Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement est Minalya, exploité par MAWARABA KEITA (Canada). Pour toute question, écrivez à contact@useminalya.com.

2. Données collectées

Minalya collecte les données strictement nécessaires à la chaîne de garde des échantillons miniers et à l'audit règlementaire (NI 43-101, JORC, KP).

• Compte utilisateur : nom, prénom, adresse email professionnelle, rôle (géologue, project manager, etc.), mot de passe haché (bcrypt 12 rounds).
• Données terrain : coordonnées GPS des échantillons et des traces, photos prises sur le terrain, observations géologiques (lithologie, altération, structures), mesures structurales.
• Trace GPS continue : pendant l'enregistrement d'une trace de prospection, position GPS toutes les 3 secondes (y compris écran éteint, avec votre autorisation explicite). Utilisée pour documenter la couverture terrain du géologue.
• Capteurs : utilisation ponctuelle du magnétomètre et de l'accéléromètre du téléphone pour calculer azimut et pendage d'une mesure structurale. Aucune donnée capteur n'est stockée brute.
• Journal d'audit : pour chaque action (création/modification/suppression d'un échantillon, observation, etc.), nous enregistrons l'utilisateur, la date, l'adresse IP et l'agent utilisateur. C'est une exigence des audits 43-101 et un élément clé de la valeur de Minalya.
• Données techniques : type d'appareil, version OS, version de l'app, identifiant d'installation, pour le diagnostic des plantages.

3. Finalités

• Fournir le service de collecte d'échantillons hors-ligne et la chaîne de garde numérique auditable.
• Permettre les exports SIG (QGIS, ArcGIS, Leapfrog, Vulcan, Surpac, Micromine) demandés par votre organisation.
• Documenter la provenance des échantillons pour les acheteurs, l'État (Mines, Douanes) et les auditeurs (PwC, KPMG dans le cadre NI 43-101).
• Détecter et notifier les anomalies (échantillon hors-titre, suspect, mesure GPS aberrante).
• Maintenir la sécurité du service (détection d'abus, throttling, audit des connexions).

4. Base légale (RGPD)

Le traitement repose sur l'exécution du contrat conclu entre Minalya et votre organisation (article 6.1.b RGPD) et sur notre intérêt légitime à produire un audit trail conforme aux standards miniers internationaux (article 6.1.f). Les obligations de conservation pour l'audit règlementaire constituent également une obligation légale (article 6.1.c) dans les pays où ces audits sont imposés.

5. Durée de conservation

• Données d'échantillonnage et observations : durée de vie du projet, plus 10 ans après sa clôture (durée standard d'archivage pour les audits NI 43-101).
• Journal d'audit : append-only, conservation indéfinie. C'est la garantie d'intégrité de l'audit trail (impossible de réécrire l'histoire).
• Compte utilisateur : durée de la relation contractuelle plus 3 ans.
• Logs techniques : 90 jours.
• Photos terrain : durée de vie du projet plus 10 ans.

6. Partage de données

Minalya ne vend AUCUNE donnée à des tiers. Les données peuvent être partagées avec :

• Les membres de votre organisation autorisés à accéder au projet.
• Les auditeurs mandatés par votre organisation (PwC, KPMG, BDO, etc.) dans le cadre d'un audit NI 43-101 ou équivalent.
• Les autorités étatiques compétentes (Ministère des Mines, Douanes) si votre organisation choisit d'exporter les données dans un format réglementaire.
• Nos sous-traitants techniques : Railway (hébergement base de données, États-Unis), Vercel (hébergement du site marketing, États-Unis), Google Cloud (Firebase App Distribution si activé).

7. Vos droits

Conformément au RGPD et aux lois équivalentes, vous disposez des droits suivants :

• Accès à vos données personnelles.
• Rectification des données inexactes.
• Effacement des données qui ne sont pas couvertes par une obligation légale de conservation (par exemple les logs techniques).
• Limitation et opposition au traitement.
• Portabilité des données dans un format structuré (GeoJSON, CSV).
• Retrait du consentement pour les traitements basés sur le consentement (notamment la localisation en arrière-plan).

Le journal d'audit (append-only) ne peut pas être effacé car son intégrité est essentielle à la valeur de Minalya. Si vous quittez une organisation, vos contributions restent attribuées à votre compte pour la traçabilité, mais votre profil peut être anonymisé.

Pour exercer ces droits, écrivez à contact@useminalya.com. Réponse sous 30 jours.

8. Sécurité

• Mots de passe hachés avec bcrypt 12 rounds (jamais stockés en clair).
• Tokens d'authentification JWT à durée de vie courte (15 minutes) avec refresh token rotatif.
• Signature HMAC-SHA256 de chaque échantillon à la création, pour garantir l'intégrité auditeur.
• Chiffrement TLS 1.3 en transit.
• Stockage sécurisé des secrets sur le mobile (Keystore Android, Keychain iOS).
• Audit log append-only au niveau base de données (REVOKE UPDATE/DELETE).
• Limitation de débit (100 requêtes / 15 minutes / IP).

9. Transferts hors UE

Les données sont hébergées par Railway (États-Unis) et Vercel (États-Unis). Ces sous-traitants sont certifiés conformes au cadre Data Privacy Framework (DPF) UE-États-Unis, qui garantit un niveau de protection adéquat.

10. Mineurs

Minalya est un outil professionnel destiné aux géologues et techniciens miniers. Le service n'est pas destiné aux personnes de moins de 18 ans et ne collecte pas sciemment de données les concernant.

11. Modifications de cette politique

Toute modification matérielle sera notifiée par email aux utilisateurs actifs au moins 30 jours avant son entrée en vigueur. La version la plus récente est toujours publiée sur cette page.

12. Contact

Pour toute question, demande d'exercice de droit ou réclamation, écrivez à contact@useminalya.com. Vous avez également le droit de saisir l'autorité de contrôle compétente (CNIL en France, CPVP au Canada).