Opsiv — Politique de Confidentialité (RGPD)

1. Responsable de traitement et DPO

Le responsable du traitement des données personnelles collectées sur Opsiv est :

[À COMPLÉTER : Nom / Raison sociale]
Adresse : [À COMPLÉTER]
SIREN : [À COMPLÉTER]
Représentant : Gaétan Horde, directeur de la publication

Délégué à la Protection des Données (DPO) : compte tenu de la taille de la structure, l'éditeur n'est pas tenu de désigner un DPO formel (article 37 RGPD). Toutefois, un point de contact unique est mis en place :

E-mail dédié : rgpd@opsiv.gg

2. Engagement de transparence

Nous nous engageons à ne jamais vendre, louer ou échanger vos données personnelles à des fins commerciales. Aucune publicité ciblée n'est diffusée sur la Plateforme. Aucun profilage commercial n'est effectué. Vos stratégies, scouting et statistiques d'équipe restent strictement confidentiels et ne sont accessibles qu'aux membres autorisés de votre Équipe.

3. Données collectées

3.1 Données fournies directement par l'Utilisateur

Compte : adresse e-mail, mot de passe (haché et salé, jamais stocké en clair), pseudo joueur.
Profil : Riot ID (pseudo#tag), rôle (Dueliste, Initiateur, Sentinelle, Contrôleur), agents préférés, fuseau horaire (à venir).
Authentification tierce (optionnelle) : identifiant Google (sub OAuth), identifiant Discord (à venir).
Contenu : stratégies, compositions, plannings, notes de scouting, statistiques de match saisies manuellement, annotations VOD.

3.2 Données collectées automatiquement

Données techniques : adresse IP (anonymisée après 6 mois), user-agent, type de navigateur, horodatage des connexions (logs Firebase Authentication).
Logs de sécurité : tentatives de connexion échouées, événements anti-fraude (Firebase App Check / reCAPTCHA Enterprise).
Métriques anonymisées : nombre de pages vues, durée de session (sans identifiant individuel persisté).

3.3 Données collectées via des API tierces

HenrikDev / Riot API (à venir, Phase 2) : statistiques publiques de match associées au Riot ID que vous renseignez (ACS, KAST, ADR, K/D, agents joués). Aucune donnée privée Riot n'est collectée.

4. Finalités et bases légales

Finalité	Base légale RGPD	Données concernées
Création et gestion de votre compte	Exécution du contrat (art. 6.1.b)	E-mail, mot de passe, pseudo, OAuth ID
Fourniture des fonctionnalités collaboratives (équipe, planning, stratégies)	Exécution du contrat (art. 6.1.b)	Contenu, rôle, appartenance à une équipe
Affichage des statistiques Riot	Consentement (art. 6.1.a) — case à cocher dans Profil	Riot ID, stats publiques HenrikDev
Sécurité, prévention de la fraude, protection anti-bot	Intérêt légitime (art. 6.1.f)	IP, user-agent, logs, App Check
Facturation et gestion des abonnements payants	Exécution du contrat + obligation légale	E-mail, identifiants Stripe, historique de paiement
Envoi d'e-mails transactionnels (vérif, reset, factures)	Exécution du contrat	E-mail
Envoi d'e-mails informationnels (changements majeurs, maintenance)	Intérêt légitime, opt-out possible	E-mail
Newsletter / contenu marketing (à venir)	Consentement (art. 6.1.a)	E-mail, prénom
Réponse aux demandes de support et exercice des droits RGPD	Obligation légale (art. 6.1.c) + intérêt légitime	Échanges, justificatifs d'identité si demandés

5. Durées de conservation

Donnée	Durée	Justification
Compte actif	Tant que le compte existe	Exécution du contrat
Compte inactif (sans connexion)	36 mois, puis e-mail de relance puis suppression	Recommandation CNIL
Données après suppression du compte par l'Utilisateur	Suppression immédiate, sauf logs anonymisés	Droit à l'effacement
Logs techniques (IP, connexions)	6 mois	Sécurité + obligations LCEN
Données de facturation	10 ans	Obligation comptable et fiscale (art. L.123-22 C. com.)
Cookies (le cas échéant)	13 mois maximum	Recommandation CNIL

6. Destinataires et sous-traitants

Vos données peuvent être partagées avec les sous-traitants suivants, dans la stricte limite de leur prestation et sous contrat conforme à l'article 28 RGPD :

Sous-traitant	Rôle	Localisation	Garantie
Google Firebase (Google Ireland Limited)	Hébergement Firestore, Auth, Cloud Functions	UE (region europe-west1)	Clauses contractuelles types + DPA Google
Cloudflare, Inc.	CDN, anti-DDoS, gestion DNS	USA	Clauses contractuelles types + Data Privacy Framework
HenrikDev API (Phase 2, à venir)	Récupération stats Valorant publiques	UE	Cache local Firestore, requête sur Riot ID seul
Stripe Payments Europe Ltd. (Phase 3, à venir)	Traitement des paiements	UE / USA	PCI-DSS niveau 1 + Clauses contractuelles types
Sentry (à venir)	Suivi d'erreurs applicatives	UE (option Frankfurt)	Clauses contractuelles types + scrubbing PII
Resend / Postmark (à venir)	E-mails transactionnels	UE	Clauses contractuelles types

En dehors de ces sous-traitants, aucune donnée n'est transmise à un tiers, sauf obligation légale (réquisition judiciaire, demande CNIL).

7. Transferts hors UE

Certaines données peuvent transiter par les États-Unis (Cloudflare, éventuellement Stripe). Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et par le EU-US Data Privacy Framework lorsque les sous-traitants y sont certifiés. Aucun transfert de données dites « sensibles » au sens du RGPD n'est effectué.

8. Cookies et traceurs

Opsiv utilise un nombre minimal de cookies, exclusivement à des fins fonctionnelles ou de sécurité :

Cookie de session Firebase Auth — strictement nécessaire à l'authentification (exempté de consentement, art. 82 LIL).
Cookie App Check / reCAPTCHA Enterprise — strictement nécessaire à la prévention du spam et du bot.

Aucun cookie publicitaire, aucun cookie de mesure d'audience tiers (Google Analytics, Meta Pixel, etc.) n'est déposé en l'état actuel du Service. Si cette politique évolue, un bandeau de consentement conforme à la recommandation CNIL sera mis en place.

9. Vos droits RGPD

Vous disposez à tout moment des droits suivants sur vos données personnelles :

Droit d'accès (art. 15) : obtenir la liste et la copie de vos données.
Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
Droit à l'effacement / oubli (art. 17) : demander la suppression de vos données (sauf obligation légale de conservation, ex. facturation).
Droit à la limitation (art. 18) : geler temporairement le traitement.
Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré (JSON) et les transmettre à un autre service.
Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
Droit de retirer votre consentement (art. 7) : à tout moment, pour les traitements qui en dépendent (stats Riot, newsletter).
Droit aux directives post-mortem (art. 85 LIL) : définir le sort de vos données après votre décès.

Comment exercer vos droits ?

Méthode 1 (recommandée) : rendez-vous sur Profil → Mes données pour exporter (JSON) ou supprimer votre compte en un clic.
Méthode 2 : envoyez un e-mail à rgpd@opsiv.gg en précisant votre demande. Une pièce d'identité pourra être demandée en cas de doute légitime sur votre identité.

Nous nous engageons à répondre dans un délai d'un mois, prolongeable de deux mois en cas de demande complexe (vous serez alors informé du délai supplémentaire).

10. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

Chiffrement TLS 1.3 sur l'ensemble des communications.
Hachage et salage des mots de passe (algorithmes Firebase Auth, jamais en clair).
Règles d'accès Firestore strictes (defense-in-depth, validation de schéma, anti-escalade de privilèges).
Custom Claims Firebase Auth pour gérer les rôles (Manager / Coach / Joueur).
Firebase App Check (reCAPTCHA Enterprise) contre le spam et l'abus d'API.
Sauvegardes Firestore quotidiennes (rétention 7 jours).
Suivi d'erreurs (Sentry) sans collecte de PII (scrubbing).
Audit annuel des règles et dépendances.

11. Notification de violation

Conformément à l'article 33 du RGPD, en cas de violation de données personnelles susceptible de présenter un risque pour vos droits et libertés, l'éditeur s'engage à notifier la CNIL dans un délai de 72 heures et, si le risque est élevé, à vous en informer directement par e-mail dans les meilleurs délais (art. 34 RGPD).

12. Mineurs

Le Service est destiné aux personnes âgées de 15 ans et plus (âge minimum de consentement RGPD en France). Les Utilisateurs entre 15 et 18 ans doivent disposer de l'accord de leurs représentants légaux. Si nous découvrons qu'un compte a été créé par un mineur de moins de 15 ans, ce compte sera supprimé.

13. Modification de la Politique

Cette Politique peut évoluer. Toute modification substantielle est notifiée par e-mail au moins quinze (15) jours avant son entrée en vigueur. La date de dernière mise à jour figure en tête du document.

14. Contact et réclamation

Pour toute question :

E-mail RGPD : rgpd@opsiv.gg
Adresse postale : [À COMPLÉTER]

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

En ligne : cnil.fr/fr/plaintes
Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07