Document légal Legal document

Politique de confidentialité Privacy Policy

Dernière mise à jour : 5 avril 2026 Last updated: April 5, 2026

ABWPAY SARLU — Kinshasa, RDC

Sommaire

Table of contents

01Données collectéesData collected
02Finalités du traitementProcessing purposes
03Base légaleLegal basis
04Partage des donnéesData sharing
05SécuritéSecurity
06ConservationRetention
07Vos droitsYour rights
08CookiesCookies
09Transferts internationauxInternational transfers
10ContactContact

Résumé : Summary: ABWPAY collecte uniquement les données strictement nécessaires au fonctionnement du service de paiement. Vos données ne sont jamais vendues à des tiers. Vous pouvez exercer vos droits à tout moment en nous écrivant. ABWPAY collects only the data strictly necessary for the payment service to function. Your data is never sold to third parties. You can exercise your rights at any time by writing to us.

01 Données que nous collectons Data we collect

Dans le cadre de l'utilisation des services ABWPAY, nous collectons les catégories de données suivantes :

In the context of using ABWPAY services, we collect the following categories of data:

Catégorie	Category	Données	Data	Obligatoire
Identité	Identity	Prénom, nom, date de naissance	First name, last name, date of birth	Oui / Yes
Contact	Contact	Email, numéro WhatsApp	Email, WhatsApp number	Oui / Yes
Mobile Money	Mobile Money	Numéros de téléphone, opérateurs	Phone numbers, operators	Oui / Yes
Transactions	Transactions	Montants, sites, dates, références	Amounts, sites, dates, references	Oui / Yes
KYC	KYC	Documents d'identité (si niveau 2+)	Identity documents (if level 2+)	Optionnel
Technique	Technical	Adresse IP, logs de connexion	IP address, connection logs	Oui / Yes

Nous ne collectons jamais vos données biométriques, votre localisation GPS, ni aucune donnée relative à votre PIN Mobile Money. Votre PIN est traité directement par votre opérateur via le protocole USSD sécurisé.

We never collect your biometric data, GPS location, or any data related to your Mobile Money PIN. Your PIN is processed directly by your operator via the secure USSD protocol.

02 Finalités du traitement Processing purposes

Vos données sont traitées exclusivement pour les finalités suivantes :

Your data is processed exclusively for the following purposes:

Exécution du service de paiement : traitement et acheminement de vos paiements Mobile Money vers les plateformes marchandes.
Payment service execution: processing and routing your Mobile Money payments to merchant platforms.
Authentification : envoi de codes OTP par email et WhatsApp pour sécuriser chaque transaction.
Authentication: sending OTP codes by email and WhatsApp to secure each transaction.
Conformité KYC/AML : vérification de l'identité conformément à la Loi n°04/016 de la RDC.
KYC/AML compliance: identity verification in accordance with DRC Law n°04/016.
Émission de reçus : génération et envoi de reçus PDF signés cryptographiquement.
Receipt issuance: generating and sending cryptographically signed PDF receipts.
Support client : traitement de vos demandes d'assistance.
Customer support: handling your assistance requests.
Amélioration du service : analyse des données agrégées et anonymisées.
Service improvement: analysis of aggregated and anonymized data.

Nous n'utilisons jamais vos données à des fins publicitaires ou de marketing tiers.

We never use your data for advertising or third-party marketing purposes.

03 Base légale du traitement Legal basis for processing

Le traitement de vos données repose sur les bases légales suivantes, conformément au droit congolais et aux principes du RGPD appliqués aux utilisateurs de la diaspora africaine en Europe :

The processing of your data is based on the following legal grounds, in accordance with Congolese law and GDPR principles applied to African diaspora users in Europe:

Exécution contractuelle : nécessaire à la fourniture du service de paiement ABWPAY.
Contractual execution: necessary for the provision of the ABWPAY payment service.
Obligation légale : conformité aux exigences KYC/AML de la BCC et de la Loi n°04/016 RDC.
Legal obligation: compliance with KYC/AML requirements from the BCC and DRC Law n°04/016.
Intérêt légitime : sécurité du service, prévention de la fraude, amélioration des performances.
Legitimate interest: service security, fraud prevention, performance improvement.
Consentement : pour les communications marketing optionnelles uniquement.
Consent: for optional marketing communications only.

04 Partage des données Data sharing

Vos données sont partagées uniquement avec les partenaires techniques strictement nécessaires à l'exécution du service :

Your data is shared only with technical partners strictly necessary for service execution:

Partenaire	Partner	Rôle	Role	Données transmises	Data transmitted
PawaPay / CinetPay	Agrégateurs Mobile Money	Mobile Money aggregators	Numéro de téléphone, montant	Phone number, amount
Stripe	Paiement sortant (cartes virtuelles)	Outgoing payment (virtual cards)	Montant uniquement	Amount only
Supabase	Base de données hébergée	Hosted database	Toutes données de compte (chiffrées)	All account data (encrypted)
Twilio	Envoi de codes OTP WhatsApp	OTP code sending (WhatsApp)	Numéro WhatsApp, code OTP	WhatsApp number, OTP code
Autorités légales	Legal authorities	Conformité légale obligatoire	Mandatory legal compliance	Sur demande légale formelle uniquement	On formal legal request only

Nous ne vendons, ne louons et ne partageons jamais vos données avec des annonceurs ou des courtiers en données.

We never sell, rent, or share your data with advertisers or data brokers.

05 Sécurité des données Data security

ABWPAY met en œuvre les mesures de sécurité suivantes :

ABWPAY implements the following security measures:

Chiffrement TLS 1.3 sur toutes les communications réseau
TLS 1.3 encryption on all network communications
Mots de passe hachés avec bcrypt (facteur de coût 12+)
Hashed passwords with bcrypt (cost factor 12+)
Codes OTP hashés SHA-256 — jamais stockés en clair
OTP codes hashed SHA-256 — never stored in plain text
Signatures HMAC-SHA256 sur toutes les transactions
HMAC-SHA256 signatures on all transactions
Row Level Security (RLS) : chaque utilisateur ne voit que ses propres données
Row Level Security (RLS): each user only sees their own data
Double authentification OTP avant chaque paiement
Double OTP authentication before each payment
Limitation de débit (rate limiting) sur toutes les routes API
Rate limiting on all API routes

06 Durée de conservation Data retention

Donnée	Data	Durée	Duration	Raison	Reason
Données de compte	Account data	Durée de la relation + 5 ans	Duration of relationship + 5 years	Obligation légale RDC	DRC legal obligation
Transactions	Transactions	10 ans	10 years	Loi AML n°04/016	AML Law n°04/016
Codes OTP	OTP codes	5 minutes (purge automatique)	5 minutes (automatic purge)	Sécurité	Security
Documents KYC	KYC documents	5 ans après clôture du compte	5 years after account closure	Obligation réglementaire BCC	BCC regulatory obligation
Logs de connexion	Connection logs	90 jours	90 days	Sécurité et fraude	Security and fraud

07 Vos droits Your rights

Conformément au droit congolais applicable et aux principes RGPD pour les utilisateurs européens, vous disposez des droits suivants :

In accordance with applicable Congolese law and GDPR principles for European users, you have the following rights:

Droit d'accès : obtenir une copie de vos données personnelles
Right of access: obtain a copy of your personal data
Droit de rectification : corriger des données inexactes
Right of rectification: correct inaccurate data
Droit à l'effacement : demander la suppression (sous réserve des obligations légales)
Right to erasure: request deletion (subject to legal obligations)
Droit à la portabilité : recevoir vos données dans un format structuré
Right to portability: receive your data in a structured format
Droit d'opposition : vous opposer à certains traitements
Right to object: object to certain processing

Pour exercer vos droits, contactez-nous à : biandajosue@gmail.com. Délai de réponse : 30 jours maximum.

To exercise your rights, contact us at: biandajosue@gmail.com. Response time: maximum 30 days.

08 Cookies et traceurs Cookies and trackers

ABWPAY utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du service (session utilisateur, préférence de langue). Aucun cookie publicitaire ou de traçage tiers n'est utilisé.

ABWPAY uses only technical cookies strictly necessary for the service to function (user session, language preference). No advertising or third-party tracking cookies are used.

Données stockées localement : abwpay_lang (préférence de langue), abwpay_session (token de session JWT, HttpOnly).

Data stored locally: abwpay_lang (language preference), abwpay_session (JWT session token, HttpOnly).

09 Transferts internationaux de données International data transfers

Certaines de nos données sont traitées par des prestataires établis hors de la RDC (États-Unis, Union Européenne). Ces transferts s'effectuent avec les garanties suivantes :

Some of our data is processed by providers established outside the DRC (United States, European Union). These transfers are made with the following guarantees:

Supabase (EU) : données hébergées dans l'Union Européenne
Supabase (EU): data hosted in the European Union
Stripe (USA) : certifié PCI DSS Level 1, clauses contractuelles types
Stripe (USA): PCI DSS Level 1 certified, standard contractual clauses
Twilio (USA) : conforme au Data Privacy Framework, chiffrement de bout en bout
Twilio (USA): compliant with Data Privacy Framework, end-to-end encryption

10 Contact et réclamations Contact and complaints

Responsable du traitement : Josué BIANDA MANDIANGU, Gérant de ABWPAY SARLU

Data controller: Josué BIANDA MANDIANGU, Manager of ABWPAY SARLU

B93, Avenue Mbanza-Ngungu, Q/ Funa 1, C/ Barumbu, Kinshasa, RDC

biandajosue@gmail.com

En cas de réclamation non résolue, vous pouvez saisir la Banque Centrale du Congo (BCC) ou l'autorité de protection des données compétente selon votre pays de résidence.

In case of unresolved complaint, you may refer the matter to the Central Bank of Congo (BCC) or the competent data protection authority in your country of residence.