Politique de transfert
Version 2.0
Date d'entrée en vigueur : Juin 2026
Préambule
PAYMETRUST CI (ci-après « PAYMETRUST » ou la « Société ») exerce une activité d’établissement de paiement et de fourniture de services financiers numériques en Côte d’Ivoire. Dans le cadre de ses opérations, elle est amenée à transférer des données à caractère personnel vers des entités situées en dehors du territoire ivoirien : prestataires techniques, partenaires financiers, schémas de carte internationaux, sociétés du groupe et autorités étrangères compétentes. Consciente que ces transferts constituent un traitement particulièrement sensible, susceptible d’affecter les droits et libertés fondamentaux des personnes concernées, PAYMETRUST adopte la présente politique afin d’encadrer rigoureusement chaque flux international de données, en cohérence avec :
la loi ivoirienne n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel et ses textes d’application;
l’Acte additionnel CEDEAO A/SA.1/01/10 du 16 février 2010 relatif à la protectiondes données à caractère personnel dans l’espace CEDEAO;
la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel (Convention de Malabo, 27 juin 2014);
la Convention 108+ du Conseil de l’Europe, ratifiable par les États non européens, qui constitue le standard international en matière de transferts ;
le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), lorsqu’un transfert implique des personnes concernées résidant dans l’Espace économique européen ou un partenaire soumis à ce règlement ;
les standards sectoriels applicables aux services de paiement, notamment la norme PCI DSS et les exigences de la BCEAO en matière de localisation et de sécurité des données financières.
Objet de la politique
La présente politique a pour objet de :
1. définir les conditions, les bases juridiques et les garanties applicables à tout transfert de données personnelles depuis la Côte d’Ivoire vers un pays tiers ;
2. formaliser les rôles et responsabilités au sein de PAYMETRUST pour la maîtrise des flux internationaux ;
3. garantir aux personnes concernées un niveau de protection effectif, continu et équivalent à celui assuré par le droit ivoirien, quel que soit le lieu de destination des données ;
4. assurer la traçabilité documentaire indispensable au contrôle par l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI) et, le cas échéant, par toute autorité étrangère compétente.
Champ d’application
3.1 Champ matériel
La politique s’applique à tout transfert, communication, mise à disposition ou accès distant à des données à caractère personnel, qu’il soit :
ponctuel ou systématique;
réalisé par voie électronique, physique ou par accès à distance à des bases de données;
effectué vers un sous-traitant, un responsable conjoint, une entité du même groupe ou un destinataire indépendant ;
opéré via un service en nuage (cloud), même lorsque les serveurs sont nominalement multirégions.
Toute consultation à distance des données stockées en Côte d’Ivoire depuis un pays tiers (téléassistance, télémaintenance, support informatique, audit) est assimilée à un transfert et soumise à la présente politique.
3.2 Champ personnel
La politique concerne l’ensemble des personnes dont PAYMETRUST traite les données :
clients personnes physiques, représentants légaux et bénéficiaires effectifs de clients personnes morales, prospects, salariés, candidats, prestataires, visiteurs des sites web et applications mobiles, ainsi que toute personne identifiée ou identifiable dans le cadre des opérations de la Société.
3.3 Champ territorial
La politique s’applique à tout transfert sortant depuis la Côte d’Ivoire. Elle s’applique également, mutatis mutandis, à tout transfert entrant lorsque PAYMETRUST agit en qualité de destinataire et que des dispositions étrangères imposent des garanties spécifiques (notamment lorsque les données proviennent de l’Espace économique européen).
Définitions
Pour l’application de la présente politique, les termes suivants sont entendus comme suit :
Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, un identifiant en ligne, un numéro de téléphone, des
données de transaction, des données biométriques ou un ou plusieurs éléments propres à son identité.
Données sensibles : données révélant l’origine raciale ou ethnique, les opinions politiques, religieuses, philosophiques ou syndicales, la vie sexuelle, la santé, les mesures d’ordre social, les poursuites ou condamnations pénales, ainsi que les données génétiques et biométriques.
Traitement : toute opération ou ensemble d’opérations portant sur des données personnelles, telle que la collecte, l’enregistrement, la conservation, la modification, l’extraction, la consultation, l’utilisation, la communication, la diffusion, le rapprochement, le verrouillage, l’effacement ou la destruction.
Transfert international (ou « transfert vers un pays tiers ») : toute communication, mise à disposition ou accès à des données personnelles à destination d’un destinataire situé en dehors du territoire de la Côte d’Ivoire, quel que soit le support et indépendamment du caractère transitoire ou permanent de la communication.
Pays tiers : tout État ou territoire situé en dehors de la Côte d’Ivoire. La présente politique distingue, conformément à la pratique de l’ARTCI : (i) les pays bénéficiant d’une décision d’adéquation et (ii) les autres pays. L’appartenance à l’espace CEDEAO, à l’UEMOA, à l’Union africaine ou à l’Union européenne ne dispense pas, par elle-même, de l’obligation d’encadrement du transfert.
Décision d’adéquation : décision par laquelle l’autorité de protection compétente reconnaît qu’un pays tiers, un territoire, un secteur d’activité ou une organisation internationale assure un niveau de protection des données substantiellement équivalent à celui du droit interne.
Clauses Contractuelles Types (CCT) : clauses contractuelles standardisées, approuvées par l’autorité de protection, fournissant des garanties appropriées en matière de protection des données dans le cadre d’un transfert international.
Règles d’Entreprise Contraignantes (BCR) : règles internes adoptées par un groupe d’entreprises et juridiquement contraignantes, encadrant les transferts intragroupe vers des pays tiers.
Responsable de traitement : la personne morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Sous-traitant : la personne morale qui traite des données pour le compte du responsable de traitement.
Personne concernée : la personne physique à laquelle se rapportent les données objet du transfert.
Délégué à la Protection des Données (DPO ou CPD) : personne désignée par PAYMETRUST, telle que prévue par la réglementation ivoirienne, chargée d’assurer en toute indépendance le respect des obligations de protection des données.
Analyse d’Impact relative à la Protection des Données (AIPD) : processus visant à évaluer la nécessité, la proportionnalité et les risques d’un traitement, ainsi que les mesures envisagées pour les atténuer.
Violation de données : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles transmises, conservées ou autrement traitées.
Principes directeurs
Tout transfert international réalisé par PAYMETRUST repose sur les principes suivants :
5.1 Licéité, loyauté et transparence
Aucun transfert n’est mis en œuvre sans base légale identifiée et sans information préalable, claire et accessible des personnes concernées, conformément à l’article 32 de la loi n° 2013-450 et aux exigences équivalentes des standards internationaux.
5.2 Finalité déterminée, explicite et légitime
Les données ne sont transférées que pour des finalités strictement nécessaires à l’exécution des services de paiement, à la prévention de la fraude, à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), à la gestion contractuelle, au respect d’obligations légales ou à des intérêts légitimes proportionnés.
5.3 Minimisation
Seules les données strictement nécessaires à la finalité poursuivie sont transférées. Toute
donnée non indispensable est exclue, anonymisée ou pseudonymisée avant transfert.
5.4 Niveau de protection équivalent
PAYMETRUST veille à ce que le destinataire offre un niveau de protection substantiellement équivalent à celui assuré par le droit ivoirien et, le cas échéant, à celui exigé par le droit applicable aux données d’origine (RGPD pour les personnes concernées résidant dans l’EEE).
5.5 Responsabilité (accountability)
PAYMETRUST est en mesure de démontrer à tout moment, par une documentation tenue à
jour, le respect de la présente politique : registre des transferts, AIPD, contrats, autorisations,
rapports d’audit, plans de remédiation.
5.6 Approche fondée sur les risques
Chaque transfert fait l’objet d’une évaluation des risques pesant sur les droits et libertés des personnes concernées, tenant compte notamment du droit du pays destinataire, des pratiques des autorités publiques locales, du type de données et des mesures techniques mises en œuvre.
6. Conditions de transfert vers un pays tiers
PAYMETRUST ne procède à un transfert international qu’à la condition cumulative que (i) le traitement principal soit lui-même licite et déclaré ou autorisé auprès de l’ARTCI lorsqu’une telle formalité est requise, et (ii) le transfert soit fondé sur l’un des mécanismes décrits ci-après.
6.1 Hiérarchie des mécanismes
Pays reconnu adéquat par l’ARTCI
Décision d’adéquation – aucun outil complémentaire requis
Déclaration et inscription au registre des transferts
Pays sans décision d’adéquation
Clauses Contractuelles Types (CCT) approuvées par l’ARTCI, Règles d’Entreprise Contraignantes (BCR), code de conduite ou certification
Demande d’autorisation préalable (art. 7 et 26 de la loi n° 2013-450)
Transfert ponctuel fondé sur une dérogation
Consentement explicite, exécution d’un contrat, intérêt public majeur, défense en justice ou intérêt vital de la personne concernée
6.2 Décision d’adéquation
Lorsque l’ARTCI a reconnu, par décision publique, qu’un pays tiers assure un niveau de protection adéquat, le transfert peut intervenir sans outil contractuel complémentaire. PAYMETRUST vérifie la validité de la décision avant chaque nouveau transfert et tient compte des éventuelles révocations ou suspensions.
6.3 Garanties appropriées
En l’absence de décision d’adéquation, le transfert n’est possible que si des garanties appropriées sont mises en place, notamment :
Clauses Contractuelles Types (CCT) approuvées par l’ARTCI, ou, à défaut, CCT publiées par la Commission européenne dans leur dernière version, dûment adaptées au contexte ivoirien.
Règles d’Entreprise Contraignantes (BCR), pour les transferts intragroupe, lorsqu’elles ont été approuvées par une autorité de protection compétente.
Codes de conduite ou mécanismes de certification offrant des garanties opposables aux personnes concernées.
Arrangements administratifs entre autorités publiques, lorsque PAYMETRUST agit en réponse à une réquisition légale étrangère valide reconnue par les autorités ivoiriennes.
Ces garanties font l’objet, en application des articles 7 et 26 de la loi n° 2013-450, d’une
demande d’autorisation préalable auprès de l’ARTCI.
6.4 Dérogations pour des situations particulières
À titre exceptionnel, lorsqu’aucun des mécanismes ci-dessus n’est applicable, un transfert peut reposer sur l’une des dérogations suivantes, strictement interprétées et limitées dans le temps :
le consentement explicite, éclairé et préalable de la personne concernée, après information sur les risques spécifiques du transfert et l’absence de garanties appropriées
a nécessité du transfert à l’exécution d’un contrat conclu avec la personne concernée ou à des mesures précontractuelles prises à sa demande ;
la nécessité du transfert à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre PAYMETRUST et un tiers ;
la nécessité du transfert pour des motifs importants d’intérêt public reconnus par le droit ivoirien, notamment dans le cadre d’obligations de coopération internationale en matière de lutte contre le blanchiment, le financement du terrorisme ou la fraude aux moyens de paiement ;
la nécessité du transfert à la constatation, à l’exercice ou à la défense d’un droit en justice ;
la nécessité du transfert à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, lorsque celle-ci se trouve dans l’incapacité physique ou juridique de donner son consentement.
Les transferts fondés sur une dérogation sont documentés, motivés et signalés au DPO. Ils ne peuvent revêtir un caractère massif ou répétitif sans qu’une garantie appropriée soit alors mise en place.
6.5 Cas particulier des données sensibles et des données de paiement
Les transferts portant sur des données sensibles, biométriques, génétiques, de santé, sur un numéro national d’identification, sur des numéros de téléphone associés à un compte de paiement ou sur des données de transaction font l’objet d’une vigilance renforcée. Ils sont soumis à autorisation préalable de l’ARTCI dans tous les cas, à une AIPD systématique et à des mesures techniques renforcées (chiffrement de bout en bout, tokenisation, journalisation détaillée des accès).
Gouvernance et responsabilités
La gouvernance des transferts internationaux s’articule autour des acteurs suivants :
Direction Générale
Approuve la politique, valide les transferts à fort impact, alloue les ressources nécessaires à la conformité
Délégué à la Protection des Données (DPO / CPD)
Pilote la conformité, instruit les analyses d’impact, tient le registre des transferts, est point de contact avec l’ARTCI et les personnes concernées
Responsable de la Sécurité des Systèmes d’Information (RSSI)
Définit et contrôle les mesures techniques (chiffrement,journalisation, gestion des accès), traite les incidents de sécurité
Directions métier (Opérations, Conformité LCB-FT, Juridique, RH, IT)
Identifient les flux entrants/sortants, sollicitent la validation du DPO avant tout nouveau transfert, mettent en œuvre les mesures contractuelles
Sous-traitants et destinataires des données
PAYMETRUST a désigné un Délégué à la Protection des Données dont les coordonnées figurent à l’article 13. Le DPO est associé en amont à toute décision susceptible d’entraîner un transfert international et dispose des moyens nécessaires à l’exercice indépendant de sa mission, conformément à la réglementation ivoirienne relative au Correspondant à la Protection des Données.
Procédure interne d’encadrement d’un transfert
Toute nouvelle initiative susceptible d’entraîner un transfert international suit les étapes ci-après :
8.1 Identification et qualification
La direction métier identifie le besoin opérationnel et complète une fiche de demande de transfert décrivant la finalité, les catégories de données, les destinataires, le pays de destination et la durée envisagée.
Le DPO qualifie le flux (transfert au sens de la loi, sous-traitance, responsabilité conjointe) et identifie la base légale ainsi que le mécanisme de transfert approprié.
8.2 Analyse d’impact
Une analyse d’impact relative à la protection des données (AIPD) est conduite lorsque le transfert est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, notamment en cas de transfert massif, systématique, portant sur des données sensibles ou impliquant un pays sans décision d’adéquation.
L’AIPD comprend une évaluation du droit du pays destinataire (Transfer Impact Assessment), notamment de l’accès des autorités publiques locales aux données et des recours effectifs ouverts aux personnes concernées.
8.3 Contractualisation
Le service juridique conclut avec le destinataire un contrat de transfert intégrant les CCT applicables, les clauses de sous-traitance imposées par la loi n° 2013-450, les obligations en matière de sécurité, de notification des violations, d’assistance aux personnes concernées et d’audit.
Les sous-traitants ultérieurs (sous-sous-traitance) sont soumis à un agrément préalable
écrit et à la même chaîne de garanties contractuelles.
8.4 Autorisation ARTCI
Lorsque la formalité est requise, le DPO dépose auprès de l’ARTCI une demande d’autorisation préalable et conserve la décision d’autorisation au dossier.
Aucun transfert n’est activé en production avant la notification de l’autorisation, sauf urgence dûment justifiée et conforme aux dérogations prévues à l’article 6.4.
8.5 Information des personnes concernées
Les politiques de confidentialité, conditions générales d’utilisation et formulaires de
collecte sont mis à jour pour mentionner explicitement les transferts, leurs finalités, les
pays de destination, le mécanisme de transfert applicable et les moyens d’obtenir une
copie des garanties mises en place.
8.6 Mise en production et suivi
Le transfert est consigné dans le registre des transferts et fait l’objet d’une revue
annuelle par le DPO, ainsi que d’une réévaluation immédiate en cas de modification
du contexte juridique ou technique.
Mesures techniques et organisationnelles
PAYMETRUST met en œuvre, de façon proportionnée aux risques identifiés, les mesures suivantes :
9.1 Mesures techniques
Chiffrement des données en transit (TLS 1.2 ou supérieur) et au repos (AES-256 ou équivalent).
Tokenisation et pseudonymisation des données de paiement avant transfert chaque fois que la finalité le permet.
Gestion stricte des identités et des accès, fondée sur le principe du moindre privilège, l’authentification forte et la séparation des environnements.
Journalisation centralisée, horodatée et inaltérable des accès et des opérations sur les données transférées.
Ségrégation des environnements de production, de test et de développement.
Plans de continuité et de reprise d’activité éprouvés, incluant la résilience géographique des sauvegardes.
Conformité aux exigences PCI DSS lorsque les données de carte de paiement sont
concernées.
9.2 Mesures organisationnelles
Sensibilisation et formation périodique des collaborateurs et prestataires intervenant dans les flux internationaux.
Clauses de confidentialité contraignantes opposables à toute personne accédant aux données.
Audits internes et externes réguliers des sous-traitants et destinataires.
processus formalisé de gestion des incidents et d’escalade vers la direction et l’ARTCI.
Procédure documentée d’exercice des droits des personnes concernées applicable y compris pour les destinataires situés à l’étranger.
Droits des personnes concernées
Les personnes concernées disposent à tout moment des droits suivants, exerçables y compris à l’égard des destinataires situés dans un pays tiers :
Droit d’information préalable et continu.
Droit d’accès aux données et à une copie.
Droit de rectification des données inexactes ou incomplètes.
Droit de suppression (« droit à l’oubli ») dans les conditions prévues par la loi.
Droit à la limitation du traitement.
Droit à la portabilité des données.
Droit d’opposition au traitement, y compris au profilage et à la prospection.
Droit de retirer son consentement à tout moment lorsque le traitement repose sur ce fondement, sans que ce retrait n’affecte la licéité des traitements antérieurs.
Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs.
Droit d’obtenir copie des garanties contractuelles encadrant le transfert.
Droit d’introduire une réclamation auprès de l’ARTCI et, le cas échéant, auprès d’une autorité étrangère compétente, ainsi que d’exercer un recours juridictionnel effectif.
Toute demande d’exercice de droits peut être adressée au DPO selon les modalités prévues à
l’article 13. PAYMETRUST répond dans un délai maximal d’un (1) mois, prorogeable de deux
(2) mois en cas de complexité ou de pluralité des demandes, et informe sans délai la personne
concernée de la prorogation et de ses motifs.
Gestion des violations de données lors d’un transfert
En cas de violation de données affectant un transfert international, PAYMETRUST applique le protocole suivant :
Qualification de l’incident et activation de la cellule de crise sous l’autorité du DPO et du RSSI.
Notification à l’ARTCI dans les meilleurs délais et, autant que possible, dans un délai de soixante-douze (72) heures à compter de la connaissance de la violation, conformément aux bonnes pratiques internationales.
Information des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
Notification, le cas échéant, à toute autre autorité compétente (autorités de l’EEE, autorités sectorielles, BCEAO) ;
Documentation complète de la violation, des mesures prises et des actions correctives, conservée à des fins de preuve et de retour d’expérience.
Audit, contrôle et durée de conservation
PAYMETRUST se soumet aux contrôles de l’ARTCI et tient à sa disposition l’ensemble de la documentation requise, notamment :
La présente politique et ses versions successives.
Le registre des transferts internationaux, dont la structure minimale figure ci-dessous.
Les AIPD réalisées.
Les contrats de transfert, CCT, BCR et autorisations délivrées.
Les rapports d’audit interne et externe.
Structure minimale du registre des transferts :
Finalité du traitement
Catégories de données
Catégories de personnes concernées
Pays destinataire
Identité du destinataire
Base légale du transfert
Outil de transfert (adéquation, CCT, BCR, dérogation)
Date de l’AIPD
Référence de l’autorisation ARTCI
Mesures techniques et organisationnelles
Les données transférées sont conservées chez le destinataire pour une durée n’excédant pas celle strictement nécessaire à la finalité poursuivie, et au plus tard dans la limite des durées légales applicables (notamment dix (10) ans pour les obligations LCB-FT). À l’expiration de ces durées, elles sont supprimées de manière sécurisée ou anonymisées, et la preuve de la suppression est conservée.
Coordonnées et points de contact
Toute question, demande d’exercice de droits ou réclamation peut être adressée à :
Responsable de traitement : PAYMETRUST CI — BP 683 ABIDJAN 26
Délégué à la Protection des Données (DPO/CPD) : KOLIA N’Djabo Jean Max Eric : courriel : dpo@paymetrust.net — téléphone : +225 27 22 28 84 95
Autorité de contrôle : Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI) — www.artci.ci — www.autoritedeprotection.ci
Modification de la politique
PAYMETRUST se réserve le droit de modifier la présente politique pour tenir compte de l’évolution de la réglementation, des décisions de l’ARTCI, des pratiques sectorielles et des risques identifiés. Toute modification substantielle fait l’objet :
d’une nouvelle approbation par la Direction Générale ;
d’une nouvelle entrée dans le tableau de versions ;
d’une information adaptée des personnes concernées par voie d’affichage sur le site web et, le cas échéant, par notification individuelle.
La version applicable est, sauf indication contraire, la version la plus récente publiée sur le
site officiel de PAYMETRUST.
Loi applicable et juridiction compétente
La présente politique est régie par le droit ivoirien. En cas de litige relatif à son interprétation ou à son exécution, et après tentative de résolution amiable auprès du DPO, les tribunaux de la République de Côte d’Ivoire sont seuls compétents, sans préjudice du droit pour la personne concernée de saisir l’ARTCI ou, lorsque le droit étranger applicable le prévoit, l’autorité de protection compétente de son lieu de résidence.
Textes de référence
La présente politique s’appuie notamment sur les textes suivants :
Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel en Côte d’Ivoire (articles 7, 26 et suivants en particulier).
Loi n° 2013-451 du 19 juin 2013 relative à la lutte contre la cybercriminalité.
Loi n° 2013-546 du 30 juillet 2013 relative aux transactions électroniques.
Loi n° 2024-352 du 6 juin 2024 relative aux communications électroniques.
Décision ARTCI n° 2017-0354 portant procédure de mise en conformité des responsables de traitement de données personnelles.