Politique de confidentialité

Kuunda Cloud est une plateforme Backend-as-a-Service (BaaS) : bases PostgreSQL par projet, API REST (PostgREST), authentification (GoTrue), stockage objet (MinIO), temps réel, fonctions Edge et console d’administration.

Nous nous engageons à traiter les données personnelles de manière transparente, limitée aux besoins du service et conforme au cadre applicable en Côte d’Ivoire, notamment la loi n°2013-450 relative à la protection des données à caractère personnel.

Pour les traitements relatifs au compte plateforme, à la facturation, à la liste d’attente et au fonctionnement de Kuunda Cloud, le responsable du traitement est :

• Arow Technologie — éditeur de Kuunda Cloud, Côte d’Ivoire
• Contact confidentialité : privacy@kuunda-cloud.com

Cette politique s’applique aux traitements effectués via :

• le site vitrine et les pages légales (kuunda-cloud.com) ;
• la console utilisateur (app.kuunda-cloud.com) ;
• l’API publique et les sous-domaines projet (api.kuunda-cloud.com, {ref}.kuunda-cloud.com) ;
• la documentation et la page de statut lorsqu’elles sont publiées sous les domaines Kuunda Cloud.

Selon votre usage de la plateforme, nous pouvons traiter les catégories suivantes :

4.1. Liste d’attente (pré-lancement)

Lors de l’inscription sur la liste d’attente, nous enregistrons : adresse e-mail (obligatoire), nom complet, numéro WhatsApp (indicatif pays et numéro local), profil indicatif, source du formulaire, agent utilisateur du navigateur et horodatage d’inscription.

4.2. Compte, organisation et projets

• Organisation : nom, identifiant (slug), plan, région, pays, e-mail, téléphone (optionnel), URL de logo, statut actif.
• Membres : lien entre un utilisateur et une organisation, rôle, dates d’invitation et d’adhésion.
• Projets : nom, slug, référence publique (8 caractères), statut, tier, métadonnées d’hébergement (hôte, schéma, région).

4.3. Authentification (console et Auth par projet)

L’authentification repose sur GoTrue. Pour les comptes utilisateurs, cela inclut notamment : adresse e-mail, mot de passe chiffré, métadonnées de compte, dates de connexion, jetons de session et de rafraîchissement, facteurs MFA le cas échéant, ainsi que des entrées de journal d’audit (y compris adresse IP lorsque ce journal est activé).

La console utilise des cookies httpOnly (ku_access_token, ku_refresh_token) pour maintenir la session après connexion.

4.4. Clés API, jetons et accès techniques

• clés projet (kuunda_anon_*, kuunda_service_*) : préfixe, empreinte SHA-256, permissions JSON, date de dernière utilisation, révocation ;
• jetons d’accès personnels (kuunda_pat_*) pour l’API Management ;
• jetons MCP (kuunda_mcp_*) : préfixe, empreinte, expiration et révocation.

Les secrets complets ne sont pas stockés en clair : empreinte cryptographique (SHA-256) et, le cas échéant, chiffrement symétrique pour un affichage autorisé depuis la console.

4.5. Facturation

Pour les offres payantes, nous traitons les données d’abonnement (plan, statut, montant en FCFA, cycle de facturation, période courante) et de facturation (statut, identifiant de transaction du prestataire de paiement le cas échéant, mode de paiement, dates). Le règlement en ligne est assuré via un prestataire de paiement tiers lorsque ce mode est activé.

4.6. Mesures d’usage et journaux techniques

• statistiques quotidiennes par projet : taille base, stockage, requêtes API, connexions temps réel, appels de fonctions, bande passante ;
• journaux d’invocation Edge Functions (méthode, code HTTP, durée, message d’erreur éventuel) ;
• journaux d’accès et de sécurité (Nginx, passerelle API, observabilité Prometheus / Loki / Grafana lorsque déployés).

4.7. Données que vous hébergez sur la plateforme

En tant que client, vous pouvez stocker et traiter via Kuunda Cloud des données propres à votre application : enregistrements PostgreSQL, fichiers dans le stockage objet, comptes utilisateurs finaux gérés par Auth, et code des fonctions Edge. Vous déterminez le contenu de ces données et les finalités de leur traitement auprès de vos propres utilisateurs.

Arow Technologie agit en qualité de responsable du traitement pour les données liées à votre compte plateforme, à la facturation, à la liste d’attente et au fonctionnement de Kuunda Cloud.

Pour les données personnelles que vous traitez via votre projet (utilisateurs finaux de votre application, contenus métier), vous agissez en principe en qualité de responsable du traitement, et Kuunda Cloud intervient en qualité de sous-traitant pour l’hébergement et l’exécution technique, dans la limite de vos instructions et de la configuration de votre projet.

Nous traitons les données personnelles pour les finalités suivantes :

• Fourniture du service : création de compte, organisations, projets, API, Auth, stockage, temps réel et fonctions Edge — exécution du contrat ;
• Liste d’attente : vous informer de l’ouverture de la console ;
• Facturation et paiements : gestion des abonnements et transactions — exécution du contrat et obligations légales ;
• Sécurité et intégrité : validation des clés API, prévention des abus, journalisation, alertes ;
• Support et communication : réponse à vos demandes, notifications opérationnelles (e-mail via SMTP configuré) ;
• Observabilité : métriques d’usage agrégées, supervision de la plateforme.

Les données sont accessibles aux équipes habilitées d’Arow Technologie dans le cadre de l’exploitation et du support de la plateforme.

Nous pouvons faire appel aux prestataires suivants, selon la configuration en vigueur :

• Prestataire de paiement — traitement des paiements en ligne ;
• Prestataire SMTP — envoi d’e-mails transactionnels (authentification, notifications, alertes) ;
• Google OAuth — connexion OAuth lorsque cette option est activée (console ou Auth par projet) ;
• Cloudflare — diffusion du site vitrine, de la documentation ou de la page statut lorsque ces applications sont déployées via Cloudflare Workers (assets statiques).

Nous ne vendons pas vos données personnelles. Toute communication imposée par la loi ou une autorité compétente pourra être effectuée dans les limites prévues par le cadre juridique applicable.

Les infrastructures de production de Kuunda Cloud sont hébergées en Côte d’Ivoire, dans un datacenter certifié situé sur le territoire ivoirien.

Les métadonnées plateforme (organisations, projets, clés API, facturation) sont stockées sur le plan de contrôle ; chaque projet dispose d’un schéma PostgreSQL dédié sur l’infrastructure tenants.

Lorsque des prestataires externes interviennent (paiement, e-mail, diffusion CDN), certaines données strictement nécessaires à leur prestation peuvent transiter ou être traitées chez eux, conformément à leurs propres politiques de confidentialité.

Le site vitrine (kuunda-cloud.com) et le formulaire de liste d’attente n’utilisent pas de cookies de mesure d’audience à ce jour.

La console (app.kuunda-cloud.com) dépose des cookies strictement nécessaires à l’authentification :

• ku_access_token — jeton d’accès JWT (httpOnly, durée limitée) ;
• ku_refresh_token — jeton de rafraîchissement (httpOnly, lorsqu’il est émis).

Vous pouvez configurer votre navigateur pour refuser les cookies ; l’accès à la console nécessite toutefois l’acceptation de ces cookies fonctionnels.

• Compte et projets : pendant la durée de votre relation contractuelle, puis suppression ou anonymisation selon les contraintes techniques et légales ;
• Liste d’attente : jusqu’à l’ouverture du service et le contact associé, ou jusqu’à votre demande de retrait ;
• Facturation : durée du contrat et délais légaux de conservation comptable le cas échéant ;
• Journaux techniques : durée limitée aux besoins de sécurité, de diagnostic et d’observabilité ;
• Sauvegardes : peuvent conserver des copies pendant une fenêtre technique avant écrasement ou rotation.

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées au service BaaS, notamment :

• chiffrement des communications en transit (TLS) ;
• isolation des projets par schémas PostgreSQL dédiés ;
• stockage des secrets de clés API sous forme d’empreintes et/ou chiffrement symétrique ;
• contrôle d’accès à la passerelle API (validation des clés, en-têtes de sécurité) ;
• journalisation, supervision et procédures d’incident.

Aucune mesure n’étant absolue, nous vous invitons à sécuriser vos comptes (mots de passe robustes, MFA lorsqu’il est disponible, confidentialité des clés API et jetons PAT).

Conformément à la loi ivoirienne applicable, vous disposez notamment des droits suivants :

• droit d’accès aux données vous concernant ;
• droit de rectification des données inexactes ;
• droit à l’effacement ou à la suppression, sous réserve des exceptions légales ;
• droit d’opposition et droit à la limitation du traitement, lorsque le cadre juridique le permet.

Pour exercer vos droits ou poser une question relative à vos données, contactez :

Confidentialité / DPO : privacy@kuunda-cloud.com

Si vous êtes utilisateur final d’une application hébergée sur Kuunda Cloud par un tiers, adressez votre demande au responsable de traitement de cette application (le client Kuunda), qui pourra nous solliciter en tant que sous-traitant le cas échéant.

Kuunda Cloud est un service professionnel destiné aux développeurs, entreprises et institutions. Il n’est pas conçu pour être utilisé directement par des personnes de moins de 18 ans sans supervision d’un responsable légal.

Cette politique peut être mise à jour pour refléter l’évolution du service ou du cadre juridique. La version en vigueur est publiée sur cette page avec sa date de révision. En cas de modification substantielle, nous pourrons vous en informer par les moyens appropriés (e-mail, console ou site).

Pour toute question relative à cette politique ou au traitement de vos données :

• E-mail : privacy@kuunda-cloud.com
• Éditeur : Arow Technologie, Côte d’Ivoire