Politique de confidentialité

Dernière mise à jour : 3 juin 2026 — Version 1.1

Résumé : BiblioCheck collecte uniquement ce qui est nécessaire au fonctionnement du service (email, pseudonyme, mot de passe, bibliothèque). Aucune publicité ciblée, aucun partage commercial de vos données. Vous pouvez exporter ou supprimer vos données à tout moment depuis votre profil.

1. Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées via BiblioCheck est :

⚠️ Informations à compléter avant mise en production

Nom / Raison sociale : [À compléter]

Adresse : [À compléter]

Email de contact : [À compléter]

Délégué à la Protection des Données (DPD) : Non désigné (seuil non atteint pour une désignation obligatoire) / [À compléter si applicable]

2. Données collectées

BiblioCheck collecte les catégories de données suivantes :

Catégorie	Données	Source	Obligatoire
Compte	Pseudonyme, adresse e-mail, mot de passe (haché bcrypt)	Formulaire d'inscription	Oui
Activité	Bibliothèque personnelle (titres ajoutés, statuts, notes, progression)	Actions de l'utilisateur	Non
Historique	Épisodes marqués comme vus, dates de visionnage	Actions de l'utilisateur	Non
Connexion	Date de dernière connexion, rôle, statut du compte	Automatique	Oui
Navigation	Préférences d'interface (stockage local, non transmises)	Automatique	Non

Données non collectées : adresse IP (non journalisée), données de géolocalisation, données bancaires, données sensibles (Art. 9 RGPD), profils publicitaires.

3. Finalités et bases légales du traitement

Finalité	Base légale (Art. 6 RGPD)	Description
Gestion du compte utilisateur	Exécution du contrat (Art. 6.1.b)	Création, authentification, modification, suppression du compte
Fourniture du service	Exécution du contrat (Art. 6.1.b)	Gestion de la bibliothèque, suivi de progression, recommandations
Sécurité et lutte contre la fraude	Intérêt légitime (Art. 6.1.f)	Limitation du taux de requêtes, détection d'abus
Conformité légale	Obligation légale (Art. 6.1.c)	Conservation des journaux d'accès selon les obligations légales
Amélioration du service	Consentement (Art. 6.1.a)	Mesure d'audience anonymisée (uniquement si activée et après consentement)

4. Durées de conservation

Donnée	Durée de conservation	Motif
Compte utilisateur actif	Durée de l'abonnement / jusqu'à suppression	Nécessaire au service
Compte supprimé (données anonymisées)	Suppression immédiate	Droit à l'effacement
Journaux de connexion	12 mois	Obligation légale (LCEN Art. 6-II)
Données de bibliothèque	Durée du compte + supprimées avec le compte	Nécessaire au service
Consentement aux cookies	13 mois	Recommandation CNIL
Logs serveur Railway	30 jours	Politique Railway

5. Destinataires et transferts hors UE

Vos données ne sont ni vendues, ni louées, ni communiquées à des tiers à des fins commerciales. Les seuls destinataires sont :

Destinataire	Pays	Rôle	Garanties
Railway Corp.	États-Unis	Hébergeur des serveurs (backend, base de données)	Clauses contractuelles types UE (CCT) — Privacy Policy Railway
The Movie Database (TMDB)	États-Unis	Fournisseur des données de contenu (affiches, synopsis, notes) — accès en lecture seule, aucune donnée utilisateur transmise	API publique, pas de transfert de données personnelles
Vercel / Railway (Next.js)	États-Unis	Hébergement du frontend	CCT UE

Les transferts vers les États-Unis sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914/UE), conformément à l'Art. 46 RGPD.

6. Vos droits

Conformément aux Articles 15 à 22 du RGPD, vous disposez des droits suivants concernant vos données personnelles :

Droit	Article RGPD	Comment l'exercer
Droit d'accès	Art. 15	Profil → Télécharger mes données (export JSON)
Droit de rectification	Art. 16	Profil → Modifier mon profil
Droit à l'effacement (« droit à l'oubli »)	Art. 17	Profil → Supprimer mon compte
Droit à la portabilité	Art. 20	Profil → Télécharger mes données (format JSON lisible par machine)
Droit d'opposition	Art. 21	Formulaire de contact
Droit à la limitation du traitement	Art. 18	Formulaire de contact
Droit de retirer le consentement	Art. 7.3	Bannière cookies ou profil

Pour exercer vos droits autrement que via l'interface, contactez-nous via le formulaire de contact. Nous répondrons dans un délai d'un mois (Art. 12.3 RGPD). Une pièce d'identité pourra vous être demandée pour vérifier votre identité.

7. Cookies et traceurs

Identifiant	Type	Finalité	Durée	Consentement requis
token (localStorage)	Nécessaire	Jeton JWT d'authentification — indispensable pour la connexion	Session / 7 jours	Non (base : exécution du contrat)
bibliocheck_cookie_consent (localStorage)	Nécessaire	Mémorisation de vos choix de consentement	13 mois	Non (obligation légale CNIL)
Préférences UI (localStorage)	Fonctionnel	Mémorisation des préférences d'interface	Indéfini (local uniquement)	Oui — révocable

Aucun cookie tiers de traçage, de publicité comportementale ou de mesure d'audience n'est actuellement déposé. Si cela devait changer, vous serez informé et votre consentement sera recueilli préalablement.

Vous pouvez modifier vos préférences à tout moment via la bannière de gestion des cookies (icône en bas de page) ou depuis votre profil.

8. Sécurité des données

BiblioCheck met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données, conformément à l'Art. 32 RGPD :

Chiffrement des mots de passe par algorithme bcrypt (facteur de coût 10)
Authentification par jeton JWT signé (durée limitée à 7 jours)
Communication chiffrée en transit (HTTPS/TLS)
Protection contre les attaques par force brute (rate limiting, express-rate-limit)
En-têtes de sécurité HTTP (Content-Security-Policy, HSTS, X-Frame-Options via Helmet)
Validation et assainissement de toutes les entrées utilisateur (express-validator)
Isolation des environnements de développement et de production

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, vous en serez notifié dans les 72 heures conformément à l'Art. 33-34 RGPD.

9. Mineurs

BiblioCheck est destiné à un public âgé de 15 ans et plus. Nous ne collectons pas sciemment de données personnelles d'enfants de moins de 15 ans sans le consentement préalable du titulaire de l'autorité parentale, conformément à l'Art. 8 RGPD et à la loi Informatique et Libertés (Art. 45).

Si vous avez connaissance qu'un mineur de moins de 15 ans a créé un compte, contactez-nous pour procéder à la suppression immédiate des données.

10. Modifications de la présente politique

La présente politique peut être mise à jour pour refléter des évolutions légales, réglementaires ou fonctionnelles. En cas de modification substantielle, vous serez informé par une notification visible sur le site et/ou par email. La date de dernière mise à jour est indiquée en tête de page.

L'utilisation continue du service après notification vaut acceptation des modifications.

11. Contact et réclamations

Pour toute question relative à la présente politique ou pour exercer vos droits :

Formulaire de contact en ligne
Email : À compléter

Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 Place de Fontenoy, TSA 80715 — 75334 PARIS CEDEX 07.

Mentions légales Conditions d'utilisation Contact