Politique de confidentialite
Derniere mise a jour : 30 mars 2026
La presente politique de confidentialite decrit comment WassaSim (ci-apres "nous", "notre") collecte, utilise et protege vos donnees personnelles lorsque vous utilisez notre application mobile, notre site web et nos services en ligne (ci-apres "le Service").
WassaSim est une marketplace d'eSIM data permettant l'achat de forfaits data internationaux pour 178 pays. Le Service fonctionne en deux modes : avec compte (authentification par lien magique, sans mot de passe) et en guest checkout (aucun compte requis).
Cette politique est conforme au Reglement general sur la protection des donnees (RGPD — reglement UE 2016/679) et a la loi Informatique et Libertes du 6 janvier 1978 modifiee.
1. Responsable du traitement
SASU WassaSim (en cours de creation)
Email de contact : contact@wassasim.com
Email vie privee : privacy@wassasim.com
Site web : https://wassasim.com
2. Donnees collectees
Nous appliquons le principe de minimisation des donnees : nous ne collectons que ce qui est strictement necessaire au fonctionnement du Service.
Donnees que vous nous fournissez
- Adresse email — livraison de votre eSIM, confirmations de commande, factures, et authentification si vous creez un compte
- Nom / prenom — identification sur les factures
- Pays de destination — selection du forfait adapte
- Email du destinataire (si achat pour un proche) — livraison de l'eSIM au destinataire
Donnees collectees automatiquement
- Adresse IP — securite, prevention de la fraude, et determination du pays de l'acheteur pour le calcul de la TVA (via l'en-tete CF-IPCountry de notre CDN, sans geolocalisation precise)
- Donnees techniques (modele d'appareil, systeme d'exploitation, version du navigateur) — diagnostic des erreurs techniques
- Donnees d'usage anonymisees — amelioration du Service (pages visitees, parcours d'achat)
Donnees de paiement
Vos donnees bancaires (numero de carte, date d'expiration, CVV) sont collectees et traitees exclusivement par notre prestataire de paiement, certifie PCI-DSS niveau 1 (le plus haut niveau de certification de l'industrie des paiements). Les donnees de carte transitent directement de votre navigateur ou application vers les serveurs du prestataire, sans jamais passer par nos systemes. WassaSim ne stocke, ne traite et n'accede a aucune donnee bancaire.
Donnees que nous ne collectons PAS
- Numeros de carte bancaire ou donnees de paiement
- Mots de passe (l'authentification se fait par lien magique envoye par email)
- Donnees biometriques
- Donnees de geolocalisation precise
- Donnees issues de reseaux sociaux
- Numeros de telephone (sauf si vous les fournissez volontairement au support)
3. Pourquoi nous utilisons vos donnees (bases legales)
Chaque traitement de donnees repose sur une base legale prevue par le RGPD :
- Execution du contrat (art. 6.1.b RGPD) — traitement du paiement, provisionnement de l'eSIM, livraison par email, generation des factures, gestion des remboursements
- Obligation legale (art. 6.1.c RGPD) — conservation des factures (10 ans, art. L123-22 du Code de commerce), calcul et declaration de la TVA, reponse aux requisitions judiciaires
- Interet legitime (art. 6.1.f RGPD) — prevention de la fraude, securite du Service, suivi des erreurs techniques, amelioration du Service par analyse d'usage anonymisee
Nous ne vendons, ne louons et ne partageons jamais vos donnees personnelles a des fins publicitaires, de profilage ou commerciales. Nous ne faisons aucun marketing par email non sollicite.
4. Sous-traitants et partage des donnees
Pour le bon fonctionnement du Service, nous faisons appel a un nombre limite de prestataires techniques, chacun lie par un accord de traitement des donnees (DPA) conforme au RGPD.
| Categorie | Role | Localisation des donnees | Certifications |
|---|---|---|---|
| Hebergeur | Serveurs et base de donnees | France | ISO 27001, SOC 1 & 2 |
| Paiement | Traitement des transactions | UE (Irlande) | PCI-DSS niveau 1, SOC 2 Type II |
| CDN / Securite | Protection DDoS, pare-feu applicatif (WAF), certificats SSL | Global (edge caches), config UE | SOC 2 Type II, ISO 27001 |
| Email transactionnel | Livraison eSIM, factures, confirmations | UE | SOC 2 Type II |
| Monitoring | Suivi des erreurs techniques (aucune donnee personnelle transmise) | UE (Francfort) | SOC 2 Type II |
| Analytique | Analyse d'usage anonymisee (aucune donnee personnelle transmise) | UE (Francfort) | — |
| Fournisseurs eSIM | Provisionnement des profils eSIM | Singapour / UE | SOC 2 Type II, PCI-DSS |
L'ensemble de notre chaine de sous-traitance est auditee. Nos fournisseurs eSIM et notre prestataire de paiement sont certifies SOC 2 Type II (audit independant annuel couvrant securite, disponibilite et confidentialite) et PCI-DSS (norme de securite des donnees de l'industrie des cartes de paiement). Ces certifications garantissent que l'integralite de la chaine — du paiement au provisionnement de votre eSIM — respecte les standards de securite les plus exigeants du secteur.
Nous ne partageons aucune donnee avec des tiers a des fins publicitaires ou de profilage.
5. Transferts hors Union europeenne
La grande majorite de vos donnees est hebergee en France (datacenter certifie en France) et dans l'Union europeenne. Certains prestataires operent partiellement en dehors de l'UE :
- Prestataire de paiement — certifie EU-US Data Privacy Framework
- CDN / Securite — Clauses Contractuelles Types (CCT) approuvees par la Commission europeenne
- Fournisseurs eSIM — CCT et certifications SOC 2 Type II
Ces transferts sont encadres par les garanties prevues par le RGPD (chapitre V) : decisions d'adequation, Clauses Contractuelles Types, et/ou Data Privacy Framework UE-US.
Vous pouvez obtenir une copie des garanties appropriees en nous contactant a privacy@wassasim.com.
6. Duree de conservation
Vos donnees sont conservees uniquement le temps necessaire a la finalite pour laquelle elles ont ete collectees :
- Donnees de commande (email, nom, pays) — 3 ans apres la derniere commande, puis anonymisation
- QR codes et codes d'activation eSIM — 90 jours apres la livraison, puis suppression
- Donnees de facturation — 10 ans (obligation legale, art. L123-22 du Code de commerce)
- Tokens d'authentification — 30 jours (renouveles automatiquement, revocables a tout moment)
- Logs de securite — 12 mois
- Donnees d'usage anonymisees — 24 mois
A l'expiration de ces durees, les donnees sont supprimees ou anonymisees de maniere irreversible. Les credentials d'acces a la base de donnees sont automatiquement renouvelees chaque mois.
7. Vos droits
Conformement au RGPD (articles 15 a 22), vous disposez des droits suivants sur vos donnees personnelles :
- Acces (art. 15) — obtenir une copie de l'ensemble de vos donnees personnelles que nous detenons
- Rectification (art. 16) — corriger des donnees inexactes ou incompletes. Si vous avez un compte, vous pouvez modifier vos informations directement depuis votre profil
- Effacement (art. 17) — demander la suppression de vos donnees lorsqu'elles ne sont plus necessaires. Certaines donnees peuvent etre conservees en cas d'obligation legale (facturation)
- Limitation (art. 18) — restreindre le traitement de vos donnees dans certains cas
- Portabilite (art. 20) — recevoir vos donnees dans un format structure, couramment utilise et lisible par machine (JSON). Disponible depuis votre espace compte
- Opposition (art. 21) — vous opposer au traitement fonde sur notre interet legitime
Pour exercer vos droits, contactez-nous a privacy@wassasim.com. Nous repondons sous un mois maximum. Si votre demande est complexe, ce delai peut etre prolonge de deux mois (nous vous en informerons).
Si notre reponse ne vous satisfait pas, vous pouvez introduire une reclamation aupres de la CNIL (Commission nationale de l'informatique et des libertes), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
8. Securite
Nous mettons en oeuvre des mesures de securite techniques et organisationnelles conformes a l'etat de l'art pour proteger vos donnees :
Chiffrement
- Toutes les communications sont chiffrees en transit (TLS 1.2+ / HTTPS obligatoire)
- Les donnees sensibles sont chiffrees au repos dans notre base de donnees
- Les certificats SSL sont geres via notre CDN avec renouvellement automatique
Infrastructure
- Serveurs heberges en France (datacenter certifie en France), acces restreint par cle SSH uniquement
- Base de donnees accessible uniquement en local (port ferme au trafic externe)
- Secrets et credentials geres par un coffre-fort numerique (vault) — aucun secret stocke sur disque, tout est injecte en memoire a l'execution
- Rotation automatique mensuelle des credentials de base de donnees et des cles d'API
Protection applicative
- Pare-feu applicatif (WAF) avec regles personnalisees contre les attaques courantes
- Protection DDoS au niveau du reseau et de l'application
- Limitation du nombre de requetes par adresse IP (rate limiting)
- Protection CSRF sur toutes les actions sensibles
- En-tetes de securite HTTP (HSTS, X-Content-Type-Options, X-Frame-Options)
Authentification
- Connexion par lien magique (magic link) — aucun mot de passe stocke ni transmis
- Tokens d'acces signes cryptographiquement (JWT HS256) avec expiration automatique
- Acces administrateur protege par limitation stricte (5 tentatives / 15 min) et en-tetes anti-indexation
Chaine de confiance fournisseurs
- Paiements traites par un prestataire certifie PCI-DSS niveau 1
- Fournisseurs eSIM certifies SOC 2 Type II (audit independant annuel couvrant securite, disponibilite et confidentialite) et PCI-DSS
- Analyse des vulnerabilites automatisee dans notre pipeline de deploiement (SAST, audit des dependances)
En cas de violation de donnees, nous notifions la CNIL sous 72 heures conformement a l'article 33 du RGPD, et vous informons sans delai si un risque eleve existe pour vos droits et libertes (article 34).
9. Cookies
WassaSim n'utilise aucun cookie publicitaire, de profilage ni de suivi tiers.
Seuls des cookies strictement essentiels au fonctionnement technique du Service sont utilises :
- Preference de langue (cookie
wassasim_lang) — pour retenir votre choix de langue - Protection contre les attaques — cookies de securite geres par notre CDN
Ces cookies sont exemptes de consentement conformement a l'article 82 de la loi Informatique et Libertes et aux recommandations de la CNIL (deliberation n° 2020-091). Nous n'utilisons pas Google Analytics, Facebook Pixel ni aucun outil de suivi publicitaire.
10. Mineurs
Le Service n'est pas destine aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de donnees personnelles de mineurs. Si vous etes un parent ou tuteur et que vous pensez que votre enfant nous a fourni des donnees personnelles, contactez-nous a privacy@wassasim.com et nous les supprimerons.
11. Modifications
Nous pouvons modifier cette politique pour refleter les evolutions de nos pratiques ou de la reglementation. La date de mise a jour en haut du document fait foi. En cas de modification substantielle, nous en informerons les utilisateurs disposant d'un compte par email.
12. Contact
Pour toute question relative a vos donnees personnelles :
- Vie privee : privacy@wassasim.com
- Contact general : contact@wassasim.com
Cette politique est regie par le droit francais. En cas de litige, les tribunaux francais sont seuls competents.