Solutions Regulatory Technology

Elle décrit la manière dont l’application REG CHAT collecte, utilise, stocke et protège les informations des utilisateurs. REG CHAT est une application qui affiche un service de chat externe fourni par Chatling via une WebView. L’application elle‑même ne collecte aucune information personnelle.

En utilisant REG CHAT, vous acceptez les pratiques décrites ci‑dessous :

1. Collecte de données 

✔️ Données collectées par l’application REG CHAT L’application ne collecte pas, ne stocke pas et ne traite pas : aucune donnée personnelle, aucune donnée d’identification (nom, email, numéro), aucune donnée sensible, aucun message envoyé dans le chat.

REG CHAT ne possède aucun serveur, aucun système de compte, et ne transmet aucune donnée à des tiers.

✔️ Données collectées par Chatling (service externe) Votre interaction dans le chat est gérée par Chatling, un service externe. Chatling peut collecter certaines informations conformément à sa propre politique de confidentialité, accessible directement sur leur plateforme. REG CHAT n’a aucun accès aux données que Chatling collecte.

2. Utilisation des donnéesÉtant donné que REG CHAT ne collecte pas de données :aucune donnée n’est utilisée,aucune donnée n’est vendue,aucune donnée n’est partagée.

Les seules interactions ont lieu directement entre l’utilisateur et le service Chatling affiché dans l’application.

3. Cookies et technologies similaires REG CHAT n’utilise aucun cookie. Cependant, le service Chatling utilisé dans la WebView peut utiliser des cookies pour fonctionner correctement (ex. maintien de session). Ces cookies ne sont pas gérés ni contrôlés par REG CHAT.

4. Permissions utilisées REG CHAT n’utilise aucune permission sensible du téléphone. L’application n’accède pas : à la caméra, au microphone, au stockage, à la localisation, aux contacts.

5. SécuritéNous appliquons les bonnes pratiques suivantes :REG CHAT ne traite aucune donnée personnelle,toutes les communications passent via le protocole HTTPS sécurisé,aucune information n’est stockée localement.

6. Services externes L’application utilise un seul service externe : Chatling (Widget de conversation intégré) Les interactions avec ce service sont soumises à leurs propres conditions et politiques. REG CHAT ne peut être tenue responsable de leurs pratiques.

7. Droits des utilisateurs (RGPD / GDPR) Comme REG CHAT ne collecte pas de données personnelles : aucun traitement n’est effectué, aucun droit spécifique (accès, suppression, rectification) n’est applicable.

8. Modifications de la politique Nous pouvons mettre à jour cette politique de temps en temps. Toute modification sera publiée dans la présente section.

 1. Auto-attestation de sécurité

L’application a été conçue conformément aux bonnes pratiques internationales de sécurité de l’information (ISO/IEC 27001, OWASP Top 10).

Gouvernance et expertise AML

La conception fonctionnelle et technique de ZALA SUR a été réalisée par des professionnels disposant des certifications suivantes :
- CAMS (Certified Anti-Money Laundering Specialist – ACAMS)
- Certification Conformité d’ESBANQUE (École Supérieure de la Banque)

Sécurité des accès

- Authentification par email/mot de passe
- Gestion des rôles : Administrateur / Utilisateur
- Accès restreint aux fonctions sensibles

Traçabilité et auditabilité

- Journalisation des recherches
- Historique des imports PPE
- Export PDF des résultats de screening

2. ISO/IEC 27001 – Alignment Statement

ZALA SUR s’aligne volontairement sur les principes clés de la norme ISO/IEC 27001 sans certification formelle à ce stade.

Scope ISO 27001

Le périmètre couvre : l’application, l’API, les données PPE, les rôles utilisateurs et les processus de mise à jour.

Contrôles ISO implémentés

- A.5 Politiques de sécurité : Implémenté
- A.9 Contrôle des accès : Implémenté
- A.12 Sécurité des opérations : Implémenté
- A.13 Sécurité des communications : Implémenté
- A.16 Gestion des incidents : En cours
- A.18 Conformité et audit : Implémenté

3. RGPD

ZALA SUR agit en qualité de sous-traitant au sens du RGPD. Les clients sont responsables de traitement.

Finalités du traitement : screening, conformité AML/CFT et reporting.

Données traitées : noms, informations publiques, scores de correspondance.
Aucune donnée bancaire ou de paiement n’est traitée.

Mesures de sécurité RGPD :
- Chiffrement HTTPS
- Contrôle des accès
- Journalisation
- Hébergement cloud sécurisé

1. Auto‑attestation de sécurité

TALA REG est une application web de gestion de la conformité réglementaire permettant d’organiser, suivre et démontrer le respect des obligations réglementaires. Elle s’adresse aux fintechs, assurances et organisations soumises à des exigences de conformité. L’application est conçue conformément aux bonnes pratiques internationales de sécurité de l’information (ISO/IEC 27001 et OWASP Top 10).

Gouvernance et expertise conformité

La conception fonctionnelle et technique de TALA REG est assurée par des professionnels disposant de certifications reconnues en conformité financière :
- CAMS – Certified Anti‑Money Laundering Specialist (ACAMS)
- Certification ESBANQUE (École Supérieure de la Banque)

Cette expertise garantit une implémentation conforme aux exigences réglementaires et aux standards de gouvernance attendus par les autorités et acteurs financiers.

Sécurité des accès et authentification

- Authentification sécurisée par email et mot de passe
- Gestion des rôles (RBAC) : Administrateur, Manager, Soumissionnaire, Back‑up
- Protection stricte des routes et actions par rôle (frontend et RLS Supabase)
- Sessions persistantes sécurisées
- Accès restreint aux fonctions critiques

Gestion des données et preuves de conformité

- Centralisation des données dans Supabase (base de données et stockage)
- Aucun stockage local de données
- Gestion sécurisée des preuves (PDF, JPG, PNG) avec horodatage
- Historique complet des soumissions, validations et rejets

Traçabilité et journal d’audit

TALA REG intègre un journal d’audit détaillé couvrant notamment :
- Connexions des utilisateurs
- Création, modification et import d’obligations
- Dépôt, rejet et suppression de preuves
- Changements de statut
- Envoi de notifications

Les journaux sont filtrables, exportables (CSV) et accessibles uniquement aux rôles autorisés.

2. ISO/IEC 27001 – Alignment Statement

TALA REG s’aligne volontairement sur les principes fondamentaux de la norme ISO/IEC 27001. Une certification formelle n’est pas revendiquée à ce stade, mais une démarche de conformité progressive est engagée.

Périmètre d’alignement

Le périmètre ISO couvre : l’application TALA REG, les API, les obligations réglementaires, les preuves associées, les notifications automatisées, les utilisateurs et les journaux d’audit.

Contrôles ISO couverts (extraits)

- A.5 Politiques de sécurité : Implémenté
- A.9 Contrôle des accès (RBAC) : Implémenté
- A.12 Sécurité des opérations : Implémenté
- A.13 Sécurité des communications : Implémenté
- A.16 Gestion des incidents : En amélioration continue
- A.18 Conformité, journalisation et audit : Implémenté

Feuille de route ISO 27001

- Court terme (0–6 mois) : formalisation complète des politiques sécurité et procédures incident
- Moyen terme (6–12 mois) : audit interne et décision de certification ISO/IEC 27001

3. RGPD – Protection des données personnelles

Dans le cadre du RGPD, TALA REG agit en qualité de sous‑traitant. Les clients exploitant l’application agissent comme responsables de traitement.

Finalités et base légale

Les données personnelles sont traitées exclusivement pour :
- Gestion des obligations réglementaires
- Collecte et conservation de preuves de conformité
- Traçabilité et démonstration du respect des obligations

La base légale repose sur l’intérêt légitime et le respect des obligations réglementaires (article 6(1)(f) RGPD).

Catégories de données

- Données d’identification professionnelle des utilisateurs
- Données relatives aux obligations réglementaires
- Documents justificatifs (PDF, JPG, PNG)
- Journaux d’audit et métadonnées temporelles

Aucune donnée bancaire ou de paiement n’est traitée.

Mesures de sécurité RGPD

- Chiffrement des communications (HTTPS)
- Politiques RLS strictes et contrôle fin des accès
- Stockage sécurisé des documents dans Supabase Storage
- Conservation limitée aux exigences réglementaires

KEBA ETHICS s’engage à promouvoir les plus hauts standards d’éthique, d’intégrité et de conformité au sein des organisations qu’elle accompagne.

La plateforme KEBA ETHICS offre un canal de signalement sécurisé, permettant aux employés et aux tiers autorisés de dénoncer, de manière confidentielle ou anonyme, tout fait présumé de fraude, corruption, harcèlement, discrimination, violation du Code d’éthique ou toute autre conduite inappropriée.

KEBA ETHICS garantit :

• la confidentialité stricte des informations communiquées ;

• la protection des lanceurs d’alerte contre toute forme de représailles ;

• un traitement impartial, sécurisé et responsable des alertes ;

• le respect des lois, réglementations et bonnes pratiques internationales en matière de conformité et de gouvernance.

Toute utilisation abusive de la plateforme est interdite. Les signalements doivent être effectués de bonne foi.

KEBA ETHICS agit comme un levier de prévention, de transparence et de gouvernance responsable.

1. Objet

La présente politique définit les principes et règles encadrant l’utilisation de BOSEMBO ETHICS, outil dédié à la déclaration, au suivi et à la gestion des conflits d’intérêts au sein de l’organisation. Son objectif est de garantir l’intégrité, la transparence et la conformité aux standards de bonne gouvernance.

2. Champ d’application

Cette politique s’applique à :

• l’ensemble des employés,

• les superviseurs hiérarchiques,

• les déontologues et fonctions assimilées,

utilisant BOSEMBO ETHICS dans le cadre de leurs responsabilités professionnelles.

3. Principes généraux

BOSEMBO ETHICS repose sur les principes suivants :

• ✅ Obligation de déclaration sincère des conflits d’intérêts, réels ou potentiels ;

• ✅ Traçabilité et transparence de l’ensemble du processus décisionnel ;

• ✅ Séparation des rôles (déclarant, superviseur, déontologue) ;

• ✅ Confidentialité et protection des données personnelles ;

• ✅ Responsabilité managériale et déontologique à chaque étape du workflow.

4. Règles de déclaration

• Chaque employé est tenu de soumettre une déclaration initiale et annuelle, y compris en l’absence de conflit.

• Toute situation susceptible de créer un conflit d’intérêts doit être déclarée sans délai.

Les déclarations doivent être exactes, complètes et accompagnées de justificatifs le cas échéant.

• Toute fausse déclaration ou omission expose son auteur à des mesures disciplinaires.

5. Processus de validation

• Les déclarations sont examinées successivement par le superviseur puis par le déontologue.

• Les décisions sont motivées, tracées et conservées dans le système.

• Les déclarations rejetées peuvent être corrigées et resoumises, conformément aux règles applicables.

6. Suivi, archivage et reporting

• L’ensemble des déclarations est archivé de manière sécurisée.

• Des tableaux de bord permettent le suivi des indicateurs clés (taux de déclaration, délais de traitement, typologie des conflits).

• Des alertes automatiques assurent le respect des échéances et la gestion proactive des risques.

7. Entrée en vigueur

La présente politique entre en vigueur dès la mise en service de BOSEMBO ETHICS et s’impose à tous les utilisateurs de la plateforme.