Politique de Confidentialité de Cardonaut

Introduction

Cardonaut (« nous », « notre » ou « nos ») s'engage à protéger votre vie privée. Cette Politique de Confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations lorsque vous utilisez notre application mobile (l'« Application »), conformément au Règlement Général sur la Protection des Données (RGPD) et à la législation française en vigueur.

Veuillez lire attentivement cette Politique de Confidentialité. En utilisant l'Application, vous acceptez la collecte et l'utilisation des informations conformément à cette politique.

Responsable du traitement

Le responsable du traitement de vos données personnelles est :

Données que nous collectons

Accès à la caméra

Cardonaut demande l'autorisation d'accéder à la caméra de votre appareil. Cet accès est essentiel pour la fonctionnalité principale de numérisation et de reconnaissance des cartes de jeu (TCG). La caméra est utilisée uniquement dans le but de reconnaître les cartes et d'améliorer votre expérience de collection.

Accès au stockage

Nous demandons l'accès au stockage de votre appareil pour sauvegarder les images des cartes et les données de votre collection localement sur votre appareil. Cela vous permet de conserver votre collection même lorsque vous êtes hors ligne.

Données de compte

Lors de la création de votre compte, nous collectons votre nom d'utilisateur (pseudo). Vous pouvez également fournir de manière facultative votre adresse email pour lier votre compte et faciliter la récupération de celui-ci.

Données Discord

Si vous choisissez de lier votre compte Discord, nous collectons votre identifiant utilisateur Discord et votre nom d'utilisateur Discord via le protocole OAuth. Cette liaison est entièrement facultative.

Données d'authentification

Nous utilisons un système d'authentification sans mot de passe par code OTP (One-Time Password). Ces codes sont temporaires et expirent après 10 minutes. Ils ne sont pas conservés après utilisation.

Données de collection

Votre collection de cartes, vos classeurs (binders), vos decks et les données associées sont synchronisés avec nos serveurs afin de vous permettre d'y accéder depuis plusieurs appareils et de garantir la sauvegarde de vos données.

Données de scan

Lorsque vous scannez des cartes, les images peuvent être temporairement envoyées à nos serveurs pour la reconnaissance par intelligence artificielle. Ces images sont supprimées immédiatement après le traitement et ne sont pas stockées de manière permanente.

Données d'abonnement

Nous collectons votre statut d'abonnement et le type de forfait souscrit. Les paiements sont intégralement traités par Apple (App Store) ou Google (Google Play). Nous ne stockons aucun détail de paiement (numéro de carte, coordonnées bancaires).

Données d'utilisation

Nous collectons des données d'utilisation pour améliorer l'application, notamment : l'utilisation des fonctionnalités, le nombre de scans effectués, la progression des quêtes et les métriques de performance. Ces données sont anonymisées et ne permettent pas de vous identifier personnellement.

Données de l'appareil

Nous collectons des informations techniques sur votre appareil, notamment le modèle, la version du système d'exploitation et la version de l'application, à des fins de rapport de bugs et d'amélioration de la compatibilité.

Adresse IP

Votre adresse IP est collectée par notre infrastructure serveur dans le cadre des connexions réseau. Elle est utilisée à des fins de sécurité et de diagnostic technique.

Base légale du traitement

Conformément à l'article 6 du RGPD, nous traitons vos données personnelles sur les bases légales suivantes :

• Exécution du contrat (Art. 6.1.b) : gestion de votre compte, synchronisation de votre collection, fourniture des fonctionnalités liées à l'abonnement, reconnaissance des cartes.
• Intérêt légitime (Art. 6.1.f) : amélioration de l'application, rapport de bugs et de crashs, analyses de performance et d'utilisation.
• Consentement (Art. 6.1.a) : liaison facultative de votre email ou de votre compte Discord, communications marketing (le cas échéant).

Comment nous utilisons vos informations

Nous utilisons les informations que nous collectons pour :

• Gérer votre compte et vous authentifier
• Synchroniser votre collection, vos classeurs et vos decks entre vos appareils
• Gérer les droits liés à votre abonnement
• Permettre la numérisation et la reconnaissance des cartes TCG par intelligence artificielle (TFLite en local, OCR et IA côté serveur)
• Fournir des informations sur les cartes telles que les prix et les caractéristiques
• Surveiller et corriger les crashs et erreurs de l'application
• Améliorer les performances et les fonctionnalités de l'application
• Améliorer l'expérience utilisateur

Reconnaissance des cartes par IA

Notre application utilise l'intelligence artificielle pour la reconnaissance des cartes selon deux méthodes :

• Traitement local : un modèle TFLite YOLOv8 détecte les coins des cartes directement sur votre appareil. Aucune donnée n'est envoyée à un serveur lors de cette étape.
• Traitement côté serveur : les images sont temporairement envoyées à nos serveurs pour un traitement OCR (EasyOCR) et une reconnaissance par des modèles d'intelligence artificielle, notamment Claude (Anthropic), GPT (OpenAI) et Mistral. Les images sont supprimées immédiatement après traitement et ne sont pas stockées de manière permanente.

Conformément à l'article 22 du RGPD, ce traitement automatisé n'a pas d'effet juridique sur les utilisateurs et ne les affecte pas de manière significative. Il est utilisé uniquement pour identifier les cartes scannées.

Services tiers

Notre application fait appel aux services tiers suivants, qui peuvent collecter ou traiter certaines de vos données :

• Apple App Store / Google Play Store : traitement des paiements d'abonnement
• RevenueCat : gestion des abonnements — politique de confidentialité
• Sentry (GlitchTip) : rapport de crashs et suivi des erreurs
• Anthropic (Claude) : reconnaissance de cartes par IA — politique de confidentialité
• OpenAI (GPT) : reconnaissance de cartes par IA — politique de confidentialité
• Mistral AI : OCR par IA — politique de confidentialité
• Discord : liaison de compte facultative via OAuth
• Cardmarket : données de prix des cartes (aucune donnée utilisateur partagée)

Durée de conservation des données

Nous conservons vos données personnelles selon les durées suivantes :

• Données de compte (email, pseudo, identifiant Discord) : conservées jusqu'à la suppression de votre compte
• Données de collection, classeurs et decks : conservées jusqu'à la suppression de votre compte
• Images de scan (côté serveur) : supprimées immédiatement après traitement
• Rapports de crashs : conservés pendant 90 jours
• Données d'utilisation : agrégées, anonymisées, conservées pendant 12 mois
• Codes OTP : expirent après 10 minutes

Transferts de données hors de l'Union européenne

Le traitement de reconnaissance de cartes par IA côté serveur peut impliquer des transferts de données vers les États-Unis (serveurs d'OpenAI et d'Anthropic). Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) ou des garanties équivalentes conformément au RGPD.

Le traitement local par IA (TFLite) s'effectue entièrement sur votre appareil et n'implique aucun transfert de données.

Vos droits

Conformément au RGPD, vous disposez des droits suivants concernant vos données personnelles :

• Droit d'accès (Art. 15) : vous pouvez demander une copie de vos données personnelles
• Droit de rectification (Art. 16) : vous pouvez demander la correction de données inexactes
• Droit à l'effacement / « droit à l'oubli » (Art. 17) : vous pouvez demander la suppression de vos données. Cette fonctionnalité est également disponible directement dans l'application via Paramètres > Supprimer le compte
• Droit à la limitation du traitement (Art. 18) : vous pouvez demander la restriction du traitement de vos données dans certaines circonstances
• Droit à la portabilité (Art. 20) : vous pouvez demander à recevoir vos données dans un format structuré et lisible par machine
• Droit d'opposition (Art. 21) : vous pouvez vous opposer au traitement de vos données fondé sur l'intérêt légitime
• Droit de retirer votre consentement : lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment
• Droit de réclamation : vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr

Pour exercer l'un de ces droits, vous pouvez nous contacter à l'adresse : [email protected]. Nous nous engageons à répondre à votre demande dans un délai d'un mois.

Stockage et sécurité des données

• Vos données de collection sont synchronisées sur des serveurs MongoDB hébergés en Europe
• Toutes les communications sont chiffrées via TLS/HTTPS
• Les jetons d'authentification sont stockés de manière sécurisée sur votre appareil (FlutterSecureStorage)
• Nous mettons en oeuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, toute altération, divulgation ou destruction

Confidentialité des enfants

Notre Application n'est pas destinée aux enfants de moins de 16 ans, conformément à l'âge minimum requis par le RGPD en France. Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 16 ans.

Si nous découvrons que des données d'un enfant de moins de 16 ans ont été collectées, elles seront supprimées dans les plus brefs délais. Les parents ou tuteurs légaux peuvent nous contacter à [email protected] pour demander la suppression de telles données.

Modifications de cette Politique de Confidentialité

Nous pouvons mettre à jour notre Politique de Confidentialité de temps à autre. Nous vous informerons de tout changement en publiant la nouvelle Politique de Confidentialité sur cette page et en mettant à jour la date de « Dernière mise à jour ». Nous vous encourageons à consulter régulièrement cette page.

Nous contacter