← Retour à l’accueil

Politique de Confidentialité

Version v1.1 · DerniÚre mise à jour : 11/06/2026

Article 1 : Préambule

La présente politique de confidentialité a pour but d'informer les utilisateurs du site Cyberpunk TCG (ci-aprÚs « le Site ») sur la maniÚre dont leurs données personnelles sont collectées et traitées, conformément à l'article 13 du RÚglement Général sur la Protection des Données (RGPD) 2016/679 et à la loi française Informatique et Libertés.

Sont considérées comme données personnelles toutes les informations permettant d'identifier un utilisateur : pseudo, adresse email, adresse IP, identifiant OAuth, etc.

Cette politique complÚte les mentions légales, les conditions générales d'utilisation et la politique cookies consultables sur le Site.

Article 2 : Principes de collecte et de traitement

ConformĂ©ment au RGPD, le traitement des donnĂ©es personnelles doit ĂȘtre « licite, loyal et transparent ». Les donnĂ©es sont collectĂ©es pour des finalitĂ©s dĂ©terminĂ©es, explicites et lĂ©gitimes, et ne sont pas traitĂ©es ultĂ©rieurement de maniĂšre incompatible avec ces finalitĂ©s.

Le traitement des données est licite si au moins l'une des conditions suivantes est remplie :

  • L'utilisateur a consenti au traitement de ses donnĂ©es
  • Le traitement est nĂ©cessaire Ă  l'exĂ©cution d'un contrat (les CGU)
  • Le traitement est nĂ©cessaire au respect d'une obligation lĂ©gale (audit, comptabilitĂ©)
  • Le traitement est nĂ©cessaire aux fins des intĂ©rĂȘts lĂ©gitimes poursuivis par le responsable du traitement (sĂ©curitĂ©, statistiques agrĂ©gĂ©es)

Article 3 : Données collectées

3.1 - Catégories de données et finalités

Les données suivantes sont collectées, regroupées par finalité :

Gestion du compte utilisateur (base légale : exécution du contrat / CGU) :

  • Connexion Discord : pseudo Discord, identifiant unique Discord, avatar, email associĂ©e
  • Connexion Google : nom, prĂ©nom, email, photo de profil Google
  • Pseudo personnalisĂ© (distinct du pseudo OAuth) saisi par l'utilisateur
  • Avatar personnalisĂ© tĂ©lĂ©versĂ© par l'utilisateur (stockĂ© sur Vercel Blob)
  • PrĂ©fĂ©rences (langue, options visuelles, options de jeu)
  • Date et version d'acceptation des CGU et de prise de connaissance de la prĂ©sente politique (preuve de consentement, art. 7.1 RGPD)
  • Adresse IP et navigateur au moment de l'acceptation des CGU

Module de jeu en ligne (base lĂ©gale : exĂ©cution du contrat + intĂ©rĂȘt lĂ©gitime pour les replays publics) :

  • Decks crĂ©Ă©s et sauvegardĂ©s
  • Historique des parties disputĂ©es (Game documents : Ă©tat de jeu, joueurs, vainqueur, durĂ©e)
  • Messages Ă©changĂ©s via le chat en jeu (associĂ©s au pseudo de l'auteur)
  • Statistiques agrĂ©gĂ©es (winrate, parties jouĂ©es, classements)

Traçabilité légale (base légale : obligation légale art. 7.1 RGPD) :

  • Journal des Ă©vĂ©nements critiques (audit_events) : acceptation des CGU, mutations administratives, accĂšs privilĂ©giĂ©s

Encaissement et facturation (base légale : exécution du contrat / CGV, à compter de l'ouverture des fonctionnalités payantes) :

  • DonnĂ©es de paiement traitĂ©es par Stripe (carte bancaire ne transitant pas par nos serveurs)
  • Adresse de facturation
  • Historique des achats (abonnements, frais d'inscription Ă  des tournois)

3.2 - Durées de conservation

Les durées de conservation sont fixées en fonction de la finalité du traitement, conformément à l'article 5.1.e du RGPD.

  • Compte utilisateur : tant que le compte est actif, et jusqu'Ă  12 mois aprĂšs la derniĂšre connexion en cas d'inactivitĂ©.
  • Decks crĂ©Ă©s : tant que le compte de l'utilisateur est actif.
  • Historique des parties (Game documents) : 2 ans aprĂšs la fin de la partie.
  • Statistiques agrĂ©gĂ©es anonymisĂ©es : sans limite de durĂ©e (donnĂ©es non-rĂ©identifiantes aprĂšs suppression du compte).
  • Audit_events (preuve d'acceptation des CGU, mutations admin) : 365 jours (TTL automatique cĂŽtĂ© base de donnĂ©es).
  • DonnĂ©es de paiement et factures (post-monĂ©tisation) : 10 ans, conformĂ©ment Ă  l'article L123-22 du Code de commerce (obligation comptable). Cette obligation lĂ©gale prĂ©vaut sur le droit Ă  l'effacement.

3.3 - Sous-traitants et transferts hors UE

Pour fournir le service, l'éditeur fait appel à des sous-traitants au sens de l'article 28 du RGPD. Chaque sous-traitant est lié à l'éditeur par un contrat (DPA) ou, pour les services OAuth publics, par adhésion implicite à la politique de confidentialité du fournisseur.

  • Vercel Inc. — hĂ©bergement de l'application web. DonnĂ©es hĂ©bergĂ©es aux USA (edge Frankfurt). Transfert hors UE couvert par Clauses Contractuelles Types (SCC).
  • Railway Corp. — hĂ©bergement du serveur de jeu temps rĂ©el. DonnĂ©es hĂ©bergĂ©es USA/UE. SCC.
  • MongoDB Atlas (Ireland) — stockage principal (users, decks, parties, audit). DonnĂ©es stockĂ©es en UE. Pas de transfert hors UE.
  • Vercel Blob — stockage des avatars tĂ©lĂ©versĂ©s. USA. SCC.
  • Discord Inc. — service OAuth d'authentification. USA. Cadre = politique de confidentialitĂ© Discord publique + SCC qu'elle rĂ©fĂ©rence.
  • Google LLC — service OAuth d'authentification. USA. Idem Discord.
  • Stripe Payments Europe Ltd. (Ă  compter de l'ouverture des fonctionnalitĂ©s payantes) — encaissement, gestion abonnements, facturation. DonnĂ©es stockĂ©es en UE (Ireland). Pas de transfert hors UE.

Les données collectées ne font l'objet d'aucune transmission à des tiers à des fins commerciales ou publicitaires.

3.4 - Cookies

Le Site utilise actuellement deux (2) cookies, tous deux strictement nécessaires au fonctionnement du service et donc dispensés de consentement préalable (article 82 de la loi Informatique et Libertés) :

  • Session d'authentification (next-auth.session-token, TTL 30 jours)
  • PrĂ©fĂ©rence de langue (locale, TTL 1 an)

Aucun cookie publicitaire, marketing, analytique tiers ou de mesure d'audience non-anonymisée n'est posé. Pour le détail complet (durée, émetteur, comportement à la déconnexion), consulter la politique cookies.

Article 4 : Responsable du traitement

Le responsable du traitement des données personnelles est la société SASU Agon-Gate. Les coordonnées complÚtes (siÚge social, SIREN, RCS, représentant légal) figurent dans les mentions légales.

Pour toute question concernant tes données personnelles, l'adresse de contact dédiée est : rgpd@cyberpunk.cards.

Article 5 : Droits de l'utilisateur

Conformément au RGPD, tout utilisateur dispose des droits suivants :

  • Droit d'accĂšs (article 15) : obtenir la confirmation que des donnĂ©es te concernant sont traitĂ©es et accĂ©der Ă  ces donnĂ©es. Exerçable directement depuis la page /profile (affichage des informations courantes) ou par demande Ă  rgpd@cyberpunk.cards.
  • Droit de rectification (article 16) : obtenir la rectification des donnĂ©es inexactes. Exerçable depuis la page /profile (Ă©dition surnom, avatar, prĂ©fĂ©rences).
  • Droit Ă  l'effacement (article 17) : obtenir l'effacement de tes donnĂ©es personnelles. Exerçable via le bouton « Supprimer mon compte » de la page /profile.
    Comportement prĂ©cis : ton compte (User document), tes decks et ton avatar tĂ©lĂ©versĂ© sont dĂ©finitivement supprimĂ©s. Tes messages dans le chat en jeu et tes audit_events historiques sont anonymisĂ©s (ton pseudo y est remplacĂ© par « Utilisateur supprimĂ© » dans les chats, ton identifiant par « deleted_user » dans les audit_events) — cela prĂ©serve la lisibilitĂ© des replays pour les autres joueurs et la traçabilitĂ© lĂ©gale, sans permettre de te rĂ©-identifier. Les donnĂ©es de facturation (post-monĂ©tisation) sont conservĂ©es 10 ans conformĂ©ment aux obligations comptables.
  • Droit Ă  la portabilitĂ© (article 20) : recevoir tes donnĂ©es dans un format structurĂ©, couramment utilisĂ© et lisible par machine. Exerçable via le bouton « TĂ©lĂ©charger mes donnĂ©es » de la page /profile (export JSON).
  • Droit Ă  la limitation (article 18) : non applicable au prĂ©sent service (pas de traitement rĂ©versible ou de durĂ©e limitĂ©e Ă  suspendre).
  • Droit d'opposition (article 21) : s'opposer au traitement de tes donnĂ©es. Pour le prĂ©sent service, l'opposition Ă©quivaut Ă  une demande d'effacement (cf. droit ci-dessus).
  • Droit de saisir l'autoritĂ© de contrĂŽle : introduire une rĂ©clamation auprĂšs de la CNIL en cas de dĂ©saccord avec le traitement de tes donnĂ©es.

Article 6 : Modifications de la politique

Nous nous rĂ©servons le droit de modifier la prĂ©sente politique de confidentialitĂ© Ă  tout moment. À chaque modification substantielle, le numĂ©ro de version est incrĂ©mentĂ© (voir Article 10).

Les utilisateurs sont invités à prendre connaissance de la nouvelle politique lors de leur prochaine connexion via une page dédiée. La date et la version de la prise de connaissance sont conservées comme preuve.

Article 7 : Sécurité

L'Ă©diteur met en Ɠuvre des mesures techniques et organisationnelles appropriĂ©es pour garantir un niveau de sĂ©curitĂ© adaptĂ© au risque (art. 32 RGPD) :

  • Chiffrement de bout en bout des communications (HTTPS / TLS 1.2+ pour le site web, WSS pour le serveur de jeu temps rĂ©el)
  • Authentification dĂ©lĂ©guĂ©e Ă  des fournisseurs OAuth tiers (Discord, Google), aucune gestion de mot de passe en interne
  • Sessions utilisateur protĂ©gĂ©es par cookies httpOnly, sameSite lax, attribut Secure en production
  • Audit log automatisĂ© sur les actions sensibles (mutations admin, acceptation des CGU)
  • Sauvegarde rĂ©guliĂšre de la base de donnĂ©es par le sous-traitant MongoDB Atlas (rĂ©tention 7 jours minimum)
  • Restriction des accĂšs administrateurs au strict besoin opĂ©rationnel, traçables

En cas de violation de données susceptible d'engendrer un risque pour tes droits et libertés, l'éditeur s'engage à notifier la CNIL dans les 72 heures (art. 33 RGPD) et, si le risque est élevé, à t'en informer directement (art. 34 RGPD).

Article 8 : Mineurs

En cohérence avec les CGU article 3, l'utilisation du Site est réservée aux personnes ùgées d'au moins seize (16) ans. Conformément à l'article 7-1 de la loi française Informatique et Libertés (modifiée), les mineurs de moins de 15 ans ne peuvent consentir seuls au traitement de leurs données personnelles ; les mineurs de 15 à 16 ans doivent obtenir l'accord préalable de leurs représentants légaux.

Si tu es parent ou tuteur et que tu souhaites signaler la présence d'un mineur sur le Site, contacte-nous à l'adresse : rgpd@cyberpunk.cards. Le compte signalé sera désactivé manuellement aprÚs vérification.

Article 9 : Contact RGPD

Pour toute question, demande d'exercice de tes droits, signalement de violation potentielle de données ou réclamation, l'adresse dédiée est : rgpd@cyberpunk.cards.

Les demandes sont traitées dans un délai d'un (1) mois maximum à compter de leur réception (art. 12.3 RGPD), prolongeable de deux (2) mois supplémentaires si la complexité ou le nombre de demandes le justifie.

Article 10 : Versioning et historique

La prĂ©sente politique de confidentialitĂ© est identifiĂ©e par un numĂ©ro de version sĂ©mantique. À chaque modification substantielle, le numĂ©ro est incrĂ©mentĂ© et la version en vigueur est affichĂ©e en titre de la prĂ©sente page.

Version en cours : v1.1.

L'historique des versions prĂ©cĂ©dentes est conservĂ© par l'Ă©diteur et peut ĂȘtre consultĂ© sur demande Ă  l'adresse rgpd@cyberpunk.cards.

Politique de Confidentialité // CYBERPUNK_TCG