🔒 Politique de confidentialité

Le responsable du traitement des données est :

• NRZ Conseil - éditeur de Ludalys
• Contact : formulaire de contact · contact@ludalys.fr
• Adresse complète : voir mentions légales

NRZ Conseil n'a pas désigné de Délégué à la Protection des Données (DPO), cette désignation n'étant pas obligatoire au regard de l'article 37 du RGPD pour la nature et le volume des traitements effectués. Toute demande relative à la protection des données peut être adressée via le formulaire de contact ou à contact@ludalys.fr.

Ludalys collecte uniquement les données nécessaires à son fonctionnement :

2.1 Comptes utilisateurs (parents, enfants, admins)

• Email - pour la connexion et les notifications
• Mot de passe - stocké uniquement sous forme chiffrée (jamais en clair). Optionnel pour les comptes créés via Google.
• Prénom (display name) - affiché dans l'interface
• Rôle (parent, enfant, admin)
• Identifiant Google (claim sub de l'OAuth) - uniquement si tu te connectes via « Sign-in with Google ». Permet de te reconnaître à chaque retour sans demander le mot de passe.
• Horodatage du consentement à la politique de confidentialité et aux mentions légales (date et heure exactes à la création du compte).

2.2 Profils de héros (enfants)

• Nom du héros (peut être un prénom ou un pseudonyme)
• Devise libre (optionnelle)
• Avatar : photo téléversée par le parent (le parent peut éventuellement avoir généré cette image au préalable via un service IA tiers de son choix - cf. section 4)
• Niveau, expérience (XP), pièces d'or (PO) - score ludique uniquement
• Quêtes accomplies / manquées par jour et par semaine, y compris l'historique des quêtes long-terme (épiques) avec leur progression et leur date de complétion
• Bonus et malus comportementaux appliqués par les parents au fil des semaines (par ex. : « a aidé sans qu'on lui demande », « a menti ») - ces données sont sensibles, strictement privées à la famille et jamais agrégées ni partagées
• Achats boutique hebdomadaires (récompenses échangées en PO : temps d'écran, sorties, etc.)
• Succès débloqués, items du coffre (objets de valeur cumulés)
• Niveau actuel sur les fiches d'aide aux quêtes (par ex. « Math niveau 8 ») - mémorisé pour rouvrir la fiche au bon niveau la prochaine fois
• Humeur du jour (😀 / 😐 / 😞) - optionnelle, saisie volontaire

2.3 Données techniques

• Adresse IP
  • dans les logs serveur Caddy : conservée 30 jours pour la sécurité ;
  • dans le formulaire de contact : stockée temporairement pour détecter les abus, automatiquement anonymisée au bout de 30 jours (le message reste accessible aux admins pour le suivi, mais sans l'IP).
• User-Agent du navigateur (dans les logs serveur uniquement, 30 jours)
• Souscriptions aux notifications mobiles (si tu actives les notifications mobiles sur un appareil) : adresse de notification fournie par le navigateur + 2 clés cryptographiques (P256DH, Auth). Ces données identifient ton navigateur sur cet appareil et permettent l'envoi des rappels. Désactivable à tout moment depuis les paramètres famille.
• Cookies techniques et données locales du navigateur (voir section 7)

2.4 Communications utilisateur

Lorsque tu interagis volontairement avec le service, certaines données supplémentaires sont enregistrées :

• Messages de contact : nom, email, sujet, contenu du message (et IP, cf. 2.3). Stockés en base pour le suivi du ticket.
• Bug reports : titre, description, URL de la page concernée au moment du signalement.
• Propositions d'évolution : titre, description, catégorie.
• Votes (+1 / -1) sur les propositions d'évolution publiées.

Ce que Ludalys ne collecte PAS : aucune donnée de localisation, aucun numéro de téléphone, aucune donnée de santé, aucune donnée bancaire (le service est gratuit pour le moment), aucun tracker publicitaire.

Caractère obligatoire : l'email, le mot de passe et le prénom sont nécessaires à la création d'un compte ; sans ces informations le service ne peut pas être fourni. Toutes les autres données (devise du héros, avatar, humeur du jour) sont facultatives et leur absence n'empêche pas l'utilisation du service.

Finalité	Base légale
Création et gestion du compte	Exécution du contrat (acceptation des conditions)
Suivi des quêtes, XP, PO, succès, humeur	Exécution du contrat (cœur du service)
Envoi du lien magique de connexion / réinitialisation de mot de passe	Exécution du contrat
Email de récapitulatif hebdomadaire (à venir)	Consentement du parent (désactivable à tout moment)
Sécurité, prévention de la fraude, journal d'audit	Intérêt légitime de l'éditeur
Statistiques d'usage anonymisées (futur)	Intérêt légitime, sans données identifiantes

Pour fonctionner, Ludalys s'appuie sur quelques prestataires techniques. Aucun de ces sous-traitants ne peut utiliser vos données pour ses propres finalités.

• OVH SAS (France, UE) - hébergement des serveurs et de la base de données. Politique RGPD OVH.
• Brevo (ex-Sendinblue) - envoi des emails transactionnels (lien magique, reset password, récapitulatif hebdomadaire). Données transmises : email + nom + contenu du message. Hébergement des données en Union européenne. Politique RGPD Brevo.
• Stockage S3 auto-hébergé (MinIO) - utilisé uniquement pour stocker les avatars téléversés des héros. Tourne sur la même infrastructure OVH que le reste du service, accessible uniquement depuis la machine elle-même (pas de surface d'exposition externe). Aucun tiers n'a accès aux fichiers.
• Google LLC - uniquement pour les utilisateurs qui choisissent « Sign-in with Google ». Google fournit l'identité (email vérifié, prénom, nom, identifiant unique sub) au moment de la connexion. Aucune autre donnée n'est échangée avec Google ensuite. Politique RGPD Google.

Aucune donnée n'est revendue, partagée à des fins publicitaires ou cédée à un tiers pour son propre compte. Aucun transfert hors UE.

Avatars des héros : les images d'avatar sont uniquement téléversées par le parent (depuis son ordinateur ou téléphone). Ludalys propose un assistant qui génère un texte de description à copier-coller dans l'IA générative de votre choix (ChatGPT, Copilot, Gemini, etc.) - cet assistant fonctionne entièrement dans votre navigateur, aucune donnée n'est envoyée à un service tiers depuis nos serveurs.

Si le parent choisit d'utiliser un service IA tiers pour générer une image qu'il téléversera ensuite comme avatar, cette interaction relève de sa propre responsabilité et de la politique de confidentialité du service tiers concerné. Ludalys n'a aucun lien technique avec ces services.

Donnée	Durée
Compte utilisateur (email, prénom, mot de passe chiffré)	Tant que le compte est actif. Suppression à tout moment sur simple demande, traitée sous 30 jours.
Données de héros (XP, PO, quêtes, succès, coffre)	Idem compte. Conservées pour permettre la reprise de partie et l'historique.
Humeur quotidienne	Conservée pour permettre la vue annuelle (year map). Supprimable à tout moment via la suppression de compte.
Journal d'audit (qui a coché quoi, quand)	12 mois glissants - purgé automatiquement chaque mois par une tâche planifiée (app:purge-audit-log).
Avatars téléversés ou générés	Idem compte. Suppression manuelle possible.
Logs serveur Caddy (IP, user-agent)	30 jours, à des fins de sécurité uniquement.
IP du formulaire de contact	30 jours : anonymisée automatiquement au-delà par une tâche planifiée (app:purge-contact-ips). Le contenu du message reste pour le suivi.
Messages de contact (nom, email, message)	Conservés tant que le ticket n'est pas explicitement supprimé par l'admin (audit + suivi).
Bug reports et propositions d'évolution	Tant que le service existe. Le champ « URL de la page » d'un bug report peut contenir l'identifiant numérique d'un héros ; cet identifiant est interne, non visible publiquement.
Souscriptions aux notifications mobiles (par appareil)	Tant que tu n'as pas désactivé les notifications, ou jusqu'à ce que ton navigateur révoque l'adresse de notification. Les adresses obsolètes sont supprimées automatiquement à la 1ʳᵉ erreur signalée par le serveur d'envoi des rappels.
Jetons d'invitation et de réinitialisation de mot de passe	Validité limitée (48 h pour les invitations, 1 h pour la réinitialisation). Les jetons utilisés ou expirés sont marqués comme tels et ne peuvent plus être rejoués.

Conformément aux articles 15 à 22 du RGPD, chaque parent dispose des droits suivants sur les données de sa famille (y compris celles de ses enfants mineurs) :

• Droit d'accès et à la portabilité - télécharger l'intégralité de vos données dans un format lisible (JSON + images), via la page Paramètres de la famille, onglet « Données ».
• Droit de rectification - corriger toute information inexacte directement dans l'interface (paramètres compte, paramètres famille).
• Droit à l'effacement - supprimer définitivement le compte, la famille et toutes les données associées. Faire la demande à formulaire de contact. Le traitement est effectué sous 30 jours.
• Droit d'opposition et de limitation - tu peux t'opposer à tout traitement reposant sur l'intérêt légitime. Concrètement, tu peux par exemple désactiver à tout moment les notifications natives depuis les paramètres famille, désactiver le suivi de l'humeur, ou demander la désactivation du récapitulatif hebdomadaire.
• Droit de retirer son consentement à tout moment, sans affecter la licéité du traitement antérieur.
• Droit d'introduire une réclamation auprès de l'autorité de contrôle française : la CNIL (3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07).

Pour exercer un droit, écris au formulaire de contact en précisant la demande. En cas de doute raisonnable sur l'identité du demandeur, une vérification proportionnée pourra être sollicitée (article 12 du RGPD). Réponse sous 30 jours.

Absence de décision automatisée

Aucune décision automatisée produisant des effets juridiques ou affectant significativement l'utilisateur n'est prise sur la base de ses données. Ludalys n'effectue aucun profilage des utilisateurs, en particulier aucun profilage des enfants.

Ludalys n'utilise que des cookies strictement nécessaires au fonctionnement du site. Aucun cookie publicitaire, aucun traceur tiers (pas de Google Analytics, pas de Meta Pixel, pas de bouton « like »). C'est pourquoi aucun bandeau « Accepter / Refuser » n'est affiché - la CNIL n'impose pas de bandeau pour les cookies techniques essentiels.

Cookie	Finalité	Durée
PHPSESSID	Maintien de la session connectée	Session du navigateur
theme	Mémorise le thème graphique choisi parmi ceux proposés (Clairière, Taverne, Forêt sombre, etc.)	1 an
lud_help_banner	Mémorise que le bandeau d'aide a été fermé	1 an
REMEMBERME	Reconnexion automatique sur cet appareil. Posé uniquement si la case « Se souvenir de moi » est cochée volontairement lors de la connexion (consentement explicite par action utilisateur).	30 jours
Jetons CSRF de session	Mémorisés en session côté serveur (pas de cookie séparé) pour protéger les formulaires sensibles contre les attaques de type « Cross-Site Request Forgery ».	Session du navigateur
Cookie d'état OAuth Google (oauth2state*)	Posé uniquement le temps de la redirection vers Google pendant la connexion. Permet de vérifier qu'on revient bien de la même requête.	Le temps de la requête (10 min maximum)

Données locales du navigateur

Ludalys est une application web installable (PWA). À ce titre, ton navigateur peut conserver localement :

• Un service worker (/sw.js) qui sert à recevoir les notifications push et à afficher l'application hors connexion. Aucun cache de page volumineux n'est conservé.
• Ta souscription push locale (voir section 2.3) si tu as activé les notifications. Stockée par ton navigateur, jamais par Ludalys.

Tu peux désinstaller la PWA et purger ces données depuis les paramètres de ton navigateur (par ex. : « Vider les données du site » dans Chrome / Firefox).

Ludalys est conçu pour des familles avec des enfants de 5 à 12 ans. Conformément à l'article 8 du RGPD et à la loi française (le législateur français a fixé l'âge du consentement numérique à 15 ans, conformément à la faculté ouverte par le RGPD) :

• Seul un parent ou tuteur légal peut créer un compte famille et autoriser la création de comptes pour ses enfants.
• Les comptes enfants sont créés et administrés par le parent ; ils n'ont pas accès à l'inscription autonome.
• Le parent peut, à tout moment, supprimer le compte de son enfant, modifier ses données ou télécharger l'export RGPD complet.
• Les données des enfants ne sont jamais agrégées au niveau famille, partagées à des tiers, utilisées à des fins publicitaires ou de profilage.
• Aucune fonctionnalité de communication entre familles, aucun chat public, aucun réseau social interne - l'enfant n'a aucun contact en ligne avec un inconnu.
• L'humeur quotidienne (donnée potentiellement sensible) est strictement privée à la famille et n'est utilisée pour aucun ciblage.

• Connexion HTTPS obligatoire (chiffrement TLS).
• Mots de passe stockés sous forme chiffrée (jamais en clair).
• Protection CSRF sur toutes les actions sensibles.
• Politique de sécurité du contenu (CSP) restrictive.
• Sauvegardes chiffrées de la base de données.
• Journal d'audit pour tracer les actions parentales.
• Accès admin restreint aux comptes explicitement autorisés.

Cette politique peut être mise à jour pour refléter l'évolution du service (nouvelles fonctionnalités, nouveaux sous-traitants). Toute modification substantielle vous sera signalée par email avant son entrée en vigueur. La version courante est toujours consultable à cette adresse.