Politique de confidentialité — MastaExpress
Version 1.0 — 27 mai 2026 v1 MVP — Validation juridique professionnelle pré-launch production recommandée.
1. Introduction
MastaExpress (« nous », « notre service ») est une plateforme de covoiturage planifié destinée à la République Démocratique du Congo et à l'Afrique centrale, opérée par l'éditeur de l'application MastaExpress disponible sur Android.
Cette politique explique quelles données personnelles nous collectons, pourquoi, avec qui nous les partageons, comment nous les protégeons, et quels sont vos droits.
Contact protection des données : noreply@mastaexpress.com
2. Données que nous collectons
2.1 Lors de l'inscription (compte)
- Numéro de téléphone (format RDC
+243 [89]XXXXXXXX) - Nom complet
- Code PIN : stocké chiffré avec bcrypt, jamais en clair, jamais transmis tel quel à nos serveurs
- 3 questions de sécurité + leurs réponses (chiffrées) pour la récupération de PIN
- Langue préférée (français ou lingala)
2.2 Lors de la vérification d'identité (KYC)
Pour pouvoir effectuer ou recevoir des paiements et garantir la sécurité de la plateforme :
- Photo de votre carte d'électeur CENI (recto)
- Selfie pour confirmer correspondance avec la carte
- Pour devenir conducteur : permis de conduire, carte grise du véhicule, photo extérieure du véhicule, selfie avec permis
Ces documents sont stockés dans un bucket Supabase Storage privé. Seuls vous et l'équipe de modération MastaExpress y avez accès.
2.3 Lors de l'usage de l'application
- Trajets publiés (en tant que conducteur) : départ, arrivée, date, prix, places
- Réservations (en tant que passager) : trajet, places réservées, code de confirmation
- Géolocalisation : utilisée uniquement quand vous appuyez sur le bouton SOS, pour l'inclure dans le message d'urgence envoyé à votre contact. Aucun tracking continu.
- Notes et commentaires (reviews bilatéraux post-trajet)
- Vouches (endorsements de confiance entre membres ayant voyagé ensemble)
- Contacts d'urgence (jusqu'à 5) que vous configurez vous-même
- Token de notification push (Expo + Firebase Cloud Messaging) pour les alertes réservations, trajets, paiements
2.4 Lors des paiements
- Le montant et le type de chaque transaction (recharge wallet, paiement de trajet, commission, retrait Mobile Money)
- Numéro Mobile Money que vous fournissez pour les retraits
- Les numéros de carte bancaire ne transitent JAMAIS par nos serveurs : tous les paiements sont traités par notre prestataire GeniusPay sur leur infrastructure dédiée.
2.5 Lors de la vérification Premium
Si vous demandez le statut Premium (15 trajets cumulés) : nous générons un code que vous envoyez via WhatsApp à notre numéro admin. Aucun message WhatsApp n'est stocké en BDD MastaExpress.
3. Comment nous utilisons vos données
| Finalité | Données utilisées |
|---|---|
| Identifier votre compte | Téléphone, PIN |
| Mettre en relation passagers et conducteurs | Trajets publiés, réservations |
| Sécuriser la plateforme | KYC, vouches, audit logs |
| Effectuer les paiements | Wallet, transactions, GeniusPay |
| Vous notifier | Token push + Expo + FCM |
| SOS d'urgence | Géolocalisation, contacts d'urgence |
| Améliorer le service | Statistiques agrégées anonymes |
Nous n'utilisons pas vos données pour de la publicité ciblée. Nous ne vendons pas vos données.
4. Tiers (sous-traitants) ayant accès à vos données
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Hébergement BDD, Authentication, Storage (KYC) | États-Unis (eu-central migration prévue) |
| GeniusPay | Traitement paiements Mobile Money RDC | Côte d'Ivoire |
| Expo (EAS) | Distribution notifications push | États-Unis |
| Firebase Cloud Messaging (Google) | Transport notifications Android | États-Unis |
| Resend | Envoi des emails transactionnels | États-Unis |
| Mapbox | Cartes et géocodage | États-Unis |
| Cloudflare | DNS et CDN du site web mastaexpress.com | Mondial |
Chaque sous-traitant est lié à MastaExpress par un contrat respectant la confidentialité de vos données.
5. Durée de conservation
- Compte actif : tant que vous utilisez l'application
- Compte supprimé : purgé sous 30 jours
- Données de paiement (wallet, transactions) : conservées 5 ans (obligations comptables RDC)
- Audit logs (changements KYC, statuts paiement) : 12 mois
- Documents KYC : 12 mois après suppression du compte (compliance anti-fraude)
6. Vos droits
Vous disposez des droits suivants, inspirés du RGPD européen adaptés au contexte RDC :
- Accès : demander une copie de vos données personnelles
- Rectification : corriger les informations inexactes
- Suppression : demander la suppression de votre compte (sauf obligations légales : factures, audit logs)
- Portabilité : recevoir vos données dans un format structuré (JSON)
- Opposition : refuser l'usage de vos données pour certaines finalités
Pour exercer ces droits, écrivez-nous à : noreply@mastaexpress.com
Délai de réponse : 30 jours maximum.
7. Sécurité de vos données
Nous prenons votre sécurité au sérieux :
- PIN chiffré bcrypt côté serveur (jamais stocké en clair)
- Communications HTTPS systématiques entre l'app et nos serveurs
- Row Level Security (RLS) Supabase : un utilisateur ne peut accéder qu'à ses propres données
- Secrets dans Supabase Vault (clés API, webhook secrets)
- Tokens de session stockés dans SecureStorage Android (Keystore)
- Audit logs sur toutes les mutations sensibles (KYC, paiements, wallet)
- HMAC-SHA256 webhook signatures pour empêcher la falsification des paiements
8. Cookies et stockage local
L'application mobile utilise le stockage sécurisé local (SecureStorage) pour conserver :
- Le hash de votre PIN (pour login hors-ligne)
- Vos tokens de session Supabase
- Votre préférence de langue
Aucun cookie publicitaire. Aucun tracking tiers (Google Analytics, Facebook Pixel, etc.).
9. Mineurs
MastaExpress est interdit aux personnes de moins de 18 ans. Notre vérification KYC via la carte d'électeur CENI (qui n'est délivrée qu'aux majeurs) garantit ce contrôle pour les utilisateurs vérifiés.
Si nous découvrons qu'un compte appartient à un mineur, nous le supprimons immédiatement.
10. Notifications push
Avec votre consentement (toggle dans Profile), nous vous envoyons des notifications pour :
- Nouvelles réservations sur vos trajets (conducteur)
- Annulations de réservation
- Modifications ou annulations de trajets (passager)
- Nouveaux avis reçus
- Validation/refus de votre KYC ou vérification Premium
- Statut des demandes de retrait Mobile Money
Vous pouvez désactiver ces notifications à tout moment depuis Profile → Préférences.
11. Transferts internationaux
Vos données sont hébergées et traitées chez nos sous-traitants américains et ivoiriens. Nous nous assurons que ces sous-traitants respectent un niveau de protection équivalent aux standards internationaux.
12. Modifications de cette politique
Nous pouvons modifier cette politique. En cas de changement significatif, nous vous préviendrons 7 jours avant la mise en application, soit par notification push, soit par email.
La date de la dernière mise à jour figure en haut du document.
13. Contact
Pour toute question sur cette politique ou pour exercer vos droits :
- Email : noreply@mastaexpress.com
- Site web : https://mastaexpress.com
MastaExpress respecte votre vie privée. Cette politique sera actualisée dès qu'un avocat agréé en droit du numérique RDC l'aura validée juridiquement (prévu pré-launch production).