Politique de confidentialité

Korhi est une application mobile et une plateforme web destinées aux salariés et aux employeurs d'entreprises clientes. Elle permet de consulter les fiches de paie, de gérer les demandes de congés, d'effectuer le pointage via QR code, et de gérer l'ensemble des opérations de paie et de ressources humaines.

La présente politique de confidentialité décrit les données collectées, leur utilisation et les droits des utilisateurs conformément à la loi ivoirienne n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, à la réglementation de l'ARTCI, ainsi qu'au Règlement Général sur la Protection des Données (RGPD) et aux législations applicables.

Les mots dont la première lettre est en majuscule ont une signification définie ci-dessous. Ces définitions s'appliquent au singulier comme au pluriel.

Compte

Compte unique créé pour vous permettre d'accéder au Service ou à certaines parties de celui-ci.

Affilié

Entité qui contrôle, est contrôlée par ou est sous contrôle commun avec une partie, où « contrôle » signifie la détention de 50 % ou plus des titres donnant droit de vote.

La Société

Webuildd Solutions Digitales, Le Mall Z4, rue Paul Langevin, Marcory Zone 4, Abidjan, Côte d'Ivoire (désignée par « Nous », « Notre » ou « Nos »).

Le Service

Le site web (https://korhi.com/) et l'application mobile Korhi disponible sur iOS et Android.

Application mobile

L'application Korhi permettant aux employés de consulter leurs bulletins de paie, de pointer leur présence et de gérer leurs congés.

Données personnelles

Toute information se rapportant à une personne physique identifiée ou identifiable.

Responsable de traitement

La Société lorsqu'elle détermine les finalités et les moyens du traitement des données des employeurs inscrits.

Sous-traitant

La Société lorsqu'elle traite des données de salariés pour le compte des entreprises clientes (employeurs).

Données d'utilisation

Données collectées automatiquement lors de l'utilisation du Service (adresse IP, pages consultées, durée de visite, etc.).

Vous

La personne physique qui accède au Service ou l'utilise.

3.1 Données des utilisateurs (employeurs)

Lors de votre inscription en tant qu'employeur ou gestionnaire RH, nous collectons :

• Adresse e-mail, prénom et nom de famille, numéro de téléphone, adresse physique
• Mot de passe (stocké sous forme chiffrée — bcrypt)
• Informations sur l'entreprise (nom, RCCM, secteur d'activité)
• Données de facturation et d'abonnement (plan tarifaire choisi)

3.2 Données des salariés (employés)

Dans le cadre de la gestion de la paie et des RH, les employeurs saisissent des données relatives à leurs salariés. En tant que sous-traitant, Korhi traite ces données pour le compte de l'employeur :

• Identité civile : prénom, nom, sexe, date et lieu de naissance, nationalité, situation matrimoniale, nombre d'enfants
• Pièce d'identité : type (CNI, passeport, attestation) et numéro
• Coordonnées : adresse e-mail, numéro de téléphone, adresse domicile
• Matricule salarié, identifiant utilisateur interne et numéro CNPS
• Informations professionnelles : poste, service, direction, catégorie professionnelle, régime
• Informations contractuelles : type de contrat (CDI, CDD, Stage), dates, salaire de base
• Données salariales : salaire brut, salaire net, primes (transport, logement, sursalaire, rendement), heures supplémentaires
• Retenues sociales et fiscales : cotisations CNPS salarié/patronal, ITS, FDFP
• Mode de paiement : virement, chèque, espèces, Mobile Money
• Historique des bulletins de paie et lignes de paie détaillées
• Documents administratifs téléchargés (contrats, pièces d'identité, attestations)

3.3 Données de géolocalisation (pointage)

Dans le cadre du module de gestion des présences, l'application collecte des données de géolocalisation pour valider les pointages :

• Coordonnées GPS (latitude et longitude) au moment du scan du QR Code
• Distance calculée entre le lieu de scan et le checkpoint défini par l'employeur
• Horodatage précis du pointage (entrée / sortie)
• Statut de présence (à l'heure, en retard, sortie anticipée, absent, suspect)

3.4 Données techniques et d'utilisation

• Token de session (JWT) — stocké localement de manière sécurisée
• Token Firebase Cloud Messaging (FCM) — pour l'envoi de notifications push
• Code PIN d'authentification — stocké localement sous forme chiffrée, jamais transmis au serveur en clair
• Adresse IP, type et version du navigateur, pages consultées, date et heure de visite
• Type d'appareil, identifiant unique, système d'exploitation et données de diagnostic

3.5 Données non collectées

Korhi ne collecte pas :

• Aucune donnée de localisation stockée durablement sur nos serveurs (la position est utilisée uniquement pour valider le pointage en temps réel, puis supprimée)
• Aucune image ou vidéo issue de la caméra (le QR code est analysé localement sur l'appareil)
• Aucune donnée biométrique brute (empreinte digitale ou Face ID — ces données restent sur l'appareil via le système d'exploitation)

4.1 Caméra

La caméra est utilisée uniquement pour scanner le QR code de pointage affiché sur site. Aucune image n'est capturée, enregistrée ou transmise. L'analyse du QR code est effectuée localement sur l'appareil.

4.2 Localisation

La localisation est demandée au moment du pointage pour valider que le salarié se trouve bien sur le lieu de travail. La position géographique est transmise une seule fois au serveur pour validation, puis immédiatement supprimée. Elle n'est ni stockée durablement ni partagée.

4.3 Biométrie

Face ID et l'empreinte digitale sont proposés comme méthode d'authentification rapide. Les données biométriques sont gérées exclusivement par le système d'exploitation de l'appareil (iOS Secure Enclave / Android Keystore). Korhi n'accède à aucune donnée biométrique brute et ne les stocke pas.

4.4 Notifications push

Les notifications sont utilisées pour informer le salarié des décisions RH (approbation ou refus de congé), confirmer les pointages, signaler la disponibilité de nouveaux bulletins de paie et émettre des alertes de contrats expirant. Elles peuvent être désactivées à tout moment dans les paramètres de l'appareil.

Nous utilisons des cookies et des technologies de suivi similaires. Vous pouvez configurer votre navigateur pour refuser les cookies, mais certaines fonctionnalités pourraient ne plus fonctionner correctement.

5.1 Types de technologies

• Cookies de navigateur : petits fichiers placés sur votre appareil mémorisant vos préférences de navigation.
• Balises Web (pixels invisibles) : permettent de compter les utilisateurs ayant visité des pages ou ouvert un courriel.
• Stockage local (localStorage / sessionStorage) : mémorise votre session, préférences d'interface et données de cache temporaire. Ces données restent sur votre appareil et ne sont pas transmises à des tiers.

5.2 Catégories de cookies

• Cookies nécessaires / essentiels (session) : indispensables pour fournir les services, authentifier les utilisateurs et prévenir la fraude.
• Cookies de politique / acceptation (persistants) : identifient si les utilisateurs ont accepté l'utilisation de cookies.
• Cookies de fonctionnalité (persistants) : mémorisent vos choix (identifiants de connexion, langue préférée) pour une expérience plus personnalisée.

5.3 Authentification via Google (OAuth2)

Notre Service propose la connexion via Google OAuth2. Lors de cette authentification, Google nous transmet : adresse e-mail, prénom et nom de famille, identifiant Google unique. Nous n'accédons pas à votre mot de passe Google. Cette fonctionnalité est soumise aux Conditions d'utilisation et à la Politique de confidentialité de Google.

La Société utilise les données personnelles aux fins suivantes :

• Fourniture et maintenance du Service : calcul automatique des salaires nets, ITS et cotisations CNPS selon le droit ivoirien, génération des bulletins de paie en PDF.
• Gestion des présences : enregistrement des pointages via QR Code avec validation géographique, calcul des heures travaillées, absences et heures supplémentaires.
• Gestion des congés et absences : traitement des demandes, calcul des soldes de congés payés, intégration dans le calcul de la paie.
• Génération des déclarations sociales et fiscales : déclarations CNPS et ITS mensuelles, livre de paie annuel, états de charges patronales.
• Gestion de votre compte : inscription, authentification, gestion des permissions et rôles.
• Notifications et communications : notifications push, e-mails transactionnels (OTP, confirmations).
• Facturation et paiements : gestion de l'abonnement, traitement des paiements, émission de factures.
• Amélioration du Service : analyse de l'utilisation, identification des tendances, correction des anomalies.
• Conformité légale : respect des obligations en matière de droit du travail ivoirien, de comptabilité et de fiscalité.
• Transferts d'entreprise : en cas de fusion ou acquisition, après notification préalable.

Conformément à la loi ivoirienne n° 2013-450 du 19 juin 2013 et à la réglementation de l'ARTCI, nous traitons vos données sur les bases légales suivantes :

Nous pouvons partager vos données dans les situations suivantes :

• Avec les prestataires de services : Firebase (Google LLC) pour les notifications push ; Paystack pour le traitement des paiements ; prestataires d'hébergement cloud. Ces prestataires sont contractuellement tenus de protéger vos données.
• Avec l'entreprise employeuse (administrateur RH) dans le cadre de la gestion du personnel.
• Dans le cadre de transferts d'entreprise : en cas de fusion, vente, acquisition ou restructuration, après notification préalable.
• Avec nos sociétés affiliées, sous réserve qu'elles respectent la présente politique.
• Avec les autorités légales : si la loi l'exige ou en réponse à des demandes valides (tribunal, DGT, CNPS, DGI).
• Avec votre consentement explicite, pour toute autre finalité non mentionnée ici.

La Société conservera vos données personnelles uniquement pendant la durée nécessaire aux fins énoncées et dans le respect de nos obligations légales.

Lorsque les délais de conservation expirent, nous supprimons ou anonymisons en toute sécurité les données personnelles. Des copies résiduelles peuvent subsister dans des sauvegardes chiffrées pendant une période limitée avant leur effacement automatique.

Vos informations peuvent être traitées dans des pays autres que la Côte d'Ivoire, notamment aux États-Unis (serveurs Firebase/Google) et dans d'autres pays où se trouvent nos prestataires de services.

Nous veillons à ce que ces transferts soient encadrés par des garanties appropriées (clauses contractuelles types, accords de sous-traitance conformes) afin d'assurer un niveau de protection équivalent. La Société ne transfère pas vos données vers une organisation ou un pays sans garanties adéquates en matière de sécurité.

La sécurité de vos données personnelles est notre priorité. Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement des mots de passe (algorithme bcrypt)
• Communications chiffrées via HTTPS/TLS sur toutes les API
• Authentification par jeton JWT avec expiration courte et refresh token sécurisé
• Authentification à deux facteurs via OTP (e-mail ou SMS) lors de l'inscription
• Tokens QR Code chiffrés AES-256-GCM pour les pointages en mode statique
• Stockage local chiffré sur l'application mobile (flutter_secure_storage)
• Contrôle d'accès par rôles et permissions (RBAC)
• Journalisation des événements (audit logs) pour les actions sensibles
• Détection des tentatives de scan abusives (rate limiting sur les pointages)
• Architecture microservices avec gateway d'authentification centralisée

Bien que nous nous efforcions d'utiliser des moyens commercialement raisonnables pour protéger vos données, aucune méthode de transmission sur Internet n'est sûre à 100 %. Nous ne pouvons garantir leur sécurité absolue.

Conformément à la loi ivoirienne n° 2013-450 du 19 juin 2013 et au RGPD, vous disposez des droits suivants :

Pour exercer vos droits, contactez-nous à support@korhi.com ou directement depuis les paramètres de votre compte. Nous répondrons dans un délai de 30 jours.

Vous pouvez à tout moment mettre à jour, modifier ou supprimer vos informations en vous connectant à votre compte (section paramètres) ou en nous contactant à support@korhi.com.

Veuillez noter que nous pouvons être amenés à conserver certaines informations lorsque nous avons une obligation légale, notamment les données de paie soumises à des durées légales de conservation de 5 ans.

Notre Service ne s'adresse pas aux personnes de moins de 16 ans. Nous ne recueillons pas sciemment d'informations personnelles auprès de mineurs. Si vous êtes un parent ou un tuteur et que vous constatez que votre enfant nous a communiqué des données personnelles, veuillez nous contacter à support@korhi.com — nous les supprimerons immédiatement.

Notre Service peut contenir des liens vers d'autres sites web qui ne sont pas exploités par nous. Nous vous recommandons de consulter la politique de confidentialité de chaque site que vous visitez. Nous n'exerçons aucun contrôle et n'assumons aucune responsabilité quant au contenu ou aux pratiques des sites tiers.

Nous pouvons être amenés à modifier notre politique de confidentialité. En cas de modification substantielle, nous vous informerons :

• Par une notification visible dans l'application mobile
• Par e-mail
• Par un avis visible sur notre Service avant l'entrée en vigueur de la modification

La date de « Dernière mise à jour » en haut du document sera également actualisée. Nous vous recommandons de consulter régulièrement cette politique.