Politique de confidentialité

La présente Politique de confidentialité décrit les modalités de collecte, d'utilisation, de conservation et de protection des données à caractère personnel traitées par CarbonTrack (ci-après « la Plateforme »), édité par GreenLeaves SARL, dans le cadre de la fourniture de services de mesure, déclaration et certification de bilans carbone (GES) destinés aux entreprises.

Notre traitement des données est aligné sur les principes du Règlement Général sur la Protection des Données (RGPD — UE 2016/679), considérés comme le standard international le plus exigeant en matière de protection des données personnelles, ainsi que sur les bonnes pratiques de sécurité de l'information (ISO/IEC 27001, ISO/IEC 27701).

Cette politique s'applique sans préjudice des lois nationales applicables au traitement des données personnelles dans les juridictions où nos utilisateurs sont établis.

Le responsable du traitement est GreenLeaves SARL, société dont le siège social est à Libreville, République Gabonaise.

Contact du Délégué à la Protection des Données (DPO) : dpo@greenleaves.ga

Dans le cadre de votre utilisation de la Plateforme, nous collectons :

Données d'identification

• Nom, prénom, adresse email, numéro de téléphone
• Identifiants de connexion (mot de passe chiffré via bcrypt — jamais stocké en clair)

Données de l'entreprise

• Raison sociale, numéro d'immatriculation, secteur d'activité
• Adresse, logo, sites d'exploitation

Données métier (bilan GES)

• Consommations énergétiques, transports, déchets, intrants
• Factures et pièces justificatives téléversées
• Résultats de calculs d'émissions, rapports d'audit

Données techniques

• Adresse IP, horodatage des connexions, type d'appareil et de navigateur
• Cookies strictement nécessaires (session, authentification, protection CSRF)

Nous appliquons le principe de minimisation : seules les données strictement nécessaires aux finalités décrites ci-dessous sont collectées.

Vos données sont traitées exclusivement pour :

• Créer et gérer votre compte utilisateur et celui de votre entreprise
• Calculer et stocker vos bilans carbone conformément aux normes internationales GHG Protocol, ISO 14064-1 et ISO 14069
• Permettre la revue et l'audit par des experts indépendants accrédités
• Émettre les rapports et certificats officiels de bilan
• Vous notifier des changements d'état de vos demandes et abonnements
• Améliorer la Plateforme et prévenir la fraude et les abus
• Répondre à nos obligations légales, comptables et fiscales

Conformément aux principes RGPD, chaque traitement repose sur l'une des bases légales suivantes :

• Exécution du contrat qui vous lie à la Plateforme (Conditions Générales d'Utilisation)
• Consentement explicite recueilli au moment de l'inscription (case à cocher), révocable à tout moment
• Obligation légale pour les déclarations comptables, fiscales et réglementaires applicables
• Intérêt légitime de GreenLeaves pour la sécurité de la Plateforme, la prévention de la fraude et l'amélioration des services

Vos données peuvent être communiquées aux destinataires suivants :

• Le personnel autorisé de GreenLeaves (selon le principe du moindre privilège)
• Les experts auditeurs accrédités assignés à votre dossier de certification, soumis à des obligations strictes de confidentialité
• Nos sous-traitants techniques (hébergement, sauvegarde, messagerie) liés par contrat de sous-traitance conforme RGPD
• Les autorités administratives ou judiciaires compétentes, sur réquisition légale dûment motivée

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins publicitaires ou commerciales.

Vos données sont hébergées prioritairement en Europe (Union Européenne) auprès de sous-traitants certifiés ISO/IEC 27001. Tout transfert vers un pays tiers est encadré par des garanties appropriées (clauses contractuelles types de la Commission Européenne, certifications reconnues) ou requiert votre consentement explicite préalable.

Nous appliquons le principe de limitation de la conservation :

• Données de compte : pendant toute la durée d'utilisation du service + 3 ans après la dernière activité
• Bilans carbone et certificats : 10 ans (durée standard requise par les obligations comptables et la traçabilité des certifications)
• Pièces justificatives d'audit : 10 ans
• Logs techniques : 12 mois maximum
• Données de facturation : 10 ans (obligation comptable)

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées au risque, conformément à l'article 32 du RGPD :

• Chiffrement TLS 1.3 pour toutes les communications client–serveur
• Mots de passe stockés avec bcrypt (salt + hash, jamais en clair)
• Tokens d'authentification JWT signés avec rotation périodique
• Sauvegardes chiffrées quotidiennes hors-site
• Contrôle d'accès strict par rôle (RBAC) avec moindre privilège
• Journalisation des accès aux données sensibles
• Audits de sécurité périodiques et tests d'intrusion
• Plan de réponse aux incidents et obligation de notification sous 72h en cas de violation

Conformément aux principes du RGPD et aux lois applicables sur la protection des données, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès — obtenir copie de l'ensemble de vos données personnelles
• Droit de rectification — corriger les données inexactes ou incomplètes
• Droit à l'effacement (« droit à l'oubli ») — sous réserve des obligations légales de conservation
• Droit à la limitation du traitement
• Droit d'opposition — refuser certains traitements pour des motifs légitimes
• Droit à la portabilité — récupérer vos données dans un format structuré et interopérable (JSON / CSV)
• Droit de retirer votre consentement à tout moment, sans affecter la licéité des traitements antérieurs
• Droit d'introduire une réclamation auprès de l'autorité de protection des données compétente dans votre juridiction

Pour exercer ces droits, contactez notre DPO à dpo@greenleaves.ga. Une réponse vous sera apportée dans un délai maximum de 30 jours.

La Plateforme utilise exclusivement des cookies strictement nécessaires à son fonctionnement (session, authentification, sécurité CSRF). Aucun cookie publicitaire, de profilage ou de tracking tiers n'est utilisé. Aucun consentement supplémentaire n'est donc requis (exemption prévue par les recommandations sur les cookies essentiels).

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, vous serez informé dans les meilleurs délais (objectif : 72 heures) avec :

• La nature de la violation et les catégories de données concernées
• Les conséquences probables et les mesures prises pour y remédier
• Les recommandations pour atténuer les éventuels effets négatifs

La présente Politique peut être modifiée pour refléter les évolutions légales, techniques ou organisationnelles. Toute modification substantielle vous sera notifiée par email et par notification dans la Plateforme au moins 30 jours avant son entrée en vigueur.

Délégué à la Protection des Données (DPO)
dpo@greenleaves.ga

Service Support
support@greenleaves.ga