Politique de confidentialité

Dernière mise à jour : 14 mai 2026 — Version 1.0

Templates juridiques rédigés à des fins d’implémentation. À valider par un avocat avant mise en production publique. Les zones [PLACEHOLDER] doivent être complétées.

1. Responsable de traitement

[RAISON_SOCIALE], société [FORME_JURIDIQUE] au capital de [CAPITAL_SOCIAL] €, immatriculée au RCS de [VILLE_RCS] sous le numéro [SIRET], dont le siège social est situé [ADRESSE_COMPLETE].

Contact RGPD : [DPO_EMAIL]

2. Finalités du traitement

Vos données personnelles sont traitées pour :

• Gestion de votre compte : création, authentification, support client (base légale : exécution du contrat, art. 6.1.b RGPD)
• Fourniture du service de catalogage TCG : gestion de votre collection, decks, boosters (base légale : exécution du contrat)
• Gestion de l’abonnement payant : paiement via Stripe (base légale : exécution du contrat)
• Communications transactionnelles : confirmations, alertes de sécurité, suppression de compte (base légale : intérêt légitime, art. 6.1.f)
• Amélioration du service : détection d’erreurs via Sentry sans collecte d’identifiants personnels (base légale : intérêt légitime)

3. Catégories de données traitées

• Données d’identification : email, nom d’utilisateur
• Données d’authentification : mot de passe haché (jamais en clair)
• Données de collection : cartes possédées, decks, boosters, préférences (langue, thème, marché EUR/USD)
• Données de facturation : gérées exclusivement par Stripe (nous ne stockons pas de carte bancaire)
• Données techniques : journaux d’activité, adresse IP (sécurité)

4. Durées de conservation

5. Destinataires (sous-traitants)

Vos données peuvent être transmises aux sous-traitants suivants, tous engagés par contrat conforme à l’art. 28 RGPD :

• Hetzner Online GmbH (Allemagne, Union européenne) — Hébergement de l’infrastructure (serveurs, base de données). Données hébergées dans l’UE.
• Cloudflare, Inc. (États-Unis, certifié EU-US Data Privacy Framework) — CDN, DNS, protection anti-DDoS et distribution des images. DPA
• Brevo (Sendinblue SAS, France) — Emails transactionnels (confirmations, suppression de compte). DPA
• Stripe Payments Europe Ltd (Irlande) — Paiement et abonnement. DPA
• Sentry / Functional Software Inc. (États-Unis, certifié EU-US Data Privacy Framework) — Détection d’erreurs applicatives. DPA

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d’accès (art. 15) : obtenir la confirmation que vos données sont traitées
• Droit de rectification (art. 16) : corriger toute donnée inexacte
• Droit à l’effacement (art. 17) : supprimer votre compte via la section Paramètres
• Droit à la portabilité (art. 20) : télécharger vos données au format JSON via la section Paramètres
• Droit d’opposition (art. 21) : vous opposer au traitement pour motif légitime
• Droit de retrait du consentement : à tout moment, sans rétroactivité

Pour exercer vos droits, écrivez à [DPO_EMAIL]. Réponse sous 1 mois (art. 12.3 RGPD).

7. Réclamation auprès de la CNIL

Vous avez le droit d’introduire une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) :

• Site : www.cnil.fr/plaintes
• Adresse : 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07

8. Mineurs

WildCards est destiné aux personnes âgées de 15 ans ou plus. Une déclaration d’âge est demandée à l’inscription. Pour les mineurs de moins de 15 ans, le consentement parental est requis (CNIL Recommandation 4).

9. Sécurité

Mots de passe hachés (bcrypt), authentification JWT en cookies httpOnly + SameSite=Strict, chiffrement HTTPS systématique. Aucune donnée bancaire stockée par WildCards.

10. Modifications de la politique

Cette politique peut être mise à jour. La version courante est consultable dans l’application et sur ce site. Toute modification substantielle vous sera notifiée par email.