilisation de l'Application. La poursuite de l'utilisation de l'Application apres notification des modifications vaut acceptation de la nouvelle Politique.

La presente Politique de Confidentialite a ete redigee en langue francaise. En cas de traduction dans une autre langue, la version francaise prevaut en cas de contradiction ou d'ambiguite.

Derniere mise a jour le 24 Mars 2026

    Ataya - Senegal Activities & Tourism