Préambule
La présente Politique de Confidentialité et de Protection des Données (ci-après la « Politique ») décrit les pratiques de OXAHOST SARL (ci-après « Oxahost », « nous », « notre ») concernant la collecte, l'utilisation, le stockage, le partage et la protection des données personnelles.
Responsable du traitement : OXAHOST SARL, immatriculée au RNE de Tunis sous le numéro 1550168S, ayant son siège social au 15 rue Socrate, Zone d'Activités Khereddine, 2089 La Goulette, Tunisie. Contact- Email : help@oxahost.support
- Téléphone : —
Cadre juridique applicable
Cette Politique est établie en conformité avec :
- La Loi organique n° 2004-63 du 27 juillet 2004 portant sur la protection des données à caractère personnel (Tunisie) ;
- Le Règlement (UE) 2016/679 du Parlement européen (RGPD), applicable aux traitements concernant des résidents de l'Union européenne ;
- La Directive (UE) 2022/2555 (NIS 2) relative à la cybersécurité ;
- Le Data Act (Règlement (UE) 2023/2854) ;
- Les recommandations de l'Instance Nationale de Protection des Données Personnelles (INPDP) de Tunisie.
Champ d'application
Cette Politique s'applique à :
- Tous les visiteurs du site oxahost.tn et de ses sous-domaines ;
- Tous les Clients utilisant les Services Oxahost ;
- Les partenaires et sous-traitants accédant aux systèmes Oxahost ;
- Toute personne dont les données sont traitées dans le cadre de nos activités.
Titre I — Données Collectées
Article 1 — Données d'identification
1.1. Données collectées lors de l'inscription
Lors de la création de votre compte Client, nous collectons :
- Nom et prénom (ou raison sociale pour les personnes morales) ;
- Adresse email principale et secondaire ;
- Numéro de téléphone fixe et/ou mobile ;
- Adresse postale complète (domicile ou siège social) ;
- Identifiant fiscal (numéro IF pour la Tunisie, TVA intracommunautaire pour l'UE) ;
- Pièce d'identité (en cas de vérification requise par la réglementation).
1.2. Base légale
La collecte de ces données est fondée sur l'exécution contractuelle (nécessaire à la fourniture des Services) et l'obligation légale (identification du client, facturation, lutte anti-fraude).
1.3. Caractère obligatoire
Ces données sont obligatoires. Leur non-fourniture empêche la création du compte et l'accès aux Services.
Article 2 — Données de facturation
2.1. Informations de paiement
Nous collectons les données nécessaires au traitement des paiements :
- Type de moyen de paiement (carte bancaire, virement, PayPal, D17/Flouci) ;
- Quatre derniers chiffres de la carte bancaire (les données complètes sont traitées par notre prestataire de paiement certifié PCI-DSS) ;
- Adresse de facturation ;
- Historique des transactions (montants, dates, références).
2.2. Données de facturation
- Factures émises et numérotées séquentiellement ;
- Devis et bons de commande ;
- Avoirs et notes de crédit ;
- Relevés de compte Client.
2.3. Conservation
Les données de facturation sont conservées pendant 10 ans conformément aux obligations comptables et fiscales tunisiennes.
Article 3 — Données techniques
3.1. Données collectées automatiquement
Lors de votre navigation sur nos sites et de l'utilisation de nos Services, nous collectons automatiquement :
- Adresse IP (IPv4 et IPv6) ;
- Type et version du navigateur ;
- Système d'exploitation et résolution d'écran ;
- Pages visitées, durée de visite, parcours de navigation ;
- URL de provenance (referrer) ;
- Identifiants de cookies et technologies similaires ;
- Fuseau horaire et paramètres linguistiques.
3.2. Logs serveur
Nos serveurs enregistrent :
- Requêtes HTTP/HTTPS (méthode, URL, code de réponse, taille) ;
- Connexions FTP/SSH/SFTP (adresse IP, horodatage, résultat) ;
- Accès aux bases de données ;
- Événements de sécurité (tentatives de connexion échouées, alertes WAF).
3.3. Base légale
Le traitement de ces données repose sur l'intérêt légitime (sécurité, amélioration des Services) et l'obligation légale (conservation des logs pendant 1 an minimum).
Article 4 — Données de communication
4.1. Support technique
Nous conservons l'ensemble des échanges relatifs au support :
- Tickets de support (contenu, pièces jointes, horodatage) ;
- Emails échangés avec le support technique et commercial ;
- Transcriptions de chat en direct ;
- Enregistrements d'appels téléphoniques (avec consentement préalable).
4.2. Communications marketing
Avec votre consentement explicite :
- Préférences de communication (newsletter, alertes produit, promotions) ;
- Historique d'ouverture et de clic des emails marketing ;
- Réponses aux enquêtes de satisfaction.
4.3. Durée de conservation
Les données de support sont conservées pendant 3 ans après la clôture du ticket. Les données marketing sont conservées jusqu'au retrait du consentement.
Titre II — Finalités du Traitement
Article 5 — Exécution contractuelle
Nous traitons vos données personnelles pour :
- Créer et gérer votre compte Client ;
- Fournir les Services commandés (hébergement, domaines, email, etc.) ;
- Traiter les paiements et émettre les factures ;
- Assurer le support technique et résoudre les incidents ;
- Communiquer les informations relatives à vos Services (maintenance, mises à jour, incidents).
Ces traitements sont indispensables à l'exécution du contrat vous liant à Oxahost.
Article 6 — Obligations légales
Certains traitements sont imposés par la loi :
- Conservation des données de facturation pendant 10 ans (Code du Commerce tunisien) ;
- Conservation des logs de connexion pendant 1 an (obligations des hébergeurs) ;
- Communication aux autorités judiciaires sur réquisition légale ;
- Déclarations fiscales et obligations comptables ;
- Lutte contre le blanchiment et le financement du terrorisme (KYC).
Article 7 — Intérêts légitimes
Nous traitons certaines données sur le fondement de notre intérêt légitime :
- Sécurité : détection et prévention des intrusions, fraudes, abus ;
- Amélioration : analyse statistique anonymisée de l'utilisation des Services ;
- Communication : informations sur les évolutions de Services, maintenance planifiée ;
- Protection juridique : constitution de preuves en cas de litige.
Balance des intérêts
Nous veillons à ce que nos intérêts légitimes ne portent pas atteinte de manière disproportionnée à vos droits et libertés fondamentaux. Une analyse d'impact est réalisée pour tout nouveau traitement fondé sur l'intérêt légitime.
Article 8 — Consentement
Certains traitements requièrent votre consentement explicite :
- Cookies non essentiels (analytics, marketing, réseaux sociaux) ;
- Communications marketing (newsletter, offres promotionnelles) ;
- Profilage à des fins de personnalisation des offres ;
- Transferts de données vers des pays tiers sans décision d'adéquation.
Retrait du consentement
Vous pouvez retirer votre consentement à tout moment :
- Via le centre de préférences cookies sur notre site ;
- Par le lien de désinscription dans chaque email marketing ;
- Par email à help@oxahost.support ;
- Via votre Espace Client.
Le retrait du consentement n'affecte pas la licéité des traitements effectués avant celui-ci.
Titre III — Base Légale et Durée de Conservation
Article 9 — Bases légales par traitement
Le tableau suivant résume les bases légales applicables à chaque catégorie de traitement :
| Traitement | Base légale | Durée |
|---|---|---|
| Gestion du compte Client | Exécution contractuelle | Durée du contrat + 3 ans |
| Facturation et comptabilité | Obligation légale | 10 ans |
| Support technique | Exécution contractuelle | 3 ans après clôture du ticket |
| Logs de connexion | Obligation légale | 1 an |
| Sécurité informatique | Intérêt légitime | 1 an (logs) / durée de l'incident |
| Cookies essentiels | Intérêt légitime | Durée de la session |
| Cookies analytics | Consentement | 13 mois maximum |
| Marketing direct | Consentement | Jusqu'au retrait |
| Prospection B2B | Intérêt légitime | 3 ans après dernier contact |
| Lutte anti-fraude | Obligation légale / Intérêt légitime | 5 ans |
Article 10 — Durées de conservation
10.1. Principes généraux
Nous conservons vos données uniquement pour la durée nécessaire aux finalités pour lesquelles elles ont été collectées, sauf obligation légale contraire.
10.2. Tableau des durées
| Catégorie de données | Durée de conservation active | Archivage intermédiaire | Suppression définitive |
|---|---|---|---|
| Données d'identification | Durée du contrat | 3 ans après fin de contrat | À l'issue de l'archivage |
| Données de facturation | Durée du contrat | 10 ans (obligation légale) | À l'issue de l'archivage |
| Données techniques (logs) | 1 an | — | Suppression automatique |
| Données de support | Durée du ticket | 3 ans après clôture | À l'issue de l'archivage |
| Cookies | 13 mois max | — | Expiration automatique |
| Données de prospects | 3 ans après dernier contact | — | Suppression automatique |
10.3. Suppression et anonymisation
À l'expiration des durées de conservation, les données sont soit supprimées de manière sécurisée (effacement irréversible), soit anonymisées de façon irréversible pour conserver leur valeur statistique.
Titre IV — Partage et Transfert des Données
Article 11 — Sous-traitants et partenaires
11.1. Principe
Nous pouvons partager vos données avec des sous-traitants et partenaires de confiance, uniquement dans la mesure nécessaire à la fourniture de nos Services.
11.2. Catégories de destinataires
- Opérateurs de datacenter : hébergement physique des serveurs ;
- Prestataires de paiement : traitement sécurisé des transactions (certifiés PCI-DSS) ;
- Fournisseurs de certificats SSL : émission et gestion des certificats ;
- Registrars de domaines : enregistrement et gestion des noms de domaine ;
- Outils de support : plateforme de ticketing et chat en direct ;
- Services d'analyse : mesure d'audience (données anonymisées) ;
- Prestataires de sécurité : protection DDoS, WAF, détection d'intrusions.
11.3. Garanties contractuelles
Chaque sous-traitant est lié par un accord de traitement des données (DPA) incluant :
- Interdiction de traiter les données pour ses propres finalités ;
- Obligation de confidentialité ;
- Mesures de sécurité techniques et organisationnelles ;
- Obligation de notification en cas de violation ;
- Droit d'audit par Oxahost.
La liste complète des sous-traitants est disponible en Annexe A.
Article 12 — Transferts internationaux
12.1. Localisation principale
Vos données sont principalement stockées et traitées en Tunisie et dans l'Union européenne.
12.2. Garanties pour les transferts
En cas de transfert vers un pays tiers, nous mettons en place les garanties suivantes :
- Décisions d'adéquation de la Commission européenne (le cas échéant) ;
- Clauses contractuelles types (CCT) adoptées par la Commission européenne ;
- Règles d'entreprise contraignantes (BCR) pour les sous-traitants du même groupe ;
- Consentement explicite de la personne concernée.
12.3. Transparence
Nous vous informons de tout transfert international via la liste des sous-traitants en Annexe A, précisant le pays de destination et les garanties appliquées.
Titre V — Sécurité des Données
Article 13 — Mesures techniques
Nous mettons en œuvre les mesures techniques suivantes pour protéger vos données :
- Chiffrement en transit : TLS 1.2/1.3 pour toutes les communications ;
- Chiffrement au repos : AES-256 pour les données sensibles ;
- Pare-feux : filtrage réseau multicouche (L3/L4/L7) ;
- WAF (Web Application Firewall) : protection contre les attaques applicatives ;
- IDS/IPS : détection et prévention des intrusions en temps réel ;
- Anti-DDoS : mitigation automatique des attaques volumétriques ;
- Authentification forte : 2FA disponible pour tous les comptes ;
- Segmentation réseau : isolation des environnements de production ;
- Sauvegardes chiffrées : copies de sécurité régulières dans des sites distants ;
- Monitoring 24/7 : surveillance continue de l'infrastructure.
Article 14 — Mesures organisationnelles
14.1. Politique d'accès
- Principe du moindre privilège : accès limité aux données strictement nécessaires ;
- Revue périodique des droits d'accès (trimestrielle) ;
- Journalisation de tous les accès aux données personnelles ;
- Authentification renforcée pour les accès administratifs.
14.2. Formation et sensibilisation
- Formation initiale de tous les collaborateurs à la protection des données ;
- Sessions de sensibilisation régulières (semestrielles) ;
- Tests de phishing internes pour évaluer la vigilance.
14.3. Engagements de confidentialité
- Clauses de confidentialité dans tous les contrats de travail ;
- NDA (accords de non-divulgation) avec tous les prestataires ;
- Politique de sécurité documentée et auditée annuellement.
Article 15 — Notification de violation
15.1. Procédure interne
En cas de violation de données personnelles, Oxahost :
- Détecte et contient l'incident dans les plus brefs délais ;
- Évalue la nature, la gravité et les conséquences de la violation ;
- Documente l'incident dans un registre dédié ;
- Notifie l'autorité de contrôle compétente dans un délai de 72 heures ;
- Informe les personnes concernées si le risque est élevé.
15.2. Notification aux personnes concernées
Si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous informons dans les meilleurs délais en précisant :
- La nature de la violation ;
- Les catégories de données concernées ;
- Les conséquences probables ;
- Les mesures prises ou envisagées ;
- Les recommandations pour vous protéger.
15.3. Contact d'urgence
En cas de suspicion de violation vous concernant : help@oxahost.support (réponse sous 4 heures ouvrables).
Titre VI — Droits des Personnes
Article 16 — Droit d'accès
Vous avez le droit d'obtenir la confirmation que vos données personnelles sont ou ne sont pas traitées par Oxahost. En cas de traitement, vous pouvez accéder à :
- Les catégories de données traitées ;
- Les finalités du traitement ;
- Les destinataires des données ;
- La durée de conservation ;
- L'existence de droits supplémentaires ;
- La source des données (si non collectées directement auprès de vous).
Article 17 — Droit de rectification
Vous pouvez demander la rectification de données inexactes ou le complément de données incomplètes. Cette rectification peut être effectuée :
- Directement via votre Espace Client (informations de profil, adresse, téléphone) ;
- Par demande à help@oxahost.support pour les données non modifiables en libre-service.
Oxahost procède à la rectification dans un délai de 15 jours ouvrables et notifie les destinataires auxquels les données ont été communiquées.
Article 18 — Droit à l'effacement
Vous pouvez demander la suppression de vos données personnelles lorsque :
- Les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ;
- Vous retirez votre consentement (et aucune autre base légale ne justifie le traitement) ;
- Vous vous opposez au traitement et il n'existe pas de motif légitime impérieux ;
- Les données ont fait l'objet d'un traitement illicite.
Exceptions
Le droit à l'effacement ne s'applique pas lorsque le traitement est nécessaire :
- Au respect d'une obligation légale (conservation comptable, logs) ;
- À la constatation, l'exercice ou la défense de droits en justice ;
- Pour des motifs d'intérêt public dans le domaine de la santé publique.
Article 19 — Droit à la portabilité
Vous avez le droit de recevoir les données personnelles que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV).
Vous pouvez également demander la transmission directe de ces données à un autre responsable de traitement, lorsque cela est techniquement possible.
Données concernées
Le droit à la portabilité s'applique aux données :
- Fournies directement par vous (informations de compte, configurations) ;
- Générées par votre activité (historique de commandes) ;
- Traitées sur la base du consentement ou de l'exécution contractuelle ;
- Traitées de manière automatisée.
Article 20 — Droit d'opposition
Vous pouvez vous opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime, y compris le profilage.
Opposition au marketing direct
Vous disposez d'un droit d'opposition absolu et sans motif au traitement de vos données à des fins de prospection commerciale.
Conséquences
En cas d'opposition justifiée, Oxahost cesse le traitement concerné sauf motif légitime et impérieux prévalant sur vos intérêts, droits et libertés.
Article 21 — Droit à la limitation
Vous pouvez demander la limitation du traitement de vos données lorsque :
- Vous contestez l'exactitude des données (le temps de la vérification) ;
- Le traitement est illicite et vous préférez la limitation à l'effacement ;
- Oxahost n'a plus besoin des données mais elles sont nécessaires pour vos droits en justice ;
- Vous avez exercé votre droit d'opposition (le temps de la vérification).
Pendant la limitation, vos données sont conservées mais non traitées (sauf avec votre consentement ou pour des droits en justice).
Article 22 — Exercice des droits
22.1. Comment exercer vos droits
Vous pouvez exercer vos droits par :
- Email : help@oxahost.support ;
- Courrier : OXAHOST SARL, 15 rue Socrate, Zone d'Activités Khereddine, 2089 La Goulette, Tunisie ;
- Espace Client : rubrique « Mes données personnelles ».
22.2. Vérification d'identité
Pour protéger vos données, nous pouvons vous demander de fournir une preuve d'identité avant de traiter votre demande.
22.3. Délais de réponse
| Type de demande | Délai de réponse |
|---|---|
| Accès | 30 jours |
| Rectification | 15 jours ouvrables |
| Effacement | 30 jours |
| Portabilité | 30 jours |
| Opposition | 30 jours |
| Limitation | 15 jours ouvrables |
22.4. Réclamation
Si vous estimez que le traitement de vos données constitue une violation de vos droits, vous pouvez introduire une réclamation auprès de l'Instance Nationale de Protection des Données Personnelles (INPDP) — www.inpdp.tn.
Titre VII — Cookies et Technologies de Suivi
Article 23 — Types de cookies
Nous utilisons différentes catégories de cookies sur nos sites :
| Catégorie | Finalité | Consentement requis | Durée maximale |
|---|---|---|---|
| Essentiels | Fonctionnement du site (session, panier, authentification) | Non | Durée de la session |
| Fonctionnels | Préférences utilisateur (langue, thème, affichage) | Non | 12 mois |
| Analytics | Mesure d'audience, statistiques de navigation | Oui | 13 mois |
| Performance | Optimisation du chargement, tests A/B | Oui | 13 mois |
| Marketing | Publicité ciblée, retargeting, réseaux sociaux | Oui | 13 mois |
Détails techniques
Les cookies essentiels et fonctionnels sont déposés sans consentement car ils sont strictement nécessaires au fonctionnement du site. Les cookies analytics, performance et marketing ne sont déposés qu'après obtention de votre consentement explicite.
Article 24 — Gestion des préférences
24.1. Bandeau de consentement
Lors de votre première visite, un bandeau de consentement vous permet de :
- Accepter tous les cookies ;
- Refuser tous les cookies non essentiels ;
- Personnaliser vos choix par catégorie.
24.2. Modification ultérieure
Vous pouvez modifier vos préférences à tout moment :
- Via le lien « Gérer les cookies » en bas de chaque page ;
- Via les paramètres de votre navigateur ;
- En supprimant manuellement les cookies stockés.
24.3. Conséquences du refus
Le refus des cookies non essentiels n'affecte pas le fonctionnement du site. Certaines fonctionnalités de personnalisation ou d'analyse peuvent être réduites.
Article 25 — Cookies tiers
Certains cookies sont déposés par des tiers pour leur propre compte. Oxahost n'a pas de contrôle sur ces cookies.
Services tiers utilisant des cookies
- Google Analytics : mesure d'audience (avec anonymisation IP activée) ;
- Google reCAPTCHA : protection anti-spam ;
- Intercom / Tawk.to : chat de support en direct ;
- Stripe / PayPal : traitement des paiements sécurisés.
Nous vous invitons à consulter les politiques de confidentialité de ces tiers pour plus d'informations sur leurs pratiques.
Titre VIII — Mineurs
Article 26 — Protection des mineurs
26.1. Interdiction de collecte
Nos Services ne sont pas destinés aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès de mineurs.
26.2. Signalement
Si vous êtes parent ou tuteur et constatez qu'un mineur nous a fourni des données personnelles, contactez-nous à help@oxahost.support. Nous supprimerons ces données dans les meilleurs délais.
26.3. Vérification d'âge
Lors de l'inscription, le Client déclare être majeur et avoir la capacité juridique de contracter. Oxahost se réserve le droit de vérifier l'âge du Client et de suspendre tout compte ne respectant pas cette condition.
Titre IX — Modifications
Article 27 — Procédure de modification
27.1. Droit de modification
Oxahost se réserve le droit de modifier la présente Politique à tout moment pour :
- Refléter les évolutions légales et réglementaires ;
- Adapter nos pratiques aux nouvelles technologies ;
- Répondre aux recommandations des autorités de contrôle.
27.2. Notification
Toute modification substantielle sera communiquée par :
- Email envoyé à l'adresse associée à votre compte ;
- Notification dans votre Espace Client ;
- Bannière d'information sur notre site.
27.3. Entrée en vigueur
Les modifications entrent en vigueur 30 jours après notification, sauf urgence légale ou sécuritaire. La poursuite de l'utilisation des Services après ce délai vaut acceptation de la Politique modifiée.
27.4. Historique des versions
| Version | Date | Modifications |
|---|---|---|
| 1.0 | 15/04/2026 | Version initiale de la Politique de Confidentialité |
Annexe A — Liste des sous-traitants
Le tableau suivant liste les principaux sous-traitants ayant accès aux données personnelles :
| Sous-traitant | Rôle | Pays | Garanties |
|---|---|---|---|
| Datacenter Tunisie | Hébergement physique des serveurs | Tunisie | Contrat d'hébergement + mesures de sécurité physique |
| OVHcloud | Infrastructure cloud de secours | France (UE) | CCT + certifications ISO 27001 |
| Stripe | Traitement des paiements par carte | États-Unis | PCI-DSS Level 1 + CCT |
| PayPal | Paiements en ligne internationaux | États-Unis | PCI-DSS + CCT |
| Analytics (données anonymisées) | États-Unis | DPA Google + anonymisation IP | |
| Sectigo | Émission de certificats SSL | Royaume-Uni | DPA + ISO 27001 |
| ICANN / Registrars | Enregistrement de domaines | International | Politiques ICANN + contrat registrar |
Annexe B — Tableau des cookies
| Nom du cookie | Fournisseur | Finalité | Durée | Type |
|---|---|---|---|---|
| oxahost_session | Oxahost | Session utilisateur | Session | Essentiel |
| oxahost_csrf | Oxahost | Protection CSRF | Session | Essentiel |
| oxahost_lang | Oxahost | Préférence linguistique | 12 mois | Fonctionnel |
| oxahost_theme | Oxahost | Préférence de thème (clair/sombre) | 12 mois | Fonctionnel |
| oxahost_consent | Oxahost | Choix de consentement cookies | 12 mois | Essentiel |
| _ga | Identifiant Analytics | 13 mois | Analytics | |
| _gid | Identifiant Analytics (session) | 24 heures | Analytics | |
| _gat | Limitation du taux de requêtes | 1 minute | Analytics | |
| rc::a | reCAPTCHA anti-spam | Persistant | Essentiel | |
| stripe_mid | Stripe | Prévention de la fraude | 1 an | Essentiel |