Politique de confidentialité
Dernière mise à jour : 1 juin 2026
Responsable du traitement
Cédric Stouder, éditeur de LudiDeals.
Adresse : 7 Rue des Cerisiers, 59264 Onnaing, France
Contact : contact@ludideals.com
Délégué à la protection des données (DPO) : LudiDeals n'est pas tenue de désigner un DPO au sens de l'art. 37 RGPD (pas de traitement à grande échelle ni de profilage systématique). Pour toute question sur tes données, utilise l'adresse ci-dessus en mentionnant « RGPD » en objet — réponse sous 30 jours maximum.
Données collectées, finalités et bases légales
Chaque traitement est associé à une finalité précise et à une base légale au sens de l'art. 6 du RGPD. Voici le détail.
| Donnée / finalité | Base légale (RGPD art. 6) | Durée |
|---|---|---|
| Email, pseudo, mot de passe (haché), avatar, bio — création/usage du compte | Exécution du contrat (CGU) | Tant que le compte est actif. Anonymisé sous 30 jours après suppression. |
| OAuth (identifiant Google/Facebook, email, avatar fourni) | Exécution du contrat — alternative à l'inscription par mot de passe | Tant que le compte est lié au provider |
| Commentaires, likes, wishlist, deals sauvegardés, partages, soumissions de deals | Exécution du contrat (CGU) + intérêt légitime (vie du site) | Tant que le compte est actif. Commentaires conservés mais anonymisés à la suppression du compte (cohérence des discussions publiques). |
| Préférences (thème, notifications) et préférences cookies | Exécution du contrat / consentement | Tant que le compte est actif. Préférences cookies : 13 mois (CNIL) |
| Journalisation des connexions : IP, user-agent, date, succès/échec | Intérêt légitime — sécurité et lutte contre la fraude | 12 mois maximum |
| Mesure d'audience interne (visites, pages vues, événements) | Consentement (cookie ld_analytics=granted) | 13 mois pour les données brutes. Données agrégées indéfiniment. |
| Mesure d'audience tierce (Google Analytics, Plausible, Matomo) — chargée seulement après consentement | Consentement | Selon configuration du prestataire (typiquement 14 mois GA4) |
| Tracking des clics affiliés (vendeur, promo, jeu, IP HASHÉE, user-agent) | Intérêt légitime — anti-fraude affiliation, facturation des commissions | 12 mois pour le détail. Données agrégées indéfiniment. |
| Tracking des clics affiliés enrichis (user_id, referrer, UTM) | Consentement (cookie ld_analytics=granted) | 12 mois |
| Newsletter — adresse email + ouverture (pixel) + clics (URL signée) | Consentement (case d'inscription) + intérêt légitime (mesure d'efficacité) | Jusqu'au désabonnement. Statistiques : 12 mois |
| 2FA — secret TOTP, codes de récupération | Exécution du contrat — sécurité du compte | Chiffrés en base. Supprimés à la désactivation de la 2FA ou du compte |
| Signalements de contenu (modération) | Obligation légale (LCEN, DSA) + intérêt légitime | Jusqu'à clôture du signalement + 1 an pour traçabilité |
| Tickets support, messages contact | Exécution du contrat / intérêt légitime (relation client) | 3 ans après dernière interaction |
Destinataires et sous-traitants
Tes données ne sont jamais vendues ni transmises à des tiers à des fins commerciales. Les destinataires se limitent aux sous-traitants techniques strictement nécessaires au service, encadrés par des accords de traitement (DPA) :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| IONOS — hébergement web + base de données | Stockage des données du site | France (Sarreguemines) |
| Brevo (ex Sendinblue) | Envoi des emails transactionnels (inscription, alertes) et newsletter | France (Paris) |
| Google LLC — Google Sign-In, optionnel | Authentification OAuth si l'utilisateur choisit « Continuer avec Google » | USA — encadré par les Clauses Contractuelles Types de la Commission européenne (SCCs) |
| Meta Platforms Ireland Ltd — Facebook Login, optionnel | Authentification OAuth si l'utilisateur choisit « Continuer avec Facebook » | Irlande / USA — encadré par les Clauses Contractuelles Types (SCCs) |
| BoardGameGeek (BGG, Inc.) | API publique d'enrichissement des fiches de jeux. AUCUNE donnée personnelle transmise — uniquement des identifiants de jeux. | USA |
| Sentry (Functional Software Inc.) — optionnel | Suivi des erreurs techniques. user_id éventuellement transmis pour reproduction de bug. | USA — SCCs |
Transferts hors UE : les sous-traitants situés hors de l'Union européenne (Google, Meta, BGG, Sentry) sont engagés par des clauses contractuelles types adoptées par la Commission européenne, garantissant un niveau de protection équivalent au RGPD.
Sécurité
- Mots de passe stockés hachés (bcrypt), jamais en clair
- Connexion via HTTPS forcée sur l'ensemble du site
- Protection contre les injections SQL via ORM (Laravel Eloquent)
- Protection CSRF sur tous les formulaires authentifiés
- 2FA (TOTP) disponible — secrets chiffrés en base
- Cookie de session HttpOnly + SameSite=Lax + Secure
- Journalisation des tentatives de connexion (anti-bruteforce)
- Limitation de débit sur les endpoints sensibles (login, register, contact)
- Sauvegardes automatiques chiffrées de la base de données
Tes droits (RGPD art. 15 à 22)
Tu disposes des droits suivants sur les données te concernant :
- Droit d'accès — obtenir une copie de tes données. Bouton « Exporter mes données » dans tes paramètres (/settings) → fichier JSON complet téléchargeable.
- Droit de rectification — modifier tes informations dans /settings/account.
- Droit à l'effacement — bouton « Supprimer mon compte » dans tes paramètres. Les données personnelles sont supprimées sous 30 jours, les commentaires sont anonymisés.
- Droit à la limitation — sur demande à contact@ludideals.com.
- Droit à la portabilité — l'export JSON est conforme au format structuré exigé par l'art. 20.
- Droit d'opposition — désactiver les emails non transactionnels dans /settings/notifications, refuser les cookies analytiques via le bandeau cookies.
- Droit de ne pas faire l'objet d'une décision automatisée — voir section ci-dessous.
L'exercice de ces droits est gratuit et sans formalisme. Réponse sous 30 jours maximum (1 mois) à compter de la réception de la demande, prolongeable de 2 mois si la demande est complexe.
Décision automatisée et profilage
LudiDeals n'effectue aucune décision juridique automatisée au sens de l'art. 22 du RGPD. Le classement des deals (deal score), le système de points et badges, et le classement (leaderboard) servent uniquement à la présentation des contenus et à la gamification — ils n'ont aucun effet juridique ni n'affectent significativement l'accès au service.
La modération automatique des commentaires (détection de mots interdits, mise en file d'attente) est toujours suivie d'une revue humaine avant une éventuelle sanction de compte. Toute décision (suspension, bannissement) est prise par un modérateur humain.
Recours auprès de la CNIL
Si tu estimes que tes droits ne sont pas respectés, tu peux à tout moment introduire une réclamation auprès de l'autorité française de contrôle :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07
Téléphone : 01 53 73 22 22
www.cnil.fr/fr/plaintes
Évolution de cette politique
En cas de modification substantielle, les utilisateurs inscrits seront informés par email et/ou notification in-app au moins 30 jours avant l'entrée en vigueur. L'historique des modifications est conservé en interne pour traçabilité.
Contact
contact@ludideals.com — précise « RGPD » en objet pour les demandes liées aux données personnelles.