Politique de confidentialité
Dernière mise à jour : 2 mai 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le site www.pokeitem.fr et l'application PokéItem est :
PokéItem
Email DPO : contact@pokeitem.fr
2. Données collectées
Selon les services utilisés, les données suivantes peuvent être collectées :
| Données | Source | Obligatoire |
|---|---|---|
| Adresse email | Inscription compte | Oui |
| Mot de passe (hashé) | Inscription compte | Oui |
| Pseudo / nom d'utilisateur | Inscription compte | Oui |
| Photo de profil | Profil utilisateur | Non |
| Données de collection (cartes) | Utilisation app | Non |
| Prix d'achat renseignés | Utilisation app | Non |
| État / grade des cartes | Utilisation app | Non |
| Données de paiement | Abonnement Pro (via Stripe) | Non |
| Adresse IP, navigateur | Navigation automatique | Non |
| Données d'usage (pages visitées) | Analytics anonymes | Non |
| Code de parrainage | Parrainage | Non |
| Identifiant de transaction in-app | Abonnement iOS/Android (via RevenueCat) | Non |
| Photos de cartes (scan IA) | Fonctionnalité de scan de l'app | Non |
| Identifiant publicitaire Android (AD_ID) | SDK Facebook — mesure des campagnes Meta Ads | Non |
Note Stripe : Les données de paiement (numéro de carte, etc.) ne sont jamais stockées par PokéItem. Elles sont traitées exclusivement par Stripe, prestataire de paiement certifié PCI DSS. PokéItem conserve uniquement l'identifiant de transaction, le statut de l'abonnement et les dates de facturation.
PokéItem ne collecte jamais de données sensibles au sens du RGPD (données de santé, origines ethniques, opinions politiques, etc.).
3. Finalités du traitement
Les données personnelles sont traitées pour les finalités suivantes :
- →Création et gestion des comptes utilisateurs
- →Fourniture du Service (gestion de collection, estimations de prix)
- →Gestion de l'abonnement Pro et de la facturation
- →Envoi d'emails transactionnels (confirmation, rappel de renouvellement)
- →Amélioration du Service (analytics anonymes)
- →Mesure des campagnes publicitaires d'acquisition (Meta Ads — Facebook, Instagram) via l'AD_ID Android — aucune publicité affichée dans l'app
- →Respect des obligations légales (conservation comptable)
4. Base légale du traitement
| Finalité | Base légale |
|---|---|
| Gestion du compte et du Service | Exécution du contrat (Art. 6.1.b RGPD) |
| Facturation et abonnement | Exécution du contrat (Art. 6.1.b RGPD) |
| Obligations comptables | Obligation légale (Art. 6.1.c RGPD) |
| Analytics anonymes | Intérêt légitime (Art. 6.1.f RGPD) |
| Emails marketing (si applicable) | Consentement (Art. 6.1.a RGPD) |
5. Durée de conservation
| Données | Durée |
|---|---|
| Compte utilisateur actif | Durée de vie du compte |
| Données de compte après suppression | 30 jours (purge définitive) |
| Données de facturation | 10 ans (obligation légale) |
| Logs de connexion | 12 mois |
| Données analytics anonymes | 26 mois |
6. Destinataires des données
Les données personnelles des utilisateurs sont traitées par U'GO SERVICES (PokéItem) et ses sous-traitants techniques :
- →Vercel Inc. (États-Unis) — hébergement du site et de l'application web
- →Neon Inc. (États-Unis — données stockées en zone eu-central-1, Allemagne) — base de données PostgreSQL hébergée en Europe
- →Brevo SA (France) — envoi des emails transactionnels (confirmation d'inscription, rappel de renouvellement d'abonnement)
- →Stripe, Inc. (États-Unis / Irlande) — traitement des transactions web (abonnement Premium via le site)
- →Apple Inc. (États-Unis) — authentification via « Sign in with Apple ». Si l'utilisateur active l'option « Masquer mon adresse e-mail », PokéItem reçoit uniquement l'adresse de relais privé Apple (@privaterelay.appleid.com) ; l'adresse réelle reste confidentielle côté Apple.
- →Google LLC (États-Unis) — authentification via « Sign in with Google » (OAuth 2.0). Seuls l'identifiant Google, l'adresse email et la photo de profil sont transmis à PokéItem lors de la connexion.
- →Meta Platforms Ireland Ltd. (Union européenne — Irlande) — mesure et attribution des campagnes publicitaires (Meta Ads / Facebook Ads). Le SDK Facebook embarqué dans l'application mobile lit l'identifiant publicitaire Android (AD_ID) au lancement et le partage avec Meta pour mesurer les performances des campagnes d'acquisition (attribution install ↔ clic publicitaire) et la prévention des fraudes. L'AD_ID est anonyme, reset-able à tout moment dans les paramètres Android (Confidentialité → Annonces → Supprimer l'identifiant publicitaire). Aucune publicité n'est affichée à l'intérieur de l'application.
- →RevenueCat, Inc. (États-Unis) — gestion technique des abonnements in-app iOS et Android (validation des reçus Apple App Store et Google Play, suivi du statut d'abonnement). Données partagées avec RevenueCat : appUserID anonyme, identifiant appareil, événements d'achat, reçus Apple/Google. Les informations bancaires ne sont jamais transmises à RevenueCat.
- →Anthropic, PBC (États-Unis) — identification de cartes Pokémon TCG par IA (fonctionnalité de scan). Lorsqu'un utilisateur scanne une carte via l'app, la photo capturée est transmise à l'API Claude (Anthropic) pour reconnaissance de la carte. Seule l'image est envoyée : aucun identifiant utilisateur, email ou nom n'est inclus dans la requête. La photo n'est pas stockée par PokéItem une fois le résultat d'identification retourné. Conformément aux conditions d'utilisation de l'API Anthropic, les données transmises via l'API ne sont pas utilisées pour entraîner les modèles, et ne sont conservées que jusqu'à 30 jours à des fins de sûreté (trust & safety), puis supprimées.
Sessions et authentification : La gestion des sessions est assurée par NextAuth.js v4 (open source, auto-hébergé — aucun transfert de données vers un tiers). Les sessions sont sécurisées par tokens JWT, valides 30 jours et renouvelés automatiquement.
PokéItem ne vend, ne loue ni ne cède les données personnelles de ses utilisateurs à des tiers à des fins commerciales.
7. Transferts hors Union européenne
Les services suivants impliquent un transfert de données vers les États-Unis :
| Prestataire | Usage | Garantie |
|---|---|---|
| Vercel Inc. | Hébergement | CCT (décision 2021/914) |
| Neon Inc. | Base de données (données stockées en EU) | CCT (décision 2021/914) |
| Stripe, Inc. | Paiement web | CCT + DPF |
| Apple Inc. | Paiement iOS, Sign in with Apple, App Store | DPF (certifié juillet 2023) |
| Google LLC | Sign in with Google (OAuth) | DPF (certifié juillet 2023) |
| RevenueCat, Inc. | Gestion abonnements in-app (iOS + Android) | CCT (décision 2021/914) |
| Anthropic, PBC | Identification IA des cartes (scan) | CCT (décision 2021/914) |
Les Clauses Contractuelles Types (CCT) sont approuvées par la Commission européenne (décision 2021/914). Le Data Privacy Framework (DPF) UE-États-Unis garantit un niveau de protection adéquat conformément au RGPD.
Brevo SA est une société française (siège à Paris) : aucun transfert hors UE pour ce service.
Meta Platforms Ireland Ltd. est établie en Irlande (UE) : aucun transfert hors UE pour ce service.
NextAuth.js est auto-hébergé : aucun transfert de données vers un tiers.
8. Vos droits (RGPD)
Conformément au Règlement (UE) 2016/679 (RGPD), vous disposez des droits suivants sur vos données personnelles :
- →Droit d'accès — obtenir une copie de vos données
- →Droit de rectification — corriger des données inexactes
- →Droit à l'effacement — demander la suppression de vos données
- →Droit à la portabilité — recevoir vos données dans un format structuré
- →Droit d'opposition — vous opposer à certains traitements
- →Droit à la limitation — restreindre temporairement un traitement
- →Droit de retirer votre consentement à tout moment
Pour exercer ces droits, contactez-nous à contact@pokeitem.fr. Nous nous engageons à répondre dans un délai d'un mois.
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.
9. Cookies et traceurs
Le site www.pokeitem.fr utilise :
| Outil / Cookie | Finalité | Consentement requis |
|---|---|---|
| Cookies techniques | Fonctionnement du site, session utilisateur | Non |
| Cookies d'authentification (JWT) | Maintien de la session utilisateur connectée | Non (nécessaire au Service) |
| Google Tag Manager (GTM) | Chargement conditionnel des outils analytics — actif uniquement après consentement | Oui (via bannière de cookies) |
| Google Analytics 4 (GA4) | Statistiques de fréquentation anonymisées (via GTM) | Oui (via bannière de cookies) |
| Meta Pixel | Analytics publicitaires — en préparation, non encore actif | Oui (lors de l'activation) |
| TikTok Pixel | Analytics publicitaires — en préparation, non encore actif | Oui (lors de l'activation) |
Google Tag Manager (GTM) est actif sur www.pokeitem.fr. Il n'est chargé qu'après votre consentement explicite via la bannière de cookies. En cas de refus, aucun script analytics n'est exécuté. Vous pouvez modifier votre choix à tout moment via le lien "Gérer les cookies" en bas de page.
Les outils Meta Pixel et TikTok Pixel ne sont pas encore actifs et seront soumis à votre consentement lors de leur activation. Vous pouvez configurer votre navigateur pour refuser les cookies, ce qui peut affecter certaines fonctionnalités du Service.
10. Sécurité des données
PokéItem met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, perte, altération ou divulgation, notamment :
- →Chiffrement des communications (HTTPS/TLS)
- →Hashage sécurisé des mots de passe (bcrypt)
- →Accès aux données restreint aux personnels autorisés
- →Hébergement sur infrastructure certifiée (Vercel)
En cas de violation de données susceptible d'engendrer un risque pour vos droits, vous en serez informé dans les meilleurs délais, conformément à l'article 34 du RGPD.
11. Modifications de la politique
PokéItem se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour se conformer aux évolutions réglementaires. Les modifications substantielles seront notifiées aux utilisateurs par email ou via le Service.
La version en vigueur est celle publiée sur cette page, avec la date de dernière mise à jour en haut de page.
Pour toute question : contact@pokeitem.fr