Politique de Confidentialité

1. Introduction et responsable du traitement

La présente politique de confidentialité décrit la manière dont Lycareon collecte, utilise et protège les données à caractère personnel des utilisateurs de la plateforme accessible à l'adresse lycareon.com.

Le site est édité par une personne physique (particulier). Conformément à l'article 6, III-2 de la LCEN, les coordonnées complètes de l'éditeur ont été communiquées à l'hébergeur. Contact : contact@lycareon.com

2. Données collectées

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service.

2.1 Données de compte

• Adresse email (obligatoire) : authentification, communications transactionnelles — fournie directement ou transmise par Google OAuth
• Mot de passe (obligatoire pour les comptes email, non applicable pour les comptes Google) : authentification (hashé, jamais stocké en clair)
• Pseudo (obligatoire) : identification en jeu
• Avatar personnalisé (optionnel) : personnalisation visuelle
• Cadre et effet cosmétique équipés (optionnel) : personnalisation visuelle
• Date de création du compte (automatique) : gestion du compte. Les tokens OAuth de Google ne sont pas stockés sur nos serveurs ; le traitement OAuth est délégué à Convex Auth

2.2 Données de jeu

Les données de jeu (salles, états de partie, votes, actions de nuit) sont temporaires. Elles sont automatiquement supprimées à l'expiration de la salle (4 heures). Aucune statistique de jeu persistante n'est conservée.

2.3 Données audio

La communication audio est transmise en temps réel via LiveKit (auto-hébergé sur Hetzner, Allemagne). Aucun enregistrement audio n'est effectué.

2.4 Données techniques (monitoring)

Via Sentry, nous collectons automatiquement :

• Traces d'erreurs techniques (stack traces)
• URL de la page au moment de l'erreur
• User agent du navigateur
• Système d'exploitation
• Adresse IP (collectée automatiquement par Sentry)

2.5 Données analytiques

Via Umami (auto-hébergé sur Hetzner, Allemagne), nous collectons de manière entièrement anonymisée :

• Pages visitées
• Source de référence (referrer)
• Pays d'origine (dérivé de l'IP, non conservée)
• Type de navigateur

Aucun cookie n'est utilisé. Aucun identifiant individuel n'est conservé.

3. Bases légales du traitement

Conformément au RGPD, article 6 :

• Compte, authentification, jeu, personnalisation : exécution du contrat (Art. 6.1.b), y compris l'authentification via Google OAuth (l'utilisateur initie activement la connexion et consent au partage de son email et de son nom)
• Monitoring Sentry (y compris IP) : intérêt légitime (Art. 6.1.f) — maintenance et sécurité
• Analytics Umami : intérêt légitime (Art. 6.1.f) — amélioration du service, données anonymisées

4. Utilisation des données

Vos données sont utilisées exclusivement pour :

• Authentification et accès au compte
• Fonctionnement du jeu multijoueur
• Personnalisation (avatar, cosmétiques)
• Communications transactionnelles (codes OTP)
• Maintenance et sécurité (Sentry)
• Amélioration du service (Umami)

Vos données ne sont jamais vendues, louées ou cédées à des tiers.

5. Services tiers et sous-traitants

• Convex (Convex Inc., États-Unis) : base de données temps réel et backend. L'authentification Google OAuth transite par Convex Auth ; Google LLC (Alphabet Inc., Mountain View, États-Unis) sert de prestataire d'identité — seuls l'email et le nom sont transmis à Lycareon, aucune donnée supplémentaire n'est stockée
• LiveKit (auto-hébergé, Hetzner, Allemagne) : audio temps réel, non enregistré
• Resend (Resend Inc., États-Unis) : emails transactionnels (codes OTP)
• Sentry (Functional Software Inc., San Francisco, États-Unis) : monitoring d'erreurs. Collecte stack traces, URL, user agent et adresse IP. Rétention 30 jours.
• Umami (auto-hébergé, Hetzner, Allemagne) : analytics web sans cookie
• Sanity (Sanity AS, Oslo, Norvège) : CMS éditorial
• Vercel (Vercel Inc., États-Unis) : hébergement du site web

6. Cookies et traceurs

• Cookie d'authentification : strictement nécessaire, exempté de consentement (article 82 loi Informatique et Libertés)
• Umami : fonctionne sans aucun cookie
• Aucun cookie tiers n'est déposé

7. Durées de conservation

• Compte utilisateur : jusqu'à suppression ou 3 ans d'inactivité
• Sessions d'authentification : durée de la session active
• Codes OTP : 10 minutes / 15 minutes (réinitialisation)
• Données de jeu : 4 heures (expiration automatique)
• Données Sentry : 30 jours
• Données Umami : agrégées sans limite (aucune donnée individuelle)
• Logs de rate limiting : 24 heures

Après suppression du compte, toutes vos données sont effacées en cascade.

8. Vos droits RGPD

• Droit d'accès (Art. 15)
• Droit de rectification (Art. 16)
• Droit à l'effacement (Art. 17) — suppression disponible dans votre profil
• Droit d'opposition (Art. 21)
• Droit à la portabilité (Art. 20)
• Droit à la limitation (Art. 18)

Contact : contact@lycareon.com ou support@lycareon.com. Délai : un mois. Réclamation : CNIL — https://www.cnil.fr

9. Sécurité des données

• Chiffrement en transit (HTTPS/TLS)
• Mots de passe hashés (comptes email uniquement)
• Authentification par OTP à durée limitée
• Rate limiting (8 tentatives échouées par heure maximum) et authentification OAuth 2.0 via Google pour les comptes Google