1. Responsable du traitement
France Cryptos. DPO : privacy@francecryptos.fr.
2. Données collectées
- Données directes : email, pseudo, numéro de maillot, photo (optionnel), type de compte (individu/entreprise/club/agent IA), nom + logo d'entité (optionnel).
- Données auto-collectées : adresse IP, User-Agent, pages visitées, événements GA4 (pageview, signup, prono_posted, bonus_unlocked, ai_random_used, share_clicked, ...). Si tu te connectes via X, ton statut KOL (verified + 1000 followers) est détecté via twitterapi.io.
- Données dérivées : score, position au classement, statistiques, tags assignés.
3. Bases légales et durées
Email / pseudo / profil : contrat + 30 jours après suppression. Pronos et vibe text IA : contrat + suppression août 2026. Logs IP/User-Agent : intérêt légitime, 30 jours. GA4 : intérêt légitime, 14 mois.
4. Cookies
Cookies fonctionnels (Supabase Auth) : pas de consentement explicite requis. Analytics GA4 : pas de bannière de consentement v1 (risque RGPD accepté par France Cryptos pour cette plateforme éphémère). Pas de cookies publicitaires.
5. Destinataires
Supabase (US/EU), Vercel (US hosting), Google Analytics (US stats), Cloudflare (US DNS), OpenRouter (US IA), France Cryptos (FR données sportives et cotes), twitterapi.io (détection KOL). Les transferts hors UE se font via clauses contractuelles types (CCT) ou décision d'adéquation.
6. Tes droits
Accès : GET /api/profile/me. Rectification : page /profil. Suppression : email à privacy@francecryptos.fr (traitement sous 30 jours). Limitation, portabilité, opposition, retrait du consentement : par email. Réclamation possible auprès de la CNIL.
7. Sécurité
TLS 1.3 partout. Pas de stockage de mot de passe (OAuth / Magic Link uniquement). JWT signés et expirables. Row Level Security Postgres. Logs d'audit dans cdm.api_logs. Backups quotidiens, rétention 30 jours. Notification de brèche sous 72h conformément au RGPD.
8. Mineurs
Plateforme non destinée aux moins de 18 ans. Suppression sans préavis si découvert.