1. Responsable du traitement
Le responsable du traitement des données personnelles est :
Cheick Tidiane Dia, auto-entrepreneur, France
Email de contact : opcardex.contact@gmail.com
Pour toute question relative à tes données personnelles ou pour exercer tes droits RGPD, contacte cette adresse.
2. Données collectées
OP Cardex collecte uniquement les données nécessaires au fonctionnement du service :
• Données d'authentification : adresse email et nom transmis par Google Sign-In ou Sign in with Apple lors de la création du compte. Tu peux choisir avec Sign in with Apple de masquer ton email réel via l'option « Cacher mon email » d'Apple.
• Identifiant utilisateur : un identifiant unique généré par notre service d'authentification (Better Auth) pour identifier ton compte.
• Contenu utilisateur : la collection de cartes que tu suis, tes listes, tes decks personnalisés, ta wishlist. Ces données sont liées à ton identifiant utilisateur.
• Préférences : ta langue d'affichage (FR/EN) et ta région d'exploration (EU/JP).
• Données techniques minimales : adresse IP et user-agent enregistrés temporairement dans les logs serveur à des fins de sécurité (limitation de débit, détection d'abus). Ces logs sont automatiquement purgés après 30 jours.
• Historique des achats : informations sur ton abonnement Premium (souscription, statut d'essai gratuit, date d'expiration), gérées via RevenueCat. Apple traite la transaction de paiement elle-même : nous n'avons aucun accès à tes informations de carte bancaire.
• Données d'utilisation analytiques : événements liés à tes interactions avec l'application (par exemple : carte scannée, paywall affiché, deck créé). Ces événements sont rattachés à ton identifiant utilisateur pour comprendre les parcours d'usage et améliorer le produit. Ils ne contiennent ni le contenu de tes cartes ni de données sensibles.
OP Cardex ne collecte AUCUNE des données suivantes : géolocalisation, photos, contacts, calendrier, données de santé, données financières (paiements gérés à terme par App Store / Google Play sans que nous y ayons accès), données de tracking publicitaire.
3. Finalités du traitement
Tes données sont utilisées exclusivement pour les finalités suivantes :
• Te permettre de t'authentifier et d'accéder à ton compte
• Stocker et synchroniser ta collection, tes listes, tes decks et tes préférences entre les sessions
• Te fournir des fonctionnalités personnalisées (analyse de cartes manquantes pour un deck, etc.)
• Sécuriser le service (limitation de débit, détection d'usage abusif)
• Mesurer l'usage agrégé des fonctionnalités pour améliorer le produit (analytics)
• Gérer ton abonnement Premium (déverrouillage des fonctionnalités payantes, suivi de la période d'essai)
• Te répondre lorsque tu nous contactes
Tes données NE SONT PAS utilisées pour : du profilage publicitaire, de la vente à des tiers, de la prospection commerciale par des partenaires.
4. Base légale du traitement (RGPD)
Le traitement de tes données repose sur l'exécution du contrat que constituent les Conditions Générales d'Utilisation que tu as acceptées lors de ton inscription (Article 6.1.b du RGPD).
Pour les logs techniques de sécurité, la base légale est l'intérêt légitime de l'éditeur à protéger son service contre les abus (Article 6.1.f du RGPD).
5. Sous-traitants et destinataires
Tes données sont confiées à un nombre limité de sous-traitants techniques, sélectionnés pour leur conformité au RGPD :
• Neon (Postgres hébergé en Union Européenne) : stockage de la base de données utilisateur et de l'authentification.
• Railway (hébergeur applicatif, région europe-west4) : exécution de l'API backend et traitement des requêtes.
• PostHog (serveurs hébergés en Union Européenne, eu.posthog.com) : analyse anonymisée de l'usage de l'application à des fins d'amélioration produit.
• RevenueCat (États-Unis) : gestion de l'abonnement Premium et de l'historique d'achats. Le transfert hors UE est encadré par le Data Privacy Framework et les clauses contractuelles types.
• Google LLC (États-Unis) : authentification via Google Sign-In, lorsque tu choisis cette méthode. Le transfert hors UE est encadré par les clauses contractuelles types et les certifications de Google (Data Privacy Framework).
• Apple Inc. (États-Unis) : authentification via Sign in with Apple, lorsque tu choisis cette méthode. Mêmes garanties que ci-dessus.
Aucune autre entité ne reçoit tes données. Les services tiers utilisés pour afficher des informations (images de cartes Bandai, prix CardMarket) ne reçoivent AUCUNE de tes données — ce sont des contenus que nous récupérons côté serveur, sans transmettre la moindre donnée utilisateur.
6. Durée de conservation
• Données du compte (email, nom, contenu utilisateur) : conservées tant que ton compte est actif. Supprimées sous 30 jours après la suppression de ton compte.
• Sessions d'authentification : durée de vie limitée à 7 jours par session, renouvelée automatiquement à chaque utilisation active.
• Logs techniques de sécurité : 30 jours maximum.
• Événements d'analytics (PostHog) : conservés 12 mois maximum, puis automatiquement supprimés.
• Données d'abonnement (RevenueCat) : conservées pendant la durée de ton abonnement et jusqu'à 5 ans après sa dernière transaction pour répondre aux obligations comptables et fiscales.
Tu peux à tout moment demander la suppression anticipée de ton compte par email.
7. Sécurité
Nous mettons en œuvre les mesures de sécurité suivantes :
• Connexion HTTPS chiffrée pour tous les échanges entre l'application et le serveur
• Cookies de session marqués httpOnly, Secure et SameSite (non lisibles par du JavaScript tiers)
• Stockage du token de session sur ton appareil dans le Keychain iOS (sécurisé matériellement)
• Sessions révocables côté serveur en cas de compromission
• Aucun mot de passe stocké (authentification déléguée à Google/Apple)
• Données sensibles redactées des logs serveur (cookies, headers d'authentification)
Aucun système n'est totalement infaillible : en cas de fuite de données affectant tes informations, nous nous engageons à t'en informer dans les 72 heures conformément au RGPD.
8. Cookies
OP Cardex utilise un cookie de session technique, strictement nécessaire à l'authentification. Aucun cookie de tracking publicitaire n'est utilisé. Les analyses d'usage (PostHog) reposent sur un stockage local sur ton appareil (pas de cookies tiers).
Ce cookie ne nécessite pas de consentement préalable au regard de la directive ePrivacy puisqu'il est strictement nécessaire au service que tu as expressément demandé.
9. Tes droits (RGPD)
Conformément au RGPD, tu disposes des droits suivants sur tes données personnelles :
• Droit d'accès : obtenir une copie de toutes les données que nous détenons sur toi
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement (« droit à l'oubli ») : supprimer ton compte et toutes les données associées
• Droit à la portabilité : recevoir tes données dans un format structuré et lisible (JSON)
• Droit d'opposition : t'opposer au traitement de tes données pour des raisons tenant à ta situation particulière
• Droit à la limitation : restreindre temporairement le traitement de tes données
Pour exercer ces droits, écris à opcardex.contact@gmail.com en précisant ta demande. Nous répondons sous 30 jours maximum.
10. Réclamation auprès de la CNIL
Si tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Téléphone : +33 1 53 73 22 22
Site : https://www.cnil.fr
11. Modifications de la politique
Cette Politique de Confidentialité peut être modifiée pour refléter des évolutions du service ou de la réglementation. La date de dernière mise à jour est indiquée en haut du document. En cas de modification substantielle, nous t'en informerons via une notification dans l'application.
12. Contact
Pour toute question relative à cette Politique de Confidentialité ou au traitement de tes données : opcardex.contact@gmail.com