Politique de confidentialité

Charles Hoffer — Échappée
Email : privacy@echappee.app

Échappée collecte uniquement les données nécessaires au fonctionnement du service :

• Adresse email : pour créer et identifier ton compte, t'envoyer le lien de connexion magique, et te notifier (rares emails transactionnels).
• Pseudo : généré automatiquement à partir de ton email à l'inscription, modifiable depuis ton profil. Affiché aux autres membres de tes mini-ligues.
• Données de jeu : composition de tes équipes fantasy, points marqués, mini-ligues rejointes, messages publiés dans les chats de ligue.
• Données techniques : adresse IP au moment de la connexion (logs du serveur, conservés 30 jours pour des raisons de sécurité), agent utilisateur (navigateur).
• Données de paiement (si Premium) : Échappée ne stocke jamais tes coordonnées bancaires. Les paiements sont traités par Stripe ; nous recevons uniquement un identifiant d'abonnement et le statut de paiement.

Les données sont traitées pour les finalités suivantes :

• Fourniture du service (base légale : exécution du contrat) — création de compte, gestion des équipes, calcul des scores, gestion des ligues, envoi des emails essentiels.
• Sécurité du service (base légale : intérêt légitime) — détection des abus, prévention de la fraude, audit des actions sensibles.
• Améliorations (base légale : intérêt légitime) — statistiques agrégées et anonymes sur l'usage du service.
• Communication (base légale : consentement) — uniquement pour les emails non essentiels (newsletter, annonce de nouvelles fonctionnalités), avec opt-out facile à tout moment.

• Compte actif : tant que tu utilises le service.
• Compte inactif > 24 mois : email de notification, suppression définitive après 30 jours sans réponse.
• Suppression à ta demande : effacement définitif sous 30 jours.
• Logs de connexion : 30 jours.
• Données comptables (factures Premium) : 10 ans (obligation légale).

Tes données sont traitées par les sous-traitants suivants, sélectionnés pour leur conformité au RGPD :

• Railway Corporation — Hébergement de l'application et de la base de données.
  Localisation : États-Unis (DPA signée, transferts encadrés par les SCC européennes)
• Resend, Inc. — Envoi des emails transactionnels (lien de connexion, notifications).
  Localisation : Région EU (Irlande)

Aucune donnée n'est vendue ou cédée à des tiers à des fins publicitaires.

Conformément au Règlement Général sur la Protection des Données, tu disposes des droits suivants sur tes données personnelles :

• Droit d'accès : obtenir une copie de toutes tes données.
• Droit de rectification : corriger une donnée inexacte.
• Droit à l'effacement (« droit à l'oubli ») : supprimer ton compte et toutes les données associées.
• Droit à la portabilité : recevoir tes données dans un format structuré (JSON) pour les transférer ailleurs.
• Droit d'opposition : t'opposer à un traitement fondé sur l'intérêt légitime.
• Droit de limitation : geler temporairement le traitement de tes données.
• Droit de retrait du consentement à tout moment pour les traitements basés sur le consentement.

Pour exercer ces droits, écris-nous à privacy@echappee.app. Nous répondrons sous 1 mois maximum (généralement sous 72 h).

Si tu estimes que tes droits ne sont pas respectés, tu peux saisir la CNIL : cnil.fr/fr/plaintes.

Échappée utilise uniquement des cookies essentiels au fonctionnement du service :

• Cookie de session (authentification NextAuth) — permet de te garder connecté entre les pages. Durée : 30 jours.
• Cookie CSRF — protection contre les attaques inter-sites. Durée : session.

Conformément aux recommandations de la CNIL, ces cookies essentiels ne nécessitent pas de consentement préalable. Échappée n'utilise aucun cookie publicitaire ni traceur tiers (Google Analytics, Facebook Pixel, etc.).

Si nous mettons en place une mesure d'audience anonyme dans le futur (Plausible, par exemple), elle restera respectueuse de la vie privée et ne nécessitera pas non plus de bandeau de consentement.

Tes données sont stockées sur une base de données chiffrée hébergée par Railway. Les communications entre ton navigateur et Échappée sont systématiquement chiffrées en HTTPS (forcé par le TLD .app). Les sessions sont signées avec un secret cryptographique. Les mots de passe ne sont pas stockés (authentification par lien magique).

Notre hébergeur Railway étant basé aux États-Unis, certaines données peuvent être traitées hors de l'Union européenne. Ces transferts sont encadrés par les clauses contractuelles types (SCC) européennes. Pour les emails, nous utilisons la région européenne de Resend (Irlande), donc aucun transfert hors UE n'est effectué pour les données email.

Cette politique peut être mise à jour. La date de dernière mise à jour est indiquée en haut de la page. Pour les changements substantiels, tu seras informé par email.

Pour toute question sur le traitement de tes données : privacy@echappee.app.