RGPD

Politique de confidentialité

La présente politique décrit la manière dont sont collectées, utilisées et protégées les données personnelles dans le cadre de l'utilisation du bot Discord FuzeFaction et de son panel web associé. Elle est rédigée conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).

1. Responsable du traitement

Compte tenu de la taille de la structure et de la nature des traitements, la nomination d'un délégué à la protection des données (DPO) n'est pas requise. Le responsable du traitement est joignable directement aux coordonnées ci-dessus.

2. Données collectées

2.1 Données issues de Discord

Lors de l'authentification via Discord OAuth2, les informations suivantes sont reçues de l'API Discord et stockées :

  • identifiant utilisateur Discord (snowflake numérique) ;
  • nom d'utilisateur, pseudonyme (nickname) et identifiant à 4 chiffres ;
  • avatar (URL de l'image hébergée par Discord) ;
  • adresse e-mail associée au compte Discord (uniquement lorsque le scope email est demandé) ;
  • liste des serveurs Discord auxquels l'utilisateur appartient (scope guilds) ;
  • jeton d'accès OAuth2 et jeton de rafraîchissement, conservés chiffrés dans le cookie de session.

2.2 Données d'activité

  • journal d'audit (action effectuée, horodatage, identifiant et pseudonyme de l'auteur) ;
  • identifiants des rôles Discord détenus dans le serveur géré ;
  • candidatures soumises via formulaire (réponses textuelles, score IA éventuel, votes des recruteurs) ;
  • déclarations d'absence et planning de disponibilités saisis volontairement ;
  • avertissements internes éventuellement attribués au membre.

2.3 Données techniques

  • adresse IP : utilisée d'une part pour la limitation de débit (traitement éphémère), d'autre part — dans le cadre du module d'intégration décrit au 2.4 — conservée sous forme hachée (jamais en clair) à des fins de sécurité ;
  • en-têtes User-Agent, Origin et Referer à des fins de sécurité (anti-CSRF).

2.4 Module d'intégration et de vérification (dispositif anti-infiltration)

Lorsqu'un membre du staff place une personne en intégration, celle-ci valide une page web de vérification (règlement, politique de confidentialité, conditions d'utilisation) avant de recevoir son grade de base. À l'occasion de cette validation, et à des fins de sécurité et de lutte contre l'infiltration (comptes multiples hostiles, « taupes »), les données suivantes sont collectées :

  • l'adresse IP, immédiatement hachée (jamais conservée en clair) ;
  • l'en-tête User-Agent du navigateur ;
  • une empreinte technique d'appareil (fingerprint) composite, dérivée de caractéristiques du navigateur et du matériel (User-Agent, langues, résolution et densité d'écran, fuseau horaire, nombre de cœurs logiques, rendu canvas/WebGL léger). Cette empreinte est transmise brute puis hachée côté serveur ; le hachage est poivré par serveur (HMAC), de sorte qu'il est déterministe au sein d'un même serveur (corrélation des comptes secondaires d'une même personne) mais non comparable d'un serveur à l'autre ;
  • une preuve de consentement durable pour chaque document accepté (type, version, empreinte du contenu, horodatage).

Ces données de sécurité ne sont accessibles qu'aux membres du staff habilités (droits appropriés) et ne sont jamais présentées à la personne concernée elle-même ni à un autre serveur. Le détail des bases légales figure à la section 4 et les durées de conservation à la section 7.

3. Finalités du traitement

  • permettre l'authentification sur le panel web via Discord OAuth2 ;
  • assurer la gestion opérationnelle de la faction (effectif, recrutement, planning, sanctions internes) ;
  • conserver une traçabilité administrative (journal d'audit) à des fins de sécurité et de transparence ;
  • analyser automatiquement les candidatures soumises via l'API Gemini de Google, lorsque cette option est activée par les administrateurs ;
  • assurer la vérification et l'intégration sécurisée des nouveaux membres et prévenir l'infiltration par des comptes multiples ou hostiles (dispositif décrit au 2.4) ;
  • conserver la preuve de l'acceptation des documents légaux (règlement, confidentialité, conditions) présentés lors de l'intégration ;
  • prévenir les abus et appliquer le règlement interne de la faction.

4. Base légale

Les traitements reposent sur les bases légales suivantes au sens de l'article 6 du RGPD. Ces bases sont découplées : l'acceptation des documents légaux ne vaut pas consentement à la collecte de sécurité, et le traitement de sécurité fondé sur l'intérêt légitime ne conditionne pas l'adhésion (art. 7.4 du RGPD).

  • Intérêt légitime (art. 6.1.f) : gestion de la communauté Discord, modération interne et, en particulier, sécurité du dispositif d'intégration et lutte contre l'infiltration (collecte et conservation de l'empreinte d'appareil, de l'adresse IP hachée et du User-Agent, décrites au 2.4). Ce traitement repose sur l'intérêt légitime de la communauté à se protéger contre les comptes hostiles et multiples ; il a fait l'objet d'une mise en balance avec les droits et libertés des personnes concernées et n'est pas subordonné au consentement. Un droit d'opposition est ouvert (section 8).
  • Consentement (art. 6.1.a) : authentification OAuth2 explicite ; acceptation expresse, horodatée et versionnée des documents légaux (règlement, politique de confidentialité, conditions d'utilisation) au moment de l'intégration ; soumission volontaire d'un formulaire de candidature. Ce consentement peut être retiré à tout moment (section 8), sans effet rétroactif.
  • Exécution d'un contrat (art. 6.1.b) : application du règlement interne accepté lors de l'adhésion à la faction.

5. Destinataires des données

  • L'éditeur du site et les administrateurs / hauts gradés de la faction, pour l'application du règlement ;
  • Discord Inc. (San Francisco, États-Unis), plateforme tierce nécessaire au fonctionnement du bot ;
  • Hetzner Online GmbH (Allemagne), hébergeur technique du panel et de la base de données ;
  • Google LLC / Google Ireland Ltd, dans le cadre des appels à l'API Gemini pour le scoring automatique des candidatures ;
  • Paladium Games, lorsqu'un identifiant de joueur est volontairement transmis à l'API publique du serveur de jeu.

6. Transferts hors Union européenne

Certains sous-traitants (Discord, Google) sont établis aux États-Unis. Les transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne et, le cas échéant, par les certifications au Data Privacy Framework. L'hébergeur principal Hetzner est situé en Allemagne, donc dans l'Espace économique européen.

7. Durées de conservation

Les durées de conservation prolongées applicables aux données de sécurité et aux preuves de consentement sont déterminées par l'exploitant de chaque serveur, en fonction de la persistance du risque d'infiltration. Elles demeurent soumises au principe de minimisation et de proportionnalité (art. 5.1.e du RGPD), font l'objet d'un réexamen périodique et ne font pas obstacle à l'exercice du droit à l'effacement décrit à la section 8.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :

  • droit d'accès à vos données personnelles ;
  • droit de rectification de données inexactes ;
  • droit à l'effacement (« droit à l'oubli ») ;
  • droit à la limitation du traitement ;
  • droit à la portabilité des données ;
  • droit d'opposition à un traitement fondé sur l'intérêt légitime ;
  • droit de retirer votre consentement à tout moment, lorsque le traitement repose dessus ;
  • droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

Toute demande doit être adressée à contact@fuzefaction.fr. Elle sera traitée dans un délai maximal d'un mois à compter de sa réception, conformément à l'article 12 du RGPD.

9. Cookies

Le site dépose un nombre minimal de cookies, tous strictement nécessaires au fonctionnement du service :

  • next-auth.session-token (ou __Secure-next-auth.session-token en HTTPS) : jeton de session HttpOnly, durée 7 jours, indispensable pour rester connecté ;
  • next-auth.csrf-token : protection contre les attaques CSRF, durée de session ;
  • next-auth.callback-url : mémoire temporaire de l'URL de retour après authentification.

Aucun cookie publicitaire, analytique ou de profilage tiers n'est utilisé. Aucun consentement préalable n'est requis pour ces cookies en application de l'article 82 de la loi Informatique et Libertés.

Le module d'intégration met par ailleurs en œuvre une empreinte technique d'appareil à des seules fins de sécurité (section 2.4) : il ne s'agit ni d'un cookie, ni d'un traceur publicitaire, analytique ou de profilage commercial, mais d'une mesure de lutte contre l'infiltration fondée sur l'intérêt légitime.

10. Sécurité

Les mesures suivantes sont mises en œuvre pour assurer la sécurité des données :

  • chiffrement TLS (HTTPS) sur l'ensemble des communications client-serveur ;
  • jetons d'authentification stockés dans des cookies HttpOnly et SameSite ;
  • limitation de débit (rate limiting) sur les endpoints sensibles ;
  • journal d'audit centralisé permettant la traçabilité des actions administratives ;
  • contrôle d'origine (same-origin) sur les requêtes mutatives pour prévenir les attaques CSRF ;
  • permissions granulaires fondées sur les rôles Discord et le système de modules de la faction.

11. Modifications

La présente politique peut évoluer. Toute modification substantielle sera signalée sur le site et, le cas échéant, communiquée aux utilisateurs authentifiés.