Politique de confidentialité

2.1 Données d'identité et de contact

• Pseudo, nom, prénom (création de compte ou commande)
• Email, téléphone (commande, contact)
• Adresse postale (livraison, facturation)
• Date de naissance (uniquement si tu remplis le quiz Oracle)

2.2 Données de commande et paiement

• Numéros de commande, produits achetés, montants
• Données bancaires : jamais collectées ni stockées par nous. Le paiement est entièrement traité par Shopify Payments et ses prestataires (Stripe, etc.) en PCI DSS Level 1.

2.3 Données de jeu (univers numérique Moodbox)

• Solde MoodCoins (MC) et points d'expérience (XP), niveau, badges, cosmétiques
• Cartes scannées dans la MoodyDex, quêtes complétées dans l'Arène, quizzes répondus
• Configuration du Sanctuaire 3D (objets placés, décoration)
• Activité MoodClub : guildes, messages publics, fil d'actu
• Échanges et enchères à l'Hôtel des Ventes
• Réponses au quiz émotionnel Oracle (16 facteurs psychologiques)

2.4 Données techniques et d'usage

• Adresse IP, type de navigateur, OS, taille d'écran
• Pages visitées, temps passé, parcours (analytics)
• Identifiant de session anonyme (cookie technique)

3.1 Exécution du contrat de vente (Art. 6.1.b RGPD)

• Traiter et livrer ta commande Moodbox (précommande Série 1)
• Gérer ton compte client et ton Sanctuaire numérique
• Te contacter à propos de ta commande (mises à jour, livraison)
• Gérer le service après-vente et les remboursements

3.2 Intérêt légitime (Art. 6.1.f RGPD)

• Sécuriser le site (anti-fraude, anti-bot, protection des comptes)
• Améliorer nos services (analytics anonymisées agrégées)
• Modérer les contenus publics (MoodClub, fil d'actu)

3.3 Consentement (Art. 6.1.a RGPD)

• Newsletter et emails marketing (révocable à tout moment)
• Cookies non essentiels (analytics, pixels Meta/TikTok) — bannière cookie au premier accès
• Quiz Oracle (collecte de données psychologiques optionnelle)

3.4 Obligations légales (Art. 6.1.c RGPD)

• Conservation des factures (10 ans, art. 60 du Code TVA belge)
• Coopération avec les autorités en cas de demande légale motivée

Nous partageons certaines données avec des sous-traitants liés par contrat conforme RGPD (Article 28). Aucune donnée n'est vendue à des tiers.

4.1 Hébergement et infrastructure

• Shopify Inc. (Canada) — boutique e-commerce, paiements, base de données commandes — DPA signé, certifications SOC 2 / PCI DSS
• Cloudflare Inc. (USA) — déploiement frontend Hydrogen via Cloudflare Workers (Oxygen), CDN — DPA signé, conforme aux clauses contractuelles types UE
• Hetzner Online GmbH (Allemagne) — serveur dédié hébergeant la base PostgreSQL des données de jeu (Sanctuaire, MC, XP, MoodyDex). Localisation EU exclusivement.

4.2 Paiement

• Shopify Payments / Stripe — traitement carte bancaire et Apple/Google Pay (PCI DSS L1)

4.3 Communication

• Crisp Chat (France) — live chat support — RGPD natif, données EU
• Shopify Email — emails transactionnels et newsletter (avec consentement)

4.4 Analytics et marketing (uniquement avec ton consentement)

• Shopify Analytics — statistiques anonymisées
• Meta (Facebook) Pixel et TikTok Pixel — mesure conversion publicitaire (peut être désactivé via la bannière cookies)

4.5 Logistique

• Transporteurs (Bpost, Mondial Relay, Colissimo, DHL) — adresse de livraison uniquement

• Compte actif : aussi longtemps que le compte reste actif (pas de connexion pendant 3 ans = compte considéré inactif et anonymisé)
• Factures et commandes : 10 ans (obligation légale comptable belge)
• Données de jeu (Sanctuaire, MC, XP) : tant que le compte est actif, supprimées sur demande de suppression de compte
• Logs serveur et analytics : 13 mois maximum
• Email marketing : jusqu'à désinscription
• Cookies non essentiels : 13 mois maximum

Nous mettons en œuvre des mesures techniques et organisationnelles :

• Chiffrement TLS 1.3 (HTTPS) pour toutes les communications
• Mots de passe hachés avec bcrypt (jamais stockés en clair)
• Authentification 2FA disponible sur compte client Shopify
• Sauvegardes régulières de la base PostgreSQL (Hetzner)
• Pare-feu, anti-DDoS Cloudflare
• Accès restreint aux données par les seuls administrateurs habilités

En cas de violation de données, nous notifierons l'Autorité de protection des données dans les 72 h conformément à l'Article 33 RGPD, et les utilisateurs concernés sans délai si un risque élevé est identifié (Art. 34).

Nous utilisons des cookies pour faire fonctionner le site et améliorer ton expérience. Détails complets : Politique des Cookies.

Le service est accessible à partir de 16 ans (seuil RGPD belge). En dessous, le consentement parental est requis pour la création d'un compte. Les achats sont réservés aux majeurs (18 ans) ou avec l'accord du représentant légal.

Cette politique peut évoluer. Toute modification substantielle fera l'objet d'une notification par email aux utilisateurs inscrits ou d'une bannière sur le site.