Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données est :

• AEROX STUDIO, studio indépendant français.
• Site web : aeroxrp.com
• Contact protection des données : privacy@aeroxrp.com

Toute demande relative à vos données personnelles peut être adressée à l'adresse e-mail ci-dessus. Une réponse vous sera apportée dans un délai maximum d'un mois conformément à l'article 12 du RGPD.

2. Données collectées

Nous appliquons le principe de minimisation : seules les données strictement nécessaires au fonctionnement du service sont collectées.

2.1. Données fournies lors de la création d'un compte

• Connexion par e-mail : adresse e-mail, mot de passe (stocké de manière hachée et salée, jamais en clair), pseudo choisi.
• Connexion via un fournisseur tiers (Steam, Discord, Google, Twitch, GitHub) : identifiant public du fournisseur, pseudo, avatar, adresse e-mail vérifiée si elle est partagée par le fournisseur, identifiants OAuth nécessaires à l'authentification (jetons d'accès et de rafraîchissement).

Lorsque vous vous connectez avec Google, nous demandons uniquement les portées de base openid, email et profile. Aucune donnée Google supplémentaire (Drive, Gmail, Contacts, Calendar, etc.) n'est demandée, lue ou stockée.

2.2. Données générées par l'utilisation du service

• Identifiant interne du compte, date de création, dernière connexion.
• Préférences d'interface (thème, langue, paramètres d'accessibilité).
• Statistiques de jeu publiques liées au profil joueur (temps de jeu, réputation, métiers, événements participés).
• Liens d'identité de jeu (SteamID, identifiant S&box) lorsque vous liez votre compte au serveur.

2.3. Données techniques

• Adresse IP (anonymisée après 30 jours dans les journaux applicatifs).
• Type de navigateur, système d'exploitation, langue.
• Pages consultées, dates et heures, codes de réponse HTTP.
• Mesures d'audience agrégées (voir section 6).

2.4. Données de communication

• Contenu des messages que vous nous adressez par e-mail ou via les formulaires de contact / presse.
• Statut des e-mails transactionnels (vérification, réinitialisation de mot de passe, notifications opt-in).

3. Finalités et bases légales

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale identifiée :

• Exécution du contrat (art. 6.1.b) : création et gestion du compte, authentification, fourniture du service, lien avec le serveur de jeu, support utilisateur.
• Intérêt légitime (art. 6.1.f) : sécurité du service, prévention de la fraude et des abus, modération, mesures d'audience anonymisées, amélioration du produit.
• Consentement (art. 6.1.a) : cookies non essentiels, communications marketing, notifications opt-in. Le consentement peut être retiré à tout moment.
• Obligation légale (art. 6.1.c) : conservation des journaux de connexion, réponse aux réquisitions judiciaires.

4. Durée de conservation

• Compte actif : pendant toute la durée d'utilisation du service.
• Compte inactif : les comptes sans connexion depuis 36 mois sont supprimés ou anonymisés après notification par e-mail.
• Journaux techniques et de sécurité : 12 mois maximum.
• Données de facturation (le cas échéant) : 10 ans (obligation comptable).
• Données de modération et sanctions : jusqu'à 5 ans après l'événement, pour la sécurité de la communauté.
• Sauvegardes chiffrées : 30 jours glissants.

5. Destinataires et sous-traitants

Vos données ne sont ni vendues, ni louées, ni cédées à des tiers à des fins commerciales. Elles peuvent être traitées par les sous-traitants suivants, tous engagés contractuellement à respecter le RGPD :

• Hébergement et infrastructure : prestataires basés dans l'Union européenne pour le serveur applicatif, la base de données et les sauvegardes.
• Authentification fédérée : Valve (Steam), Discord Inc., Google LLC, Twitch Interactive, GitHub Inc., uniquement lorsque vous choisissez de vous connecter via ces fournisseurs.
• E-mails transactionnels : prestataire e-mail conforme RGPD pour l'envoi des messages de vérification et de sécurité.
• Mesure d'audience : solution respectueuse de la vie privée, sans cookie publicitaire et sans transfert hors UE par défaut.
• Détection d'erreurs : outil d'observabilité pour le suivi des incidents techniques.

Aucun transfert de données vers un pays hors UE/EEE n'est effectué sans garantie appropriée (clauses contractuelles types de la Commission européenne ou décision d'adéquation).

6. Cookies et traceurs

Le site utilise un nombre minimal de cookies :

• Cookies strictement nécessaires : session d'authentification, protection CSRF, préférences d'interface. Exemptés de consentement.
• Cookies de mesure d'audience anonymisée : agrégés, sans identifiant unique persistant, exemptés de consentement selon les recommandations de la CNIL.
• Cookies tiers : aucun cookie publicitaire, aucun pixel de réseau social, aucun traceur cross-site n'est déposé sans votre consentement explicite.

Vous pouvez à tout moment supprimer les cookies via les paramètres de votre navigateur.

7. Sécurité

• Connexions chiffrées TLS 1.2 ou supérieur sur l'ensemble du site.
• Mots de passe hachés avec un algorithme à coût adaptatif (bcrypt ou équivalent), jamais stockés ni transmis en clair.
• Jetons de session signés, à durée limitée, invalidables à la déconnexion.
• Limitation du débit (rate limiting) et protection contre les attaques par force brute sur les points d'authentification.
• Sauvegardes chiffrées et accès restreint aux bases de données.
• Journalisation des accès administrateurs.

En cas de violation de données présentant un risque pour vos droits, nous en informerons la CNIL dans un délai de 72 heures et, le cas échéant, les personnes concernées.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données.
• Droit à la limitation du traitement.
• Droit à la portabilité : récupérer vos données dans un format structuré et lisible par machine.
• Droit d'opposition à un traitement fondé sur l'intérêt légitime.
• Droit de retirer votre consentement à tout moment, sans effet rétroactif.
• Droit de définir des directives sur le sort de vos données après votre décès.

Pour exercer ces droits, écrivez à privacy@aeroxrp.com. Une vérification d'identité raisonnable pourra être demandée. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés).

Vous pouvez supprimer votre compte directement depuis la page paramètres du compte.

9. Mineurs

Le service est ouvert aux personnes âgées de 13 ans ou plus. Pour les utilisateurs mineurs résidant dans l'Union européenne, le consentement parental est requis dans la limite d'âge fixée par la législation locale (15 ans en France conformément à l'article 7-1 de la loi Informatique et Libertés). Si nous apprenons qu'un compte a été créé en violation de ces conditions, il sera supprimé.

10. Contenus utilisateurs et profils publics

Certaines informations (pseudo, avatar, statistiques de jeu, réputation, participation à des événements) peuvent être affichées publiquement sur votre profil joueur à l'adresse https://aeroxrp.com/joueurs/<pseudo>. Vous pouvez à tout moment ajuster la visibilité de ces éléments dans vos paramètres.

11. Données issues des fournisseurs OAuth

Lorsque vous vous authentifiez via Steam, Discord, Google, Twitch ou GitHub, nous recevons exclusivement les informations que ces plateformes exposent dans leurs portées standard : identifiant public, pseudo, avatar et e-mail vérifié si vous l'avez autorisé. Nous ne publions ni ne redistribuons ces données. Vous pouvez révoquer notre accès à tout moment depuis les paramètres de sécurité du fournisseur concerné :

• Google — Applications tierces ayant accès à votre compte
• Steam — Sécurité du compte
• Discord — Applications autorisées
• Twitch — Connexions
• GitHub — Applications autorisées

12. Modifications de la politique

Cette politique peut être mise à jour pour refléter des évolutions légales, techniques ou fonctionnelles. La date en tête de page indique la dernière mise à jour. Toute modification substantielle vous sera notifiée par e-mail ou via une bannière sur le site.

13. Contact

Pour toute question relative à la présente politique ou à vos données personnelles : privacy@aeroxrp.com.

Voir aussi : Conditions d'utilisation.