Politique de confidentialité

1. Qui est responsable de vos données (responsable du traitement)

Le responsable du traitement décrit dans la présente politique est :

Lorenzo Pironti (entrepreneur individuel / ditta individuale), Viale Partigiani d'Italia 35, 43123 Parma (PR), Italie. Numéro de TVA : IT03106290343.

Pour toute question relative à la confidentialité, y compris l'exercice de vos droits en tant que personne concernée, vous pouvez nous contacter à l'adresse privacy@tcgnotify.com.

Délégué à la protection des données : non désigné (nous ne sommes pas tenus de désigner un DPO au titre de l'article 37 du RGPD). Représentant dans l'UE (article 27 du RGPD) : sans objet, le responsable du traitement étant établi dans l'Union européenne (Italie). Représentant au Royaume-Uni : sans objet.

2. Champ d'application : site web et Application

La présente politique couvre deux environnements très différents, et les pratiques en matière de données diffèrent en conséquence.

Site web (minimal). Ce site web marketing est conçu selon le principe de la confidentialité avant tout. Il n'utilise aucune statistique, aucune publicité, aucun pixel de suivi ni aucun profilage par des tiers. Le seul cookie qu'il peut déposer est un cookie strictement fonctionnel de préférence linguistique, et uniquement lorsque vous changez de langue manuellement (voir la Politique relative aux cookies).

Application. L'application iOS TCGNotify est un produit fondé sur un compte qui vous aide à suivre vos collections de cartes à jouer, les prix et la gradation, et à recevoir des alertes. Pour ce faire, l'Application traite nécessairement davantage de données personnelles, toutes décrites ci-dessous.

3. Données que nous traitons via le site web

Nous n'utilisons aucune technologie de statistiques, de publicité, de suivi ou de profilage sur ce site web.

Préférence linguistique. Lorsque vous changez manuellement la langue du site, nous enregistrons votre choix dans un cookie strictement fonctionnel nommé NEXT_LOCALE. Il ne contient qu'un code de langue (par exemple « en » ou « de »), ne renferme aucune donnée personnelle et sert uniquement à mémoriser votre préférence. Aucun cookie de ce type n'est déposé tant que vous ne changez pas activement de langue.

Sécurité et diffusion (Cloudflare). Notre site web et notre infrastructure sont diffusés via Cloudflare, qui agit comme réseau de diffusion de contenu et pare-feu applicatif web. Dans le cadre de la diffusion sécurisée du contenu, Cloudflare peut traiter de manière transitoire des données techniques de connexion telles que votre adresse IP et les métadonnées de requête, et peut déposer des cookies de sécurité strictement nécessaires, afin de protéger contre les attaques et les abus. La base légale est notre intérêt légitime à maintenir le service sécurisé et disponible (article 6, paragraphe 1, point f) du RGPD).

Nous n'établissons pas de profils d'utilisateurs à partir des visites du site web, et nous ne combinons pas les données du site web avec celles de l'Application.

4. Catégories de données que nous traitons dans l'Application

Selon la manière dont vous utilisez l'Application, nous pouvons traiter les catégories de données personnelles suivantes :

Compte et profil : votre nom d'affichage, vos préférences de profil et les identifiants d'authentification du fournisseur de connexion que vous choisissez (Apple, Google ou Discord).

Adresse e-mail : stockée sous forme chiffrée et, en outre, indexée à l'aide d'un hachage à sens unique afin que nous puissions retrouver un compte sans conserver une copie en clair disponible pour les requêtes courantes. Si vous vous connectez avec Apple et choisissez « Hide My Email », l'adresse que nous recevons est une adresse de redirection anonymisée en @privaterelay.appleid.com — dans ce cas, nous n'avons pas accès à votre véritable adresse e-mail et toutes les communications transitent par le service de redirection d'Apple.

Jetons de notification de l'appareil : stockés sous forme chiffrée, afin que nous puissions vous délivrer les alertes que vous avez activées.

Données de collection : les cartes que vous ajoutez à votre collection et les exemplaires que vous possédez, y compris l'état, la quantité, les images de reçu ou de preuve d'achat, et vos notes personnelles.

Liste de souhaits : les cartes que vous souhaitez acquérir.

Achats et portefeuille : les prix d'achat, les dates et les données d'estimation de portefeuille que vous enregistrez.

Images de scan et représentations vectorielles d'apprentissage automatique : les photos que vous prenez pour identifier ou noter des cartes, ainsi que les vecteurs de caractéristiques numériques (représentations vectorielles) qui en sont dérivés à des fins de correspondance.

Liens sociaux : tout lien externe de profil ou de place de marché que vous choisissez d'ajouter.

Journaux d'audit et de sécurité : enregistrements d'événements relevant de la sécurité, pouvant inclure votre adresse IP, votre agent utilisateur, des horodatages et l'action effectuée, conservés pour protéger votre compte et notre service.

5. Finalités et bases légales

Nous traitons vos données personnelles aux fins et sur les bases légales suivantes au titre de l'article 6 du RGPD :

Pour fournir le service (contrat — article 6, paragraphe 1, point b). Créer et tenir à jour votre compte, stocker votre collection et votre liste de souhaits, calculer les valeurs de portefeuille et fournir les fonctionnalités principales que vous demandez.

Pour maintenir le service sécurisé et fiable (intérêt légitime — article 6, paragraphe 1, point f). Tenir des journaux d'audit, prévenir la fraude et les abus, déboguer et protéger notre infrastructure. Vous pouvez vous opposer à ce traitement comme décrit dans la rubrique relative à vos droits ci-dessous.

Pour envoyer des notifications (contrat et consentement). Les alertes essentielles liées au service font partie de la fourniture de l'Application. Les canaux de notification optionnels sont désactivables canal par canal, et la fonctionnalité de mise en relation pour échanges relève strictement du consentement préalable. Lorsque nous nous fondons sur le consentement (article 6, paragraphe 1, point a), vous pouvez le retirer à tout moment sans que cela n'affecte la licéité du traitement effectué avant le retrait.

Pour identifier et noter les cartes à partir de vos scans. Traitement des images de scan et des représentations vectorielles afin d'alimenter la reconnaissance et les estimations de note, dans le cadre de la fourniture des fonctionnalités que vous utilisez.

Nous ne pratiquons aucune publicité, aucun ciblage publicitaire ni aucune prise de décision automatisée produisant des effets juridiques ou vous affectant de manière significative de façon similaire.

6. Sous-traitants et destinataires

Nous faisons appel à un petit nombre de sous-traitants soigneusement sélectionnés pour exploiter le service. Nous ne vendons pas vos données personnelles et nous ne les partageons pas avec des annonceurs. Nous n'utilisons à l'heure actuelle aucun fournisseur de statistiques tiers, aucun réseau publicitaire et aucun prestataire de paiement.

Apple Inc. — Finalité : authentification Sign in with Apple et notifications push via APNs. Données traitées : identifiant Apple ID ; votre nom (uniquement si vous choisissez de le partager lors de la première connexion) ; adresse e-mail (votre adresse Apple ID réelle ou, si vous choisissez Hide My Email, une adresse de redirection anonymisée @privaterelay.appleid.com — auquel cas nous n'avons pas accès à l'e-mail réel et toutes les communications transitent par le service de redirection d'Apple) ; jetons de notification de l'appareil. Lieu de traitement : États-Unis. Base du transfert : clauses contractuelles types de l'UE et, le cas échéant, cadre de protection des données UE–États-Unis. Politique de confidentialité : https://www.apple.com/legal/privacy/.

Google LLC — Finalité : authentification Sign in with Google. Données traitées : identifiant unique du compte Google, nom, adresse e-mail et, lorsque disponible, image de profil. Lieu de traitement : États-Unis. Base du transfert : clauses contractuelles types de l'UE et cadre de protection des données UE–États-Unis. Politique de confidentialité : https://policies.google.com/privacy.

Discord Inc. — Finalité : connexion OAuth et notifications optionnelles par webhook. Données traitées : identifiant du compte Discord, nom d'utilisateur, adresse e-mail ; pour les webhooks que vous configurez, les messages d'alerte que nous livrons à l'URL du webhook. Lieu de traitement : États-Unis. Base du transfert : clauses contractuelles types de l'UE. Politique de confidentialité : https://discord.com/privacy.

Resend, Inc. — Finalité : envoi d'e-mails transactionnels (vérification de compte, réinitialisation de mot de passe, avis liés au compte et au service). Données traitées : adresse e-mail, nom (lorsqu'il est fourni) et contenu du message transactionnel. Lieu de traitement : États-Unis. Base du transfert : clauses contractuelles types de l'UE. Politique de confidentialité : https://resend.com/legal/privacy-policy.

Cloudflare, Inc. — Finalité : réseau de diffusion de contenu, pare-feu applicatif web et tunnel sécurisé pour notre infrastructure. Données traitées : métadonnées de connexion (adresse IP, en-têtes de requête, agent utilisateur) traitées de manière transitoire pour détecter et atténuer les abus, ainsi que cookies de sécurité strictement nécessaires. Lieu de traitement : réseau edge mondial incluant l'EEE et les États-Unis. Base du transfert : clauses contractuelles types de l'UE le cas échéant. Politique de confidentialité : https://www.cloudflare.com/privacypolicy/.

Stockage objet auto-hébergé (MinIO) — Finalité : stockage des images que vous téléversez (reçus, scans). Exploité sur notre propre infrastructure au sein de l'EEE. Aucun sous-traitant tiers ; les images sont stockées chiffrées au repos et servies via des URL présignées de courte durée.

Observabilité auto-hébergée (OpenTelemetry) — Finalité : journalisation et traçage opérationnels pour le débogage et la réponse aux incidents. Exploité sur notre propre infrastructure au sein de l'EEE. Aucune analyse SaaS tierce.

7. Durée de conservation de vos données

La suppression de compte applique une période de grâce de suppression différée de 30 jours. Lorsque vous demandez la suppression, votre compte est désactivé immédiatement et programmé pour un retrait définitif. Au bout de 30 jours, vos données sont définitivement supprimées de l'ensemble de nos systèmes par suppression en cascade, à l'exception des enregistrements limités décrits ci-dessous.

Les liens vers les images sont de courte durée. L'accès à vos images stockées est accordé via des URL présignées qui expirent au bout de 15 minutes ; les images elles-mêmes restent chiffrées au repos jusqu'à leur suppression.

Les journaux d'audit et de sécurité sont conservés pendant jusqu'à 7 ans (le lien avec votre identité est anonymisé de manière irréversible après la suppression de votre compte) afin de respecter nos obligations en matière de sécurité et nos obligations légales, et peuvent être conservés après la suppression du compte dans la mesure requise (voir la page Suppression des données).

Lorsque la loi nous oblige à conserver certains enregistrements pendant une durée plus longue, nous ne conservons que ce que la loi exige et pas plus longtemps que nécessaire.

8. Vos droits

Sous réserve des conditions prévues par le RGPD, vous disposez du droit de :

Accéder à vos données personnelles et en obtenir une copie (export portable) ;

Rectifier les données inexactes ou incomplètes ;

Effacer vos données (« droit à l'oubli ») ;

Limiter le traitement dans certaines circonstances ;

Bénéficier de la portabilité des données, c'est-à-dire recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;

Vous opposer au traitement fondé sur nos intérêts légitimes ; et

Retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement, sans que cela n'affecte le traitement antérieur.

Comment exercer vos droits. Vous pouvez exercer la plupart de ces droits directement dans l'Application (y compris l'export et la suppression de compte). Vous pouvez également nous contacter à l'adresse privacy@tcgnotify.com. Il se peut que nous devions vérifier votre identité avant de donner suite à une demande.

Droit de réclamation. Vous avez également le droit d'introduire une réclamation auprès d'une autorité de contrôle en matière de protection des données, en particulier dans l'État membre de l'UE/EEE de votre résidence habituelle, de votre lieu de travail ou du lieu de la violation alléguée. En Italie, l'autorité compétente est le « Garante per la protezione dei dati personali » (Piazza Venezia 11, 00187 Rome ; www.garanteprivacy.it). Si vous résidez au Royaume-Uni, vous pouvez à la place vous adresser à l'Information Commissioner's Office (ICO) du Royaume-Uni.

9. Transferts internationaux de données

Certains de nos sous-traitants (tels qu'Apple, Google, Discord, Resend et Cloudflare) peuvent traiter des données en dehors de l'Espace économique européen. Lorsque des données personnelles sont transférées vers un pays n'ayant pas fait l'objet d'une décision d'adéquation, nous nous appuyons sur des garanties appropriées au titre du chapitre V du RGPD, en particulier les clauses contractuelles types (CCT) de la Commission européenne et, le cas échéant, le cadre de protection des données UE–États-Unis (DPF).

Vous pouvez demander davantage d'informations sur ces garanties en nous contactant à l'adresse privacy@tcgnotify.com.

10. Mineurs

L'Application ne s'adresse pas aux enfants. Vous devez être âgé d'au moins 16 ans pour créer un compte, conformément à l'article 8 du RGPD (sous réserve de tout âge inférieur fixé par votre État membre).

Si vous pensez qu'un enfant nous a fourni des données personnelles sans le consentement approprié, veuillez contacter privacy@tcgnotify.com et nous prendrons des mesures pour les supprimer.

11. Comment nous protégeons vos données (sécurité)

Nous appliquons des mesures techniques et organisationnelles adaptées au risque, notamment : le chiffrement des données sensibles au repos (telles que les adresses e-mail et les jetons d'appareil) ; l'authentification sans mot de passe et fédérée (Connexion avec Apple, Google et Discord), de sorte que nous ne stockons jamais de mots de passe ; le hachage à sens unique pour la recherche d'e-mails ; des URL présignées de courte durée pour l'accès aux images ; ainsi que des contrôles d'accès et une journalisation sur l'ensemble de notre infrastructure.

Aucune méthode de transmission ou de stockage n'est totalement sûre, mais nous œuvrons à protéger vos données et à réagir rapidement à tout incident.

12. Modifications de la présente politique

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. Lorsque nous apportons des modifications substantielles, nous mettons à jour la date de « dernière mise à jour » et, le cas échéant, vous en informons dans l'Application.

La version en langue anglaise est la version faisant foi ; les traductions sont fournies uniquement par commodité.