Responsable de traitement
Le responsable du traitement de tes données personnelles est :
AC Formation se situe en dessous des seuils imposant la désignation d'un Délégué à la protection des données (DPO). Les demandes RGPD sont traitées directement par l'éditeur à l'adresse ci-dessus.
Données collectées
Nous collectons le strict minimum nécessaire au fonctionnement du service. Aucune donnée bancaire ne transite par nos serveurs.
| Donnée | D'où elle vient | Caractère |
|---|---|---|
| Saisi à la création du compte | Obligatoire | |
| Pseudo (displayName) | Saisi à la création du compte | Obligatoire |
| Mot de passe (hash bcrypt) | Calculé côté serveur, jamais stocké en clair | Obligatoire |
| Avatar (photo) | Photo choisie par l'utilisateur | Optionnel |
| Préférences profil | Main dominante, classement, style de jeu | Optionnel |
| Parties & scores | Générés à l'usage | Lié à l'usage |
| Adresse IP (logs serveur) | Requête HTTP | Technique |
| Logs d'erreur applicative | Bug ou crash de l'app (stack trace + plateforme) | Technique |
| Statut d'abonnement | Saisi par l'administrateur (paiement hors-app) | Si souscrit |
| Identifiant publicitaire (ID appareil) | Traité par Google AdMob lors de l'affichage d'annonces dans l'app gratuite — jamais stocké sur nos serveurs | Si consentement |
Finalités & bases légales
- Fournir le service (compte, authentification, hébergement des parties) — base : exécution du contrat.
- Support utilisateur (réponse à tes demandes) — base : exécution du contrat.
- Sécurité & lutte contre la fraude (logs serveur, détection d'abus, error tracking applicatif) — base : intérêt légitime.
- Email transactionnel (réinitialisation de mot de passe) — base : exécution du contrat.
- Facturation Premium (lorsque applicable) — base : obligation légale comptable (10 ans).
- Publicité (version gratuite uniquement) — affichage d'annonces interstitielles via Google AdMob — base : consentement, recueilli au premier lancement via le formulaire de la plateforme de gestion du consentement (CMP) de Google, et retirable à tout moment. Les abonnés Premium ne voient aucune publicité.
Nous ne réalisons aucun profilage et aucune décision automatisée produisant un effet juridique sur l'utilisateur. Le profilage publicitaire éventuel (annonces personnalisées) est opéré par Google AdMob, uniquement si tu l'acceptes dans le formulaire de consentement ; tu peux choisir des annonces non personnalisées.
Durée de conservation
| Catégorie | Durée |
|---|---|
| Compte actif | Tant que l'utilisateur l'utilise |
| Compte inactif (sans connexion) | 3 ans, puis suppression après notification email |
| Logs serveur (IP, requêtes) | 12 mois maximum |
| Logs d'erreur applicative | 30 jours glissants (rotation automatique) |
| Sauvegardes base de données | 14 jours glissants |
| Factures (obligation comptable) | 10 ans |
| Compte supprimé (pseudonymisé) | Indéfini (PII effacée, ID conservé pour cohérence des parties) |
Destinataires & sous-traitants
Liste exhaustive des sous-traitants actuels :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Hostinger International Ltd. | Hébergement du serveur, base de données, sauvegardes | 🇪🇺 UE (datacenter Europe) |
| Google Ireland Limited (Gmail SMTP) | Envoi des emails transactionnels (reset password, alertes admin) | 🇮🇪 Irlande |
| Google Ireland Limited (AdMob) | Régie publicitaire de la version gratuite de l'app mobile (annonces interstitielles), avec consentement | 🇮🇪 Irlande |
En dehors de la régie publicitaire ci-dessus — limitée à la version gratuite de l'app et conditionnée à ton consentement — aucune donnée n'est transmise à des partenaires commerciaux ou annonceurs. Aucun tracker analytique tiers n'est intégré (pas de Google Analytics, Meta Pixel, Hotjar, Mixpanel ni équivalent). La politique de confidentialité de Google est consultable sur policies.google.com/privacy.
Transferts hors UE
L'hébergement principal et la base de données restent dans l'Union européenne. Deux flux peuvent impliquer un sous-traitant hors UE : l'envoi d'emails via Gmail SMTP et l'affichage de publicités via Google AdMob (version gratuite de l'app). Dans les deux cas, Google Ireland Limited est l'entité contractante (UE), mais le réseau mondial de Google (Google LLC, États-Unis) peut être mis à contribution. Ces transferts s'appuient sur les clauses contractuelles types (SCC) publiées par la Commission européenne et sur le Data Privacy Framework UE-USA.
Tes droits
Le RGPD garantit les droits suivants, gratuits et exerçables à tout moment :
Accès Art. 15
Obtenir une copie des données te concernant.
Rectification Art. 16
Corriger une donnée inexacte ou incomplète.
Effacement Art. 17
Le droit à l'oubli — supprimer ton compte. Disponible en libre-service dans l'app.
Limitation Art. 18
Geler temporairement le traitement.
Portabilité Art. 20
Récupérer tes données dans un format réutilisable (sur demande email).
Opposition Art. 21
T'opposer à un traitement fondé sur l'intérêt légitime.
Retrait du consentement
Retirer ton consentement à tout moment, lorsque la base légale est le consentement.
Réclamation CNIL
Saisir la CNIL si tes droits ne sont pas respectés.
Exercer tes droits
La suppression de compte est disponible directement depuis l'application : Profil → Supprimer mon compte. L'opération est immédiate et anonymise ton compte (cf. § 4).
Pour exercer les autres droits (accès, portabilité, rectification, opposition, limitation, retrait du consentement), envoie un email à contact@scorecrew.fr. Nous répondons sous 30 jours maximum, conformément à l'article 12 RGPD.
En cas de désaccord, tu peux saisir la CNIL : cnil.fr/plaintes — 3 place de Fontenoy, 75007 Paris.
Sécurité
- Authentification — JWT signé HS256, durée de vie 30 jours, secret stocké hors du dépôt code.
- Mots de passe — hachage
bcrypt(cost 10), jamais stockés en clair. - Contrôle d'accès — un utilisateur ne peut agir que sur ses propres données (UserIdMatchGuard global côté API).
- Rate limiting — limitation par IP sur les routes d'authentification (login, register, reset).
- Sauvegardes — base de données dumpée quotidiennement (gzip), rotation 14 jours.
- Suivi des erreurs — table d'erreurs in-house (pas de service tiers de tracking).
- Notification de violation — sous 72 h à la CNIL et aux utilisateurs concernés, conformément aux articles 33-34 RGPD.
Mineurs
ScoreCrew est destiné à un public général. Les jeux à boire éventuellement présents sont marqués +18 dans l'application. Conformément à l'article 8 du RGPD transposé en France à 15 ans, les mineurs de moins de 15 ans doivent obtenir l'accord d'un titulaire de l'autorité parentale pour créer un compte. Si vous êtes parent et estimez que votre enfant a créé un compte sans autorisation, écrivez à contact@scorecrew.fr pour suppression immédiate.
Modifications
Cette politique de confidentialité peut évoluer (ajout d'un sous-traitant, nouvelle fonctionnalité, changement réglementaire). Toute modification substantielle sera notifiée aux utilisateurs disposant d'une adresse email valide au moins 15 jours avant son entrée en vigueur.
Version courante : 1.1 — entrée en vigueur le 12 juin 2026 (ajout de la publicité Google AdMob dans la version gratuite de l'application). Version 1.0 : 27 mai 2026.
Une question RGPD ?
Réponse personnelle sous 30 jours maximum.