Cadre contractuel

1. Identité et contacts

La plateforme est éditée par Winner Market Life, sous la marque FiscAPI.

• Adresse : Cotonou, Bénin
• Contact général : contact@winnermarketlife.com
• Contact données personnelles / DPO : contact@winnermarketlife.com

2. Rôles de traitement

Les rôles peuvent varier selon le traitement concerné :

• Groupe client responsable du traitement : lorsque le Groupe client utilise l'ERP pour gérer ses clients, fournisseurs, salariés, factures, stocks, pièces, opérations comptables, fiscales, commerciales ou RH.
• Winner Market Life sous-traitant : lorsque Winner Market Life héberge, maintient, sécurise, sauvegarde, migre, dépanne ou assiste l'instance pour le compte du Groupe client.
• Winner Market Life responsable du traitement : pour la gestion de ses prospects, contrats, licences, activations, facturation, support, sécurité de ses services, conformité et preuve contractuelle.

Lorsque le Groupe client agit comme responsable du traitement, il doit informer ses propres personnes concernées, définir les durées de conservation, gérer les habilitations, tenir les registres requis et accomplir les formalités nécessaires auprès de l'autorité compétente lorsque la loi l'exige.

3. Catégories de données traitées

Selon les modules activés et le paramétrage de l'instance, FiscAPI peut traiter les catégories suivantes :

• Comptes et utilisateurs : identité, email, téléphone, rôle, entité, permissions, statut, historique d'acceptation des CGU/licence.
• Données d'organisation : Groupe client, entités, IFU, RCCM, adresses, fiscalité, profils pays, licences, modules, paramètres métier.
• Données commerciales : clients, prospects, fournisseurs, contacts, devis, proformas, factures, paiements, relances et pièces jointes.
• Données fiscales et e-MECeF : informations nécessaires à la normalisation, au suivi des transmissions, aux statuts, preuves et journaux fiscaux.
• Données comptables et financières : journaux, comptes, écritures, lettrage, rapprochements, budgets, immobilisations, trésorerie, clôtures et rapports.
• Données stock et matières : articles, lots, séries, entrepôts, mouvements, inventaires, coûts, ordres, traçabilité, réceptions, sorties et écarts.
• Données RH et paie : salariés, contrats, paie, absences, avances, bulletins, onboarding et documents RH lorsque le module est activé.
• Données techniques : adresses IP, journaux d'accès, appareils, navigateur, événements de sécurité, audit trail, erreurs et traces de diagnostic.
• Données support : tickets, échanges, captures, journaux, exports et informations nécessaires à l'assistance.
• Données IA/OCR : documents, textes, métadonnées, prompts, résultats d'analyse ou suggestions lorsque les fonctions OCR, automatisation ou IA sont utilisées.

Les données sensibles au sens de la législation applicable ne doivent être traitées dans l'ERP que si le module, la finalité, la base légale, les habilitations et les mesures de sécurité le justifient.

4. Sources des données

Les données peuvent provenir :

• du Groupe client et de ses utilisateurs lors de la saisie, de l'import, de la migration ou de l'activation de l'instance ;
• des documents, fichiers, factures, relevés, inventaires, OCR ou API transmis dans l'ERP ;
• des systèmes tiers connectés par le Groupe client : fiscalité, paiement, banque, email, stockage, portail client, API ou connecteur métier ;
• des journaux techniques générés automatiquement pour la sécurité, l'audit, la licence et la maintenance ;
• des échanges commerciaux, contractuels ou de support avec Winner Market Life.

5. Finalités et bases légales

Les traitements poursuivent notamment les finalités suivantes :

• Fourniture du logiciel : création des comptes, accès aux modules, gestion des entités, rôles, workflows, documents, API et tableaux de bord.
• Exécution contractuelle : licence, activation, support, maintenance, facturation, preuve d'acceptation, renouvellement et réversibilité.
• Obligations légales : obligations fiscales, comptables, sociales, sécurité, conservation probatoire et réponses aux autorités compétentes.
• Intérêt légitime : sécurité, prévention de la fraude, détection d'incidents, audit, amélioration de la stabilité et protection de la plateforme.
• Consentement : lorsque la loi l'exige, notamment pour certaines communications, cookies non essentiels ou traitements facultatifs.
• Instruction du Groupe client : support, maintenance, hébergement, sauvegarde, migration, automatisation ou traitement métier réalisé pour son compte.

6. Destinataires et partage

Les données ne sont pas vendues. Elles sont accessibles uniquement aux personnes ou organismes ayant besoin d'en connaître dans le périmètre autorisé :

• utilisateurs habilités du Groupe client, administrateurs, validateurs, auditeurs et délégataires ;
• équipes support, maintenance, sécurité ou exploitation de Winner Market Life, dans la limite nécessaire ;
• prestataires techniques autorisés : hébergement privé, stockage, sauvegarde, email, observabilité, paiement, signature, OCR, IA ou sécurité ;
• administrations, DGI, autorités fiscales, sociales, judiciaires ou de contrôle lorsque la loi l'impose ou lorsque le Groupe client l'active ;
• applications tierces connectées par le Groupe client sous sa responsabilité.

Les sous-traitants ultérieurs sont sélectionnés en tenant compte de garanties de confidentialité, sécurité, disponibilité, traçabilité et protection des données.

7. Localisation, hébergement et transferts internationaux

FiscAPI est conçu pour une instance privée mono-groupe. Selon le contrat, l'instance peut être hébergée sur une VM, un cloud privé, une infrastructure dédiée ou un environnement administré par le Groupe client.

Lorsque des données sont transférées hors du pays d'hébergement ou hors du Bénin, ces transferts doivent être encadrés par les garanties contractuelles, techniques et organisationnelles requises par la loi applicable. Si le RGPD s'applique, les transferts hors Espace économique européen doivent être encadrés par un mécanisme reconnu, sauf exception prévue par le droit applicable.

8. Durées de conservation

Les durées dépendent du rôle de traitement, du module, du contrat et des obligations légales. À titre de principe :

• Données métier du Groupe client : conservées selon les choix, obligations légales et politiques internes du Groupe client.
• Factures, écritures, pièces fiscales et comptables : conservées pendant les durées imposées par les obligations comptables, fiscales ou probatoires applicables.
• Comptes et habilitations : conservés pendant la relation contractuelle, puis archivés ou supprimés selon les besoins de preuve, sécurité et audit.
• Journaux techniques et sécurité : conservés pendant une durée proportionnée aux besoins de sécurité, audit, diagnostic, preuve et conformité.
• Support et maintenance : conservés pendant la durée nécessaire au traitement du ticket, à la preuve d'intervention et à l'amélioration du service.
• Sauvegardes : conservées selon la politique de sauvegarde contractuelle ou celle du Groupe client lorsqu'il administre son infrastructure.

En fin de contrat, les modalités d'export, restitution, suppression, archivage ou destruction sont traitées selon les CGU/licence, le contrat applicable et les obligations légales de conservation.

9. Sécurité et confidentialité

Des mesures techniques et organisationnelles sont mises en œuvre selon le mode de déploiement, notamment :

• authentification, rôles, permissions, séparation par entité et contrôle strict du périmètre tenant ;
• journalisation des accès et actions sensibles, horodatage, audit et traces de sécurité ;
• chiffrement en transit, protection des secrets, stockage chiffré des clés ou tokens sensibles lorsque le module le requiert ;
• principe du moindre privilège pour les accès support, maintenance et administration ;
• sauvegardes, restauration, supervision, correctifs et durcissement selon le contrat ou la politique d'exploitation ;
• confidentialité contractuelle des personnels et prestataires autorisés.

Le Groupe client reste responsable de la sécurité de ses postes, comptes administrateurs, mots de passe, accès réseau, intégrations tierces, exports, partages de fichiers et procédures internes.

10. IA, OCR et automatisations

Les fonctions IA, OCR, classification, suggestions comptables, rapprochements, analyses ou assistants ne remplacent pas la validation humaine. Elles peuvent traiter des données métier pour produire une aide à la décision ou une pré-saisie.

• les résultats doivent être vérifiés par un utilisateur habilité avant validation comptable, fiscale, RH ou commerciale ;
• les fournisseurs IA/OCR ne sont utilisés que si le module ou l'intégration est activé et configuré ;
• les secrets, clés API et tokens doivent être limités aux usages autorisés et protégés selon les règles de sécurité applicables ;
• les données ne doivent pas être utilisées pour entraîner un modèle tiers sans base contractuelle ou autorisation appropriée.

11. Cookies et traceurs

La plateforme utilise des cookies et stockages techniques nécessaires à l'authentification, à la session, à la sécurité, aux préférences utilisateur et au bon fonctionnement de l'application. Les cookies non essentiels, publicitaires ou de mesure avancée ne sont utilisés qu'avec les informations et consentements requis lorsque la loi l'exige.

12. Droits des personnes concernées

Selon la loi applicable, les personnes concernées peuvent disposer de droits d'accès, de rectification, d'effacement, d'opposition, de limitation, de portabilité, de retrait du consentement et de réclamation auprès de l'autorité compétente.

Pour exercer vos droits sur les traitements dont Winner Market Life est responsable, contactez contact@winnermarketlife.com. Lorsque la demande concerne des données traitées dans l'instance pour le compte du Groupe client, la demande doit être adressée au Groupe client concerné. Winner Market Life l'assistera dans la mesure prévue au contrat.

Au Bénin, une réclamation peut être adressée à l'Autorité de Protection des Données à caractère Personnel (APDP), notamment via apdp.bj ou les canaux officiels publiés par l'APDP.

13. Violations de données et incidents

En cas d'incident susceptible d'affecter la confidentialité, l'intégrité ou la disponibilité de données personnelles, les parties coopèrent selon leurs rôles respectifs. Lorsque Winner Market Life agit comme sous-traitant, il informe le Groupe client dans les conditions contractuelles afin de l'aider à satisfaire ses obligations de notification. Lorsque Winner Market Life agit comme responsable du traitement, il applique les notifications requises auprès de l'autorité compétente et, le cas échéant, des personnes concernées.

14. Mineurs

FiscAPI est une plateforme professionnelle B2B. Elle n'est pas destinée aux mineurs. Le Groupe client doit éviter d'introduire des données de mineurs sauf nécessité métier, base légale, information et habilitations appropriées.

15. Évolution de la politique

Cette politique peut être modifiée pour tenir compte de l'évolution du produit, des modules, du mode de déploiement, des sous-traitants, de la réglementation ou des exigences de sécurité. Une version mise à jour est publiée sur cette page. Les changements substantiels peuvent être signalés dans l'application ou par un moyen contractuellement approprié.