Cette politique décrit la manière dont Pions (le « Service ») collecte et traite vos données personnelles conformément au RGPD.
1. Qui est le responsable du traitement ?
Responsable du traitement: Pions
Adresse: Marseille (13010), France
E‑mail de contact: contact@lespions.eu
Délégué à la protection des données (DPO): non désigné
2. Quelles données collectons‑nous ?
- Données d'identité et de contact: nom, prénom, e‑mail, téléphone.
- Données de localisation approximative: ville.
- Données liées à votre ludothèque (liste de jeux détenus) pour éviter les doublons dans les box.
- Données de commande et de livraison: adresses de livraison et historique des achats.
- Données techniques et d'usage: événements d'utilisation collectés via nos propres outils d'analytics.
- Données de paiement: traitées par notre prestataire Stripe (nous ne stockons pas vos données de carte).
3. Comment collectons‑nous vos données ?
- Formulaires de création de compte, commande et gestion de profil (application web et mobile FlutterFlow).
- Connexion via Google (Google Sign‑In): informations de base du profil fournies par Google, avec votre consentement.
- Outils d'analytics internes (sans cookies publicitaires).
4. Pour quelles finalités et bases légales ?
- Fourniture du Service, gestion du compte, traitement des commandes et livraison: exécution du contrat (art. 6(1)(b) RGPD).
- Paiements sécurisés via Stripe: exécution du contrat et intérêt légitime en matière de sécurité des transactions (art. 6(1)(b) et 6(1)(f)).
- Amélioration de l'expérience utilisateur et de nos produits (analytics internes sans cookies marketing): intérêt légitime (art. 6(1)(f)).
- Prévention des doublons dans les box grâce à la ludothèque: exécution du contrat/intérêt légitime (art. 6(1)(b)/(f)).
- Conformité légale (facturation, obligations comptables): obligation légale (art. 6(1)(c)).
- Connexion via Google Sign‑In: exécution du contrat pour authentifier et sécuriser l'accès au compte (art. 6(1)(b)).
5. Partage et destinataires des données
- Prestataire de paiement: Stripe. Les données de carte bancaire ne transitent pas par nos serveurs.
- Hébergement et base de données: Supabase (région UE Ouest).
- Authentification sociale: Google pour la connexion.
- Transport et livraison: Mondial Relay (selon les options disponibles). Transmission des informations strictement nécessaires à l'acheminement.
- Vendeurs tiers de la marketplace (présents ou futurs): lorsque des vendeurs tiers sont impliqués dans la vente de vos produits, nous leur transmettons uniquement les données nécessaires à l'exécution de la commande (ex.: nom, coordonnées, adresse de livraison). Ils agissent comme destinataires et s'engagent à respecter la réglementation applicable.
- Aucun partage à des fins publicitaires. Aucune revente de données.
6. Transferts internationaux
Les données sont principalement hébergées dans l'Union européenne (UE Ouest) via Supabase. Certains prestataires (ex.: Google, Stripe) peuvent impliquer des transferts hors UE/EEE. Lorsque c'est le cas, ces transferts s'appuient sur des garanties appropriées telles que les Clauses Contractuelles Types (CCT) de la Commission européenne et, le cas échéant, des mesures complémentaires.
7. Durées de conservation
Nous appliquons les durées suivantes, puis suppression ou anonymisation:
| Catégorie | Durée |
|---|---|
| Compte et profil | Compte actif: tant que l'utilisateur ne demande pas la suppression. Compte inactif: 3 ans sans connexion (notification puis suppression). Après suppression: 30 jours en sauvegarde de sécurité puis suppression définitive. |
| Commandes et facturation | Historique d'achats: 10 ans (obligations comptables et fiscales). Adresses de livraison: durée du compte, sauf suppression par l'utilisateur. Données de paiement: gérées par Stripe (nous ne les stockons pas). |
| Ludothèque personnelle | Tant que le compte existe; modifiable/supprimable à tout moment par l'utilisateur. |
| Analytics internes | Événements d'usage: 13 mois (recommandation CNIL) à 25 mois maximum. |
| Contact/support | E‑mails de support: 3 ans après la dernière interaction. Logs de sécurité: 6 à 12 mois. |
| Litiges | En cas de contentieux, conservation jusqu'à résolution + délais de recours applicables. |
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles, notamment:
- Chiffrement TLS en transit et chiffrement au repos côté hébergeur (Supabase, UE Ouest).
- Contrôle d'accès basé sur les rôles (RBAC) et principe du moindre privilège.
- Authentification sécurisée, incluant Google Sign‑In; 2FA pour les comptes administrateurs lorsque disponible.
- Journalisation des accès et sauvegardes régulières chiffrées.
- Revue de sécurité et correctifs applicatifs périodiques.
9. Cookies et traceurs
Nous n'utilisons pas de cookies. Nos analytics internes fonctionnent sans cookies et sans publicité ciblée. Sur mobile, des stockages locaux sécurisés peuvent être utilisés pour le bon fonctionnement (ex.: session, préférences) — sans finalité publicitaire.
10. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, d'opposition, de limitation et de portabilité, ainsi que du droit de définir des directives post‑mortem. Vous pouvez modifier vos informations depuis l'application et exercer vos droits en nous contactant à contact@lespions.eu. Nous répondons en principe sous 30 jours, délai prolongeable de 2 mois en cas de demande complexe. Nous pouvons vous demander des informations complémentaires pour vérifier votre identité. La portabilité est fournie dans un format structuré, couramment utilisé et lisible par machine (ex.: CSV/JSON) lorsque cela s'applique.
11. Comment nous contacter
Pour toute question relative à cette politique ou à vos données personnelles:
E‑mail: contact@lespions.eu
12. Mineurs
Le Service n'est pas destiné aux enfants de moins de 15 ans. Si vous pensez qu'un mineur nous a fourni des données, contactez‑nous pour demander la suppression.
13. Autorité de contrôle
Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle en matière de protection des données. En France: Commission Nationale de l'Informatique et des Libertés (CNIL) — cnil.fr.
14. Violations de données
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous mettrons en œuvre les mesures nécessaires, documenterons l'incident et notifierons l'autorité compétente (ex.: CNIL) dans les 72 heures lorsque requis. Si le risque est élevé, nous vous informerons dans les meilleurs délais.
15. Modifications
Nous pouvons mettre à jour cette politique pour refléter des évolutions légales ou techniques. La date de dernière mise à jour figure ci‑dessous. En cas de changements majeurs, nous vous en informerons par des moyens appropriés.
Dernière mise à jour: 8 octobre 2025 • Entrée en vigueur: 8 octobre 2025