Politique de confidentialité — BetScout
À faire valider par un avocat / DPO avant publication finale.
Version 1.1 — Dernière mise à jour : 15 mai 2026
1. Responsable de traitement
L'éditeur de l'application BetScout (voir MentionsLegales.md) est responsable du traitement de vos données personnelles au sens du Règlement (UE) 2016/679 (« RGPD ») et de la loi Informatique et Libertés du 6 janvier 1978 modifiée.
Contact : contact@betscoutonline.com
BetScout n'a pas désigné de Délégué à la Protection des Données (DPO), la désignation n'étant pas obligatoire au regard de l'activité (pas de surveillance régulière à grande échelle, pas de catégories particulières de données au sens de l'art. 9 RGPD).
2. Données collectées
À l'inscription
- Email — identifiant de connexion et notifications.
- Pseudo (3-20 caractères alphanumériques) — affichage in-app.
- Mot de passe — haché bcrypt (12 rounds), jamais lisible par l'éditeur.
- device_id (Android Build ID) — anti-création multi-comptes plan Free.
À l'usage
- Bankroll (montant € optionnel) — pour le calcul Kelly.
- Langue préférée (
frouen). - Paris enregistrés (libellé match, ligue, issue, cote, mise, résultat).
- Feedback (messages envoyés via le formulaire de retour).
- Compteur quotidien d'analyses — application du quota.
- Refresh token (haché SHA-256) — sessions persistantes.
Données traitées par Stripe (et non par BetScout)
- Informations de paiement (carte, IBAN).
- Adresse de facturation.
- BetScout ne conserve que
stripe_customer_idetstripe_subscription_id(identifiants opaques).
Aucune donnée sensible
- Aucune donnée bancaire stockée par BetScout.
- Aucun nom, prénom, adresse postale.
- Aucune donnée de localisation.
- Aucune donnée biométrique, de santé, ou catégorie particulière (art. 9 RGPD).
- Aucun tracking publicitaire ni cookie tiers.
3. Bases légales (RGPD art. 6) et finalités
| Donnée | Finalité | Base légale | Durée |
|---|---|---|---|
| Email, pseudo, password hash | Création et gestion du compte | Exécution du contrat (art. 6.1.b) | Durée de vie du compte |
| Bankroll, paris | Service d'analyse statistique | Exécution du contrat | Durée de vie du compte |
| device_id | Prévention fraude / multi-comptes | Intérêt légitime (art. 6.1.f) | Durée de vie du compte |
| Refresh token haché | Sécurité sessions | Exécution du contrat | 7 jours glissants |
| Email verification token | Vérification email | Exécution du contrat | 24 heures |
| Reset password token | Sécurité du compte | Exécution du contrat | 1 heure |
| Logs d'erreur (Sentry) | Diagnostic, sécurité | Intérêt légitime | 30 jours |
stripe_customer_id | Gestion abonnement | Exécution du contrat | 10 ans (obligation comptable) |
accepted_cgu_at, cgu_version | Preuve consentement CGU | Obligation légale (art. 6.1.c) | 5 ans après suppression |
4. Vos droits RGPD
Vous disposez à tout moment des droits suivants :
| Droit | Comment l'exercer | Délai de réponse |
|---|---|---|
| Accès / portabilité | Réglages → « Exporter mes données » (route GET /users/me/export, JSON) | Immédiat |
| Rectification | Réglages → modifier email, pseudo, bankroll, langue | Immédiat |
| Effacement | Réglages → « Supprimer le compte ». Cascade DELETE de toutes les données associées | Immédiat |
| Opposition / limitation | Email à contact@betscoutonline.com | 1 mois |
| Retrait du consentement | Email à contact@betscoutonline.com | 1 mois |
| Définir le sort post-mortem | Email à contact@betscoutonline.com | — |
Aucun profilage automatisé au sens de l'article 22 RGPD : les analyses statistiques produites sont consultatives et ne déclenchent aucune décision juridique automatique à votre encontre.
Vous pouvez introduire une réclamation auprès de la CNIL :
- Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
- Site : https://www.cnil.fr/fr/plaintes
- Téléphone : 01 53 73 22 22
5. Conservation et suppression
- Compte actif : tant que le compte existe.
- Compte inactif : email d'avertissement après 24 mois sans connexion, suppression automatique 30 jours plus tard.
- Compte supprimé : effacement immédiat via cascade DELETE (paris, feedback, tokens). Email + pseudo effacés.
- Données conservées après suppression :
stripe_customer_idconservé par Stripe (obligations comptables), preuves d'acceptation CGU conservées 5 ans à fin probatoire. - Logs Sentry : purge automatique à 30 jours.
6. Sous-traitants (RGPD art. 28)
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL | Singapour | DPA signé, CCT Commission UE |
| Railway Corporation | Hébergement backend Node.js | États-Unis | DPA, CCT |
| Stripe Payments Europe | Paiements et facturation | Irlande (UE) + USA | DPA, PCI-DSS, CCT |
| Resend Inc. | Emails transactionnels | États-Unis | DPA, CCT |
| Functional Software (Sentry) | Monitoring erreurs | États-Unis | DPA, CCT, anonymisation IP activée |
| Google LLC (Play Integrity) | Vérification anti-fraude device | États-Unis | DPA, CCT |
| Football-Data.org | Données sportives publiques | Royaume-Uni | Aucune PII transmise (décision d'adéquation UE-UK 2021) |
| Expo Push Notifications | Notifications mobiles | États-Unis | DPA, CCT |
Les transferts hors UE reposent sur les Clauses Contractuelles Types adoptées par la Commission Européenne (décision 2021/914 du 4 juin 2021) et, le cas échéant, sur le cadre Data Privacy Framework UE-USA.
7. Sécurité
- Communications chiffrées HTTPS / TLS 1.3.
- Mots de passe hachés bcrypt (12 rounds, salt unique).
- Tokens d'authentification stockés côté mobile dans
expo-secure-store(Android Keystore matériel). - Refresh tokens hachés SHA-256 côté serveur.
- Vérification d'intégrité du device via Google Play Integrity API (nonce unique par requête).
- Validation stricte des entrées (
zod) côté backend, RLS activé sur toutes les tables Supabase. - Sentry configuré avec
sendDefaultPii: false(anonymisation IP).
8. Cookies et traceurs
L'application mobile n'utilise aucun cookie publicitaire ni traceur tiers. Le site web betscoutonline.com (vitrine + documents légaux) n'utilise que les cookies strictement nécessaires (session, préférences) ; pas de Google Analytics, pas de Meta Pixel.
9. Mineurs
L'Application est strictement réservée aux personnes majeures (18 ans ou plus). Aucune donnée d'utilisateur de moins de 18 ans n'est collectée volontairement. Si nous apprenons qu'un compte est détenu par un mineur, il est supprimé immédiatement.
10. Modification de la présente politique
La présente Politique peut être modifiée. La date de dernière mise à jour est indiquée en tête. Les modifications majeures déclenchent une notification in-app et/ou par email avec demande de ré-acceptation.
11. Contact
Pour toute question relative à vos données personnelles ou pour exercer vos droits : contact@betscoutonline.com