Politique de confidentialité

Application : MyPokéCardaLog | Dernière mise à jour : 26 mars 2025

La présente politique de confidentialité décrit comment MyPokéCardaLog (ci-après « l'Application ») collecte, utilise, stocke et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD – UE 2016/679) et à la loi française Informatique et Libertés.

    À l'attention des parents : si votre enfant a moins de 13 ans, veuillez lire attentivement
    cette politique avant toute inscription. L'Application est destinée à un public général, mais nous ne
    collectons aucune donnée ciblant spécifiquement les mineurs. Toute inscription d'un enfant de moins de
    13 ans doit se faire avec l'accord parental.
  

1. Responsable du traitement

Le responsable du traitement des données est le développeur de l'Application. Pour toute question relative à vos données personnelles, vous pouvez nous contacter à l'adresse suivante :

Email : contact@gaviota.fr

2. Données collectées

Nous collectons uniquement les données strictement nécessaires au fonctionnement de l'Application.

Catégorie	Données	Caractère
Compte utilisateur	Nom d'affichage, adresse e-mail	Obligatoire
Authentification	Mot de passe (hashé via bcrypt, jamais stocké en clair)	Obligatoire
Collection de cartes Pokémon	Identifiants de cartes, statut (possédée / liste de souhaits), édition, holo inversé, langue, état de conservation, prix d'achat, prix estimé, informations de gradation (société, score)	Facultatif
Collection de boosters / displays	Identifiants de produits, statut, langue, état, prix d'achat, prix estimé	Facultatif
Photos	Photos recto/verso de cartes, photos de boosters (fichiers JPEG/PNG, max 5 Mo)	Facultatif
Métadonnées techniques	Date de création et de mise à jour de chaque entrée	Automatique

Nous ne collectons pas : numéro de téléphone, données de géolocalisation, données biométriques, données bancaires, identifiants publicitaires, données issues de contacts ou de l'appareil photo sans action explicite de l'utilisateur.

3. Finalités et bases légales du traitement

Finalité	Base légale (RGPD art. 6)
Création et gestion du compte utilisateur	Exécution du contrat (art. 6.1.b)
Authentification sécurisée (JWT)	Exécution du contrat (art. 6.1.b)
Stockage et affichage de votre collection	Exécution du contrat (art. 6.1.b)
Stockage des photos de cartes	Consentement explicite (art. 6.1.a) – accès galerie à la demande
Sécurité et prévention des abus	Intérêt légitime (art. 6.1.f)
Respect des obligations légales	Obligation légale (art. 6.1.c)

4. Données d'authentification et sécurité

Votre mot de passe est chiffré par bcrypt (facteur de coût 10) avant stockage ; il est techniquement impossible de le retrouver en clair.
L'accès à l'API est protégé par des jetons JWT à durée de vie courte (accès : 15 minutes ; renouvellement : 7 jours). Ces jetons ne sont pas stockés côté serveur.
Les communications entre l'Application et le serveur sont chiffrées via HTTPS/TLS.

5. Photos téléversées

Les photos que vous uploadez (recto/verso de cartes, boosters) sont stockées sur notre serveur dans un répertoire isolé par identifiant utilisateur (/uploads/{userId}/). Elles ne sont accessibles qu'à vous, via un token d'authentification valide. Elles ne sont ni partagées, ni analysées, ni utilisées à des fins publicitaires.

6. Partage des données avec des tiers

Nous ne vendons, ne louons et ne partageons pas vos données personnelles avec des tiers à des fins commerciales. Vos données peuvent être transmises uniquement dans les cas suivants :

Hébergeur / infrastructure : le serveur qui héberge l'Application traite techniquement vos données dans le cadre d'un accord de sous-traitance conforme au RGPD.
Obligation légale : si la loi l'exige (réquisition judiciaire, etc.).

Aucun SDK publicitaire, outil d'analyse ou service tiers n'est intégré à l'Application.

7. Durée de conservation

Donnée	Durée de conservation
Compte utilisateur (nom, email, mot de passe hashé)	Jusqu'à la suppression du compte, puis 1 an en archive légale
Données de collection (cartes, boosters)	Jusqu'à la suppression du compte ou de l'entrée
Photos	Jusqu'à la suppression explicite ou la suppression du compte
Journaux de connexion	12 mois maximum

La suppression du compte entraîne la suppression en cascade de toutes les données associées (cartes, boosters, photos).

8. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès (art. 15) : obtenir une copie de vos données.
Droit de rectification (art. 16) : corriger vos données inexactes.
Droit à l'effacement (art. 17) : demander la suppression de votre compte et de vos données.
Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré.
Droit d'opposition (art. 21) : s'opposer à un traitement fondé sur l'intérêt légitime.
Droit de limitation (art. 18) : demander la limitation d'un traitement contesté.
Droit de retrait du consentement (art. 7) : retirer à tout moment un consentement donné (ex. photos).

Pour exercer ces droits, contactez-nous à contact@gaviota.fr. Nous répondrons dans un délai maximal d'un mois. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).

9. Protection des mineurs

L'Application n'est pas spécifiquement destinée aux enfants de moins de 13 ans. Nous ne collectons pas sciemment de données personnelles provenant d'enfants de moins de 13 ans sans le consentement parental vérifiable. Si nous apprenons qu'un enfant de moins de 13 ans nous a fourni des données personnelles sans autorisation parentale, nous supprimerons ces données dans les meilleurs délais.

Les parents ou tuteurs légaux qui souhaitent demander la suppression des données de leur enfant peuvent nous contacter à contact@gaviota.fr.

10. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

Chiffrement des mots de passe (bcrypt)
Accès à l'API restreint par token JWT
Isolation des fichiers par utilisateur
Communications chiffrées (HTTPS/TLS)
Base de données non exposée publiquement

Aucun système n'est infaillible. En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais conformément à l'article 34 du RGPD.

11. Transferts hors Union Européenne

Vos données sont hébergées sur des serveurs situés au sein de l'Union Européenne. Aucun transfert de données vers des pays tiers n'est effectué.

12. Modifications de la politique

Nous nous réservons le droit de modifier cette politique à tout moment. En cas de modification substantielle, nous vous en informerons via l'Application. La date de dernière mise à jour figure en haut de ce document. L'utilisation continue de l'Application après modification vaut acceptation de la nouvelle politique.

13. Contact

Pour toute question relative à cette politique ou à vos données personnelles : contact@gaviota.fr