La protection des données personnelles de ses utilisateurs constitue une priorité fondamentale pour GoTakoo. Nous nous engageons a traiter les données personnelles de manière responsable, transparente et sécurisée.
La présente page détaillé les mesures mises en oeuvre par GoTakoo pour protéger les informations personnelles collectées dans le cadre de l'utilisation de la plateforme de réservation de transport interurbain, de suivi de fret et de location de véhicules en République Démocratique du Congo.
Cet engagement se traduit par :
L'adoption de mesures techniques et organisationnelles proportionnées aux risques ;
La limitation de la collecte aux données strictement nécessaires ;
La transparence sur les finalités et les destinataires des traitements ;
Le respect des droits des personnes concernées ;
L'amélioration continue de nos pratiques de protection des données.
Article 2 — Cadre juridique applicable
Les pratiques de GoTakoo en matière de protection des données s'inscrivent dans le cadre juridique suivant :
2.1 Droit congolais
Ordonnance-loi n° 23/010 du 13 mars 2023 portant Code du numérique en RDC — Texte fondateur encadrant la protection des données personnelles, les transactions électroniques et la cybersecurite en République Démocratique du Congo. Ce code définit notamment les obligations des responsables de traitement, les droits des personnes concernées et les sanctions applicables.
Loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l'information et de la communication — Cette loi encadré les services numériques et les obligations des opérateurs et fournisseurs de services en ligne.
Article 31 de la Constitution de la République Démocratique du Congo — Consacre le droit à la vie privée de tout citoyen congolais : « Le secret de la correspondance et des télécommunications ou de toute autre forme de communication ne peut faire l'objet d'une ingérence que dans les cas prévus par la loi. »
2.2 Standards internationaux
Au-delà du cadre juridique congolais, GoTakoo s'engage volontairement a aligner ses pratiques sur les standards internationaux reconnus :
Règlement Général sur la Protection des Données (RGPD) de l'Union européenne — utilisé comme référence de bonnes pratiques, notamment en ce qui concerne les principes de traitement, les droits des personnes et les mesures de sécurité ;
Convention de l'Union africaine sur la cybersecurite et la protection des données à caractère personnel (Convention de Malabo, 2014) ;
Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontieres de données.
Précision importante : Le RGPD ne s'applique pas directement a GoTakoo dans la mesure ou le service cible exclusivement des utilisateurs en RDC. Toutefois, GoTakoo adopté volontairement les principes et garanties du RGPD comme standard de référence pour offrir à ses utilisateurs le plus haut niveau de protection possible.
Article 3 — Principes de protection des données
GoTakoo applique les principes fondamentaux suivants dans le traitement des données personnelles :
3.1 Liceite, loyauté et transparence
Les données sont traitées de manière licite, loyale et transparente. Chaque traitement repose sur une base légale identifiée (consentement, exécution du contrat, intérêt légitime ou obligation légale) et les utilisateurs sont informes de manière claire sur la nature et les finalités des traitements.
3.2 Limitation des finalités
Les données sont collectées pour des finalités déterminées, explicites et légitimes. Elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
3.3 Minimisation des données
Seules les données adéquates, pertinentes et strictement nécessaires aux finalités du traitement sont collectées. GoTakoo s'engage a ne pas collecter de données excessives.
3.4 Exactitude
GoTakoo prend les mesures raisonnables pour s'assurer que les données personnelles sont exactes et tenues à jour. Les utilisateurs peuvent à tout moment mettre à jour leurs informations personnelles via leur espace de compte.
3.5 Limitation de la conservation
Les données personnelles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées. Les durées de conservation sont détaillées dans notre Politique de Confidentialité (article 6).
3.6 Intégrité et confidentialité
Les données sont traitées de façon a garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle.
3.7 Responsabilité (Accountability)
GoTakoo est responsable du respect de ces principes et est en mesure de démontrer cette conformité a travers sa documentation interne, ses registres de traitement et ses procédures.
Article 4 — Mesures de sécurité techniques
GoTakoo déploie un ensemble de mesures techniques destinées à protéger les données personnelles contre tout accès non autorisé, altération, divulgation ou destruction :
4.1 Chiffrement des communications (HTTPS/TLS)
L'intégralité des échanges entre le navigateur de l'utilisateur et les serveurs de GoTakoo est chiffrée via le protocole HTTPS (HTTP Secure) utilisant le chiffrement TLS (Transport Layer Security). Cela garantit que les données transmises (identifiants, informations de paiement, données personnelles) ne peuvent être interceptées par des tiers.
4.2 Authentification sécurisée (JWT HMAC-SHA256)
Le système d'authentification de GoTakoo repose sur des jetons JWT (JSON Web Token) signés avec l'algorithme HMAC-SHA256. Ce mécanisme assure :
L'intégrité des jetons d'authentification (toute modification est détectée) ;
Une durée de vie limitée : 24 heures pour les jetons d'accès, 30 jours pour les jetons de rafraîchissement ;
L'impossibilité de forger un jeton valide sans la clé secrète du serveur.
4.3 Hachage des mots de passe
Les mots de passe des utilisateurs ne sont jamais stockés en clair dans la base de données. Ils sont transformés de manière irréversible à l'aide d'un algorithme de hachage sécurisé avec sel (salt), rendant impossible la récupération du mot de passe original même en cas d'accès a la base de données.
4.4 Protection des codes PIN
Les codes PIN utilisés par les conducteurs et les agents de vente sont également chiffres avant stockage selon les mêmes principes de sécurité.
4.5 Requêtes préparées (protection contre les injections SQL)
Toutes les interactions avec la base de données utilisent des requêtes préparées (prepared statements), empêchant toute attaque par injection SQL. Les données saisies par les utilisateurs sont systématiquement assainies et validées avant traitement.
4.6 Pare-feu et protection de l'infrastructure
L'infrastructure d'hébergement est protégée par :
Un pare-feu applicatif filtrant les requêtes malveillantes ;
Une protection contre les attaques par déni de service (DDoS) ;
Une surveillance continue des accès et des tentatives d'intrusion ;
Des mises à jour régulières des composants logiciels (serveur, base de données, système d'exploitation).
4.7 Sauvegardés
Des sauvegardés régulières de la base de données et des fichiers sont effectuées quotidiennement. Les sauvegardés sont stockées de manière sécurisée et permettent la restauration des données en cas d'incident.
Article 5 — Mesures de sécurité organisationnelles
5.1 Contrôle d'accès base sur les rôles
GoTakoo applique une politique stricte de contrôle d'accès aux données basée sur les rôles. La plateforme distingue sept (7) niveaux de rôles, chacun disposant de droits d'accès différencies :
Rôle
Périmètre d'accès
Client
Ses propres données personnelles, réservations, colis, wallet et historique
Conducteur
Manifeste de passagers, scan QR, colis à bord, navigation GPS
Agent de vente
Réservations de sa compagnie, vente de billets
Contrôleur
Vérification des billets, inspection des bus (15 points)
Inspecteur
Rapports d'inspection des véhicules
Partenaire (Compagnie)
Gestion de sa flotte, de ses trajets, de ses employés et de ses rapports
Super Administrateur
Administration globale de la plateforme, gestion des compagnies, des utilisateurs et des paramètres
Aucun rôle n'a accès à des données qui ne sont pas strictement nécessaires a l'exercice de ses fonctions.
5.2 Politique d'accès interne
L'accès aux bases de données et aux serveurs est strictement limite aux membres autorisés de l'équipe technique. Chaque accès est trace et auditable.
5.3 Formation et sensibilisation
L'ensemble du personnel ayant accès à des données personnelles reçoit une formation sur les bonnes pratiques de protection des données et sur les obligations légales.
5.4 Politique de gestion des incidents
GoTakoo dispose d'une procédure de gestion des incidents de sécurité définissant les étapes de détection, d'évaluation, de correction et de notification en cas de violation de données.
Article 6 — Localisation et hébergement des données
6.1 Hébergeur
Les données de GoTakoo sont hébergées par :
Société : o2switch
Forme juridique : SARL de droit français
Siège social : Clermont-Ferrand, France
Localisation des serveurs : France (datacenters certifiés)
6.2 Garanties de l'hebergeur
Le choix d'un hébergeur situé en France offre les garanties suivantes :
Soumission au RGPD européen, l'un des cadres de protection des données les plus stricts au monde ;
Datacenters aux normes de sécurité européennes (alimentation redondante, climatisation, protection incendie, contrôle d'accès physique) ;
Disponibilité élevée (engagement de temps de fonctionnement) ;
Sauvegardés automatisées quotidiennes.
6.3 Transfert de données RDC — France
Le transfert des données depuis la RDC vers les serveurs en France est encadré par :
Un contrat de sous-traitance conforme aux exigences du Code du numérique de la RDC ;
Le chiffrement systématique des données en transit (HTTPS/TLS) ;
Le niveau de protection élevé garanti par le droit européen en matière de données personnelles.
Article 7 — Sous-traitants et partenaires
GoTakoo fait appel à un nombre limite de sous-traitants et de partenaires dans le cadre de ses activités. Chacun d'entre eux est tenu contractuellement au respect de la confidentialité et de la sécurité des données.
Catégorie
Fonction
Données accédées
Localisation
Hébergeur (o2switch)
Hébergement des serveurs et de la base de données
Ensemble des données stockées
France
Compagnies de transport
Exécution du service de transport
Identité des passagers, sièges, billets, colis
RDC
Opérateurs Mobile Money
Traitement des paiements
Montant, référence de transaction, numéro de téléphone
RDC
GoTakoo s'engage a :
Ne faire appel qu'a des sous-traitants présentant des garanties suffisantes en matière de protection des données ;
Formaliser les relations avec chaque sous-traitant par un contrat définissant les obligations respectives ;
Vérifier périodiquement le respect de ces engagements.
Article 8 — Notification en cas de violation de données
8.1 Définition
Une violation de données personnelles désigné toute violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles.
8.2 Procédure de notification
En cas de violation de données, GoTakoo s'engage a :
Évaluer la nature, la gravite et les conséquences potentielles de la violation dans les plus brefs délais ;
Notifier l'autorité compétente (ARPTC) dans un délai de soixante-douze (72) heures après en avoir pris connaissance, lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ;
Informer les personnes concernées dans les meilleurs délais lorsque la violation présente un risque élevé pour leurs droits et libertés. L'information précisé la nature de la violation, les données concernées, les conséquences probables et les mesures prises ou a prendre ;
Documenter chaque violation dans un registre interne, que la notification a l'autorité soit requise ou non.
8.3 Mesures correctives
Suite à une violation, GoTakoo met en oeuvre les mesures correctives appropriées pour :
Contenir la violation et limiter ses effets ;
Restaurer l'intégrité et la disponibilité des données ;
Prévenir toute récurrence similaire ;
Renforcer les mesures de sécurité si nécessaire.
Article 9 — Analyse d'impact relative à la protection des données (AIPD)
Conformément aux bonnes pratiques internationales et aux exigences du Code du numérique de la RDC, GoTakoo réalisé une Analyse d'Impact relative à la Protection des Données (AIPD) pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Les traitements ayant fait l'objet d'une AIPD incluent notamment :
La collecte et le traitement de données de géolocalisation en temps réel ;
Le traitement de données de paiement ;
Le profilage lié au programme de fidélité TakooMiles ;
Le suivi de colis incluant des données d'expéditeur et de destinataire.
Chaque AIPD évalué :
La nécessité et la proportionnalité du traitement ;
Les risques pour les personnes concernées ;
Les mesures envisagées pour limiter ces risques.
Les AIPD sont mises à jour régulièrement et à chaque modification significative des traitements concernes.
Article 10 — Délégué a la Protection des Données (DPO)
GoTakoo a désigné un Délégué a la Protection des Données (DPO) charge de veiller au respect de la réglementation relative à la protection des données personnelles.
Informer et conseiller GoTakoo sur ses obligations en matière de protection des données ;
Contrôler le respect de la réglementation et des politiques internes ;
Servir de point de contact pour les utilisateurs souhaitant exercer leurs droits ;
Coopérer avec l'autorité de contrôle (ARPTC) ;
Superviser les analyses d'impact (AIPD) ;
Gérer les incidents de violation de données.
Article 11 — Droits des personnes concernées
Conformément au Code du numérique de la RDC et aux standards internationaux, tout utilisateur de GoTakoo dispose des droits suivants :
Droit
Description
Accès
Obtenir la confirmation du traitement de vos données et recevoir une copie de celles-ci.
Rectification
Demander la correction de données inexactes ou incomplètes.
Effacement
Demander la suppression de vos données, sous réserve des obligations légales de conservation.
Limitation
Demander la restriction du traitement dans certaines circonstances.
Portabilite
Recevoir vos données dans un format structure et lisible par machine pour les transférer.
Opposition
S'opposer au traitement de vos données pour des raisons liées à votre situation particulière.
Retrait du consentement
Retirer à tout moment votre consentement pour les traitements fondes sur celui-ci.
Procédure d'exercice des droits
Pour exercer vos droits, vous pouvez :
Via la plateforme : accéder aux paramètres de votre compte pour modifier ou supprimer vos informations ;
Par email : adresser votre demande au DPO à l'adresse legal@gotakoo.com en précisant votre identité et le droit que vous souhaitez exercer ;
Par courrier : adresser un courrier signé a Silikin Village, N° 63 Avenue Colonel Mondjiba, Kinshasa, RD Congo.
GoTakoo s'engage a :
Accuser réception de votre demande sous sept (7) jours ouvrables ;
Traiter votre demande dans un délai maximal de trente (30) jours ;
Vous informer en cas de prolongation de ce délai (deux mois supplémentaires maximum pour les demandes complexes).
Justification d'identité : GoTakoo peut demander une pièce d'identité pour vérifier l'identité du demandeur et prévenir toute usurpation.
Article 12 — Registre des traitements
Conformément aux obligations légales, GoTakoo tient un registre des activités de traitement. Ce registre recense l'ensemble des traitements de données personnelles effectués et contient les informations suivantes :
Traitement
Finalité
Base légale
Données
Durée
Gestion des comptes
Inscription, authentification, gestion du profil
Exécution du contrat
Identité, email, téléphone, photo
Durée inscription + 3 ans
Réservations
Traitement des réservations de transport
Exécution du contrat
Trajet, passagers, siège, QR code
5 ans
Paiements
Traitement des transactions financières
Exécution du contrat / Obligation légale
Montants, références, wallet
10 ans
Géolocalisation
Suivi des bus et colis en temps réel
Consentement / Exécution du contrat
Coordonnées GPS, horodatage
6 mois
Fret
Expédition et suivi de colis
Exécution du contrat
Expéditeur, destinataire, colis, OTP
5 ans
Fidélité
Programme TakooMiles
Exécution du contrat
Points, niveau, historique
Durée inscription + 1 an
Support
Traitement des demandes client
Intérêt légitime
Messages, réclamations
2 ans
Sécurité
Prévention de la fraude, détection d'intrusion
Intérêt légitime
IP, logs, tokens
1 an
Le registre complet est disponible sur demande auprès du DPO.
Article 13 — Audit et conformité
GoTakoo s'engage dans une démarche d'amélioration continue de ses pratiques de protection des données :
13.1 Audits internes
Des audits internes de conformité sont réalisés au minimum une fois par an pour vérifier le respect des politiques de protection des données, l'efficacité des mesures de sécurité et la conformité aux exigences légales.
13.2 Tests de sécurité
Des tests de sécurité (tests de pénétration, analyses de vulnérabilités) sont effectués périodiquement pour identifier et corriger d'éventuelles failles.
13.3 Mise à jour des politiques
Les politiques et procédures de protection des données sont revues et mises à jour au minimum une fois par an, et à chaque évolution législative ou technique significative.
13.4 Veille juridique
GoTakoo assure une veille permanente sur les évolutions législatives et réglementaires en matière de protection des données, tant au niveau national (RDC) qu'international.
Article 14 — Contact et réclamations
14.1 Contact
Pour toute question relative à la protection de vos données personnelles :
Délégué a la Protection des Données (DPO) : legal@gotakoo.com
Service client : support@gotakoo.com
Téléphone : +243 999 115 459
Adresse postale : Silikin Village, N° 63 Avenue Colonel Mondjiba, Kinshasa, RD Congo
14.2 Réclamation auprès de l'autorité de contrôle
Si vous estimez que vos droits ne sont pas respectés où que le traitement de vos données n'est pas conforme a la réglementation, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Autorité de Régulation de la Poste et des Télécommunications du Congo (ARPTC)
Siège : Kinshasa, République Démocratique du Congo
GoTakoo vous encourage toutefois a le contacter en premier lieu afin de tenter de résoudre toute difficulté à l'amiable avant de saisir l'autorité de contrôle.