FerrGames respecte le Règlement Général sur la Protection des Données (RGPD — règlement UE 2016/679) et la loi Informatique et Libertés. Ce document explique quelles données nous traitons, pourquoi, et comment vous pouvez exercer vos droits.
1. Responsable de traitement
FerrLabs est responsable du traitement des données personnelles collectées sur ferrgames.com et app.ferrgames.com. Coordonnées complètes : voir mentions légales.
Contact dédié : privacy@ferrlabs.com.
2. Données collectées et finalités
2.1 Compte invité (anonyme)
- Identifiant interne (UUID) — pour distinguer les sessions ;
- Pseudo aléatoire et icône — pour s'identifier en jeu ;
- Empreinte de votre adresse IP (HMAC-SHA256 tronqué, jamais l'IP en clair) — pour la sécurité (anti-spam, anti-bruteforce, comptage des visiteurs uniques). Cette empreinte permet de reconnaître que deux requêtes proviennent de la même origine sans jamais permettre de remonter à votre identité ;
- Cookie de session (
fg_session) — pour vous reconnaître entre les pages.
Base légale : intérêt légitime (sécurité du service, fonctionnement minimal).
2.2 Compte enregistré
En plus de ce qui précède :
- Adresse email — pour authentifier, récupérer le compte, transmettre les messages transactionnels ;
- Hash du mot de passe (argon2id) — jamais le mot de passe en clair ;
- Historique des sessions de jeu, scores, mouvements de pépites, items achetés — pour le profil, la boutique, les leaderboards futurs.
Base légale : exécution du contrat (CGU).
2.3 Achats (à venir)
Lorsque les paiements seront activés, les données suivantes seront traitées par notre sous-traitant Stripe : nom, adresse de facturation, dernier 4 du numéro de carte, historique des transactions. Aucune donnée de carte bancaire complète n'est stockée par FerrLabs.
Base légale : exécution du contrat (CGV) et obligations comptables.
2.4 Logs techniques et statistiques
Logs d'infrastructure (URL, status code, temps de réponse, user-agent, IP source) au niveau du reverse-proxy, pour diagnostic et sécurité. Ces logs sont conservés en accès restreint (équipe technique uniquement) et purgés automatiquement après 12 mois. Dans la base de données applicative, l'IP n'est jamais stockée en clair : seule son empreinte (HMAC-SHA256 tronqué, salée par un secret serveur) est persistée, ce qui permet le comptage de visiteurs uniques et l'anti-bruteforce sans permettre de réidentifier la personne. Aucun outil de mesure d'audience tiers n'est actuellement déployé. Si nous en ajoutons un, nous vous demanderons votre consentement explicite via le bandeau cookies.
Base légale : intérêt légitime (sécurité, exploitation).
3. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte enregistré (et données associées) | Tant que le compte est actif. Suppression définitive sous 30 jours après demande. |
| Compte anonyme inactif | Suppression automatique après 6 mois sans connexion. |
| Logs serveur | 12 mois. |
| Tentatives de connexion échouées | 1 heure (anti-bruteforce), puis purge. |
| Inscriptions en attente de vérification | 24 heures. |
| Données de transaction (paiements) | 10 ans (obligation comptable). |
4. Sous-traitants et destinataires
- Hébergeur (cf. mentions légales) — infrastructure et stockage ;
- Stripe — traitement des paiements (à venir, non encore actif) ;
- Fournisseur SMTP [À COMPLÉTER] — envoi des emails transactionnels (vérification, notifications de sécurité).
Aucune donnée n'est cédée, vendue, ou transférée à des tiers à des fins commerciales.
5. Transferts hors UE
L'infrastructure principale est située en Union européenne. Stripe peut traiter certaines données aux États-Unis dans le cadre du Data Privacy Framework UE-US. Aucun autre transfert hors UE n'est effectué.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès — obtenir la copie de vos données. Exerçable depuis
/profil> « Télécharger mes données » (export JSON immédiat) ; - Rectification — corriger toute donnée inexacte (pseudo, email, mot de passe via
/profil) ; - Effacement — supprimer votre compte et l'ensemble de vos données depuis
/profil> « Supprimer mon compte » ; - Portabilité — recevoir vos données dans un format structuré (couvert par l'export JSON) ;
- Opposition — vous opposer à un traitement fondé sur l'intérêt légitime ;
- Limitation — demander la suspension temporaire d'un traitement.
Pour toute demande : privacy@ferrlabs.com. Réponse sous un mois maximum (article 12 RGPD).
En cas de désaccord, vous avez le droit d'introduire une réclamation auprès de la CNIL.
7. Sécurité
Les mots de passe sont hashés avec argon2id (paramètres conformes aux recommandations OWASP). Les sessions utilisent des cookies signés HMAC-SHA256, en HTTP-only et SameSite=Lax. Les communications sont chiffrées en TLS 1.3. Les adresses IP stockées par l'application sont hashées (HMAC-SHA256 salé) — elles ne sont jamais persistées en clair côté base de données. Les tentatives de connexion échouées sont limitées progressivement (5 échecs → 60s, 10 → 5 min, 20 → 1 h).
8. Mineurs
FerrGames n'est pas spécifiquement destiné aux mineurs de moins de 15 ans. En vertu de l'article 8 du RGPD, le consentement parental est requis pour les utilisateurs de moins de 15 ans. Si vous découvrez qu'un mineur a créé un compte sans autorisation, contactez-nous pour suppression immédiate.
9. Modifications
Cette politique peut évoluer. Toute modification substantielle sera notifiée par email aux titulaires de comptes 30 jours avant son entrée en vigueur.