Politique de confidentialité.

Le responsable du traitement des données collectées via l'Application est IP Dev S.à r.l., SARL de droit luxembourgeois au capital de 12 000 €, siège social 2, rue Sainte-Zithe, L-2763 Luxembourg, RCS Luxembourg B304787, TVA LU37426722, représentée par Nicolas Traband en qualité de gérant. Contact : support@ipdev.lu (objet « RGPD — Royaume des Paraiges »).

Un Délégué à la protection des données n'est pas désigné, le traitement n'entrant pas dans les cas de désignation obligatoire prévus à l'article 37 du RGPD.

• Identité et compte: email et mot de passe haché (obligatoires), prénom, nom, pseudonyme, numéro de téléphone, date de naissance (vérification de majorité), avatar, photo d'identification (selfie), établissement favori, rôle applicatif.
• Programme de fidélité : tickets et reçus, moyens de paiement, articles consommés, XP et niveau, cashback, coupons, badges, progression des quêtes.
• Usage et classement : bières et actualités likées, commentaires, classements hebdomadaires, mensuels et annuels.
• Technique et sécurité: identifiants d'authentification, journaux de connexion, journaux d'erreurs minimisés via Sentry.

Aucune donnée de catégorie particulière (article 9 du RGPD) n'est collectée. La photo d'identification ne fait l'objet d'aucun traitement biométrique. L'Application ne collecte pas de géolocalisation en temps réel.

Chaque traitement repose sur une base légale identifiée (article 6 du RGPD) : exécution du contrat (gestion du compte et du programme de fidélité, enregistrement des transactions, synchronisation caisse), obligation légale(comptabilité, vérification de l'âge), intérêt légitime (classements, statistiques agrégées, prévention des fraudes, support) et consentement (likes, commentaires, communications marketing). Le consentement peut être retiré à tout moment.

Les données ne sont ni vendues ni louéeset ne servent à aucune publicité ciblée. Les destinataires se limitent aux personnes habilitées, aux établissements partenaires (lorsqu'ils enregistrent un paiement ou appliquent un coupon) et aux sous-traitants techniques liés par un DPA conforme à l'article 28 du RGPD : Supabase (base de données, hébergée sur AWS Paris), AWS, Vercel, Cloudflare, Expo / EAS, Sentry (Frankfurt), Apple et Google pour la distribution. Les établissements partenaires agissent en qualité de sous-traitants et n'accèdent qu'aux informations strictement nécessaires à la transaction (pseudonyme, montant, coupons, gains, items) — jamais à l'email, au téléphone, à la date de naissance ou aux soldes globaux.

Les données applicatives sont hébergées physiquement en Union européenne (AWS Paris, eu-west-3). Les transferts éventuels vers des sous-traitants ayant leur siège aux États-Unis sont encadrés par la décision d'adéquation Data Privacy Framework UE-États-Unis et par les Clauses Contractuelles Types de la Commission européenne.

Les données sont conservées pour la seule durée nécessaire aux finalités. Les données transactionnelles (tickets, paiements, gains) sont conservées 3 ans en base active puis 7 ans en archivage au titre de l'obligation comptable. Les données d'identité sont conservées le temps de la relation contractuelle, puis 3 ans (prescription civile). Les logs d'authentification sont conservés 6 mois. Un compte inactif depuis plus de 3 ans est supprimé après notification préalable restée sans réponse.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. Plusieurs sont exerçables directement depuis l'Application (section Réglages) : export de vos données au format JSON, suppression de compte avec anonymisation, modification du profil. Pour toute autre demande, écrivez à support@ipdev.lu (objet « RGPD — Exercice de droits ») ; une réponse est apportée sous un mois.

En cas de désaccord persistant, vous pouvez saisir la CNIL — www.cnil.fr, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

L'application mobile n'utilise pas de cookies ; elle recourt au stockage local du système (session, préférences, cache hors ligne). La PWA utilise le localStorageet un Service Worker strictement nécessaires au fonctionnement. Le site vitrine n'intègre aucun outil d'analyse d'audience tiers et ne dépose aucun traceur publicitaire.

Des mesures techniques et organisationnelles adaptées au risque (article 32 du RGPD) sont mises en œuvre : authentification centralisée (mots de passe hachés via bcrypt, jetons JWT), chiffrement en transit (TLS) et au repos (AES-256), Row Level Security sur l'ensemble des tables contenant des données personnelles, sauvegardes quotidiennes et hébergement en Union européenne. Toute violation présentant un risque sera notifiée à la CNIL dans les 72 heures.

Le Service est destiné à un public strictement majeur. La date de naissance est obligatoire à l'inscription et une vérification automatique de la majorité (âge ≥ 18 ans) est effectuée. Tout compte établi comme appartenant à un mineur est clôturé sans délai. L'abus d'alcool est dangereux pour la santé, à consommer avec modération.

Les informations exposées publiquement aux autres utilisateurs se limitent au pseudonyme, à l'avatar, au total de XP et aux badges obtenus. L'email, le numéro de téléphone, la date de naissance, le nom, le prénom, l'historique d'achats, le cashback et les coupons ne sont jamais exposés. Tout utilisateur peut demander à être exclu des classements publics en écrivant à support@ipdev.lu.

La présente politique peut être modifiée pour refléter les évolutions du Service ou des obligations légales ; toute modification substantielle est notifiée via l'Application et/ou par email. Elle est soumise au droit français, sous réserve des règles impératives applicables aux consommateurs.