Politique de confidentialité

1. Qui sommes-nous

JDR Ninja est un répertoire collaboratif dédié aux créateurs et ressources de jeux de rôle francophones, exploité par JDR Ninja, travailleur autonome enregistré au Québec, Canada.

Aux fins de la Loi 25 et du RGPD, JDR Ninja agit à titre de responsable du traitement (RGPD) et personne ayant la plus haute autorité au sein de l'entreprise aux fins de la protection des renseignements personnels (Loi 25). Cette même personne est désignée responsable de la protection des renseignements personnels (RPRP).

Coordonnées du RPRP : [email protected]

2. Quelles données nous collectons

2.1 Données collectées automatiquement

Lorsque vous consultez le site, nos serveurs enregistrent automatiquement :

• Votre adresse IP, conservée temporairement dans les journaux d'accès du serveur (14 jours).
• Votre agent utilisateur (type de navigateur, système d'exploitation).
• Les pages consultées, l'horodatage des requêtes, le code de réponse HTTP et la durée de traitement.
• Les témoins essentiels nécessaires au fonctionnement du site (voir section 8).

2.2 Données que vous nous fournissez volontairement

Lorsque vous utilisez le formulaire Contact (pour une question, un problème technique ou pour proposer un créateur), nous collectons :

• Votre nom ou pseudonyme.
• Votre adresse courriel (obligatoire, utilisée uniquement pour vous répondre).
• La catégorie de votre demande et le contenu de votre message.

Ces renseignements ne sont pas conservés dans notre base de données : votre message est transmis directement à notre équipe via un canal privé Discord (Discord Inc., États-Unis), où il peut être conservé le temps de traiter votre demande. En soumettant le formulaire, vous consentez à cette transmission.

2.3 Données de compte Dojo (si vous créez un compte)

Si vous créez un compte public sur le Dojo, nous collectons :

• Votre adresse courriel (obligatoire, utilisée pour l'authentification et les communications liées au compte).
• Votre mot de passe, stocké sous forme de condensé cryptographique irréversible (bcrypt) - nous n'avons pas accès à votre mot de passe en clair.
• Un pseudo public (surnom affiché, entre 3 et 30 caractères, alphanumérique).
• Un nom affiché facultatif.
• La date et l'heure de création du compte.

Si vous choisissez de vous connecter via un fournisseur tiers (Google, Microsoft, Discord, Twitch ou Facebook), ce fournisseur nous transmet votre adresse courriel et votre nom de profil. Aucun autre renseignement provenant du fournisseur n'est stocké. La connexion via fournisseur tiers est entièrement facultative ; vous pouvez toujours créer un compte avec une adresse courriel et un mot de passe.

2.4 Données « Trouver une table »

Si vous publiez une annonce ou postulez à une annonce via la fonctionnalité Trouver une table, nous collectons en plus :

• Le contenu de l'annonce : titre, description courte et longue, système de jeu, langue, disponibilité, niveau d'expérience, format de partie, nombre de places ouvertes.
• Une localisation publique facultative (secteur, ville, région, pays) - destinée à être affichée à tous les visiteurs.
• Une localisation privée facultative (étiquette de lieu, latitude et longitude, identifiant de lieu) - utilisée uniquement pour calculer la distance lors d'une recherche par rayon. Ces champs ne sont jamais affichés publiquement et restent visibles uniquement à vous-même et à l'équipe de modération. Vous pouvez choisir de partager l'adresse précise dans la conversation privée avec un·e candidat·e une fois que vous avez accepté sa candidature. Lorsque vous saisissez une adresse à l'aide de l'autocomplétion Google Places sur le formulaire de création ou de modification d'annonce, votre saisie partielle est transmise aux serveurs de Google LLC (États-Unis) pour proposer des suggestions ; aucune autre page du site ne charge de script Google Places.
• Le contenu des candidatures que vous envoyez (message de présentation, réponses aux questions personnalisées). Ce contenu est visible uniquement par l'organisateur·trice de l'annonce ciblée et par l'équipe de modération.
• Le contenu des messages échangés dans les conversations privées ouvertes suite à une candidature. Visible uniquement par les deux parties et par l'équipe de modération en cas de signalement.
• Les blocages que vous établissez (qui vous avez bloqué et pourquoi).
• Les signalements que vous soumettez (cible, motif, détails facultatifs, empreinte cryptographique de votre adresse IP HMAC-SHA256, agent utilisateur - à des fins d'audit anti-abus).

Les courriels de notification envoyés dans le cadre de cette fonctionnalité (nouvelle candidature, conversation ouverte, nouveau message, candidature non retenue) sont délibérément génériques : ils ne contiennent jamais le titre de l'annonce, le contenu d'un message, vos réponses à une question, ni aucune coordonnée. Vous devez vous connecter sur le site pour consulter les détails.

2.5 Ce que nous ne collectons pas

• Aucune infolettre, donc aucune liste d'envoi marketing.
• Aucune donnée sensible au sens de la Loi 25 (origine ethnique, opinions politiques ou religieuses, orientation sexuelle, données biométriques ou de santé) n'est demandée ni traitée.
• Aucune donnée de paiement : le site n'offre actuellement aucune transaction commerciale.
• Aucune géolocalisation automatique : la localisation d'une annonce n'est saisie qu'à votre demande explicite, et la recherche par rayon n'est activée que si vous fournissez vous-même des coordonnées.

3. Pourquoi nous collectons ces données (finalités)

• Fournir le service : afficher les pages, gérer les sessions des utilisateurs connectés, prévenir les attaques (CSRF, déni de service applicatif).
• Créer et gérer votre compte Dojo : vous permettre de vous inscrire, de vous authentifier (par courriel/mot de passe ou via un fournisseur tiers), de personnaliser votre pseudo et d'accéder aux fonctionnalités réservées aux membres.
• Traiter les propositions de créateurs : examiner, valider et, le cas échéant, publier un profil créateur. Vous contacter par courriel concernant votre proposition.
• Sécurité et anti-abus : détecter et prévenir les soumissions malveillantes, le pourriel, les attaques automatisées. Les journaux d'accès sont consultés ponctuellement en cas d'incident.
• Statistiques d'audience anonymisées (uniquement si vous y consentez via la bannière de témoins) : comprendre comment le site est utilisé pour l'améliorer. Aucune donnée individuelle n'est exploitée à des fins commerciales.
• Conformité légale : conserver les preuves de consentement aux témoins (Loi 25, RGPD) et répondre aux demandes des autorités compétentes lorsque la loi l'exige.

4. Base légale du traitement

Pour les visiteurs situés au Québec et au Canada, nous nous appuyons sur le consentement (Loi 25 art. 12) pour les traitements non strictement nécessaires, et sur la nécessité à l'exécution du service pour les traitements essentiels.

Pour les visiteurs situés dans l'Union européenne, les bases légales du RGPD sont les suivantes :

• Intérêt légitime (art. 6.1.f) : sécurité du site, prévention des abus, journaux d'accès techniques.
• Exécution d'un contrat (art. 6.1.b) : traitement de votre proposition de créateur lorsque vous nous écrivez ; création et gestion de votre compte Dojo.
• Consentement (art. 6.1.a) : témoins d'analytique et de marketing, intégrations vidéo tierces (Twitch, YouTube).
• Obligation légale (art. 6.1.c) : conservation des preuves de consentement.

5. Sous-traitants et partage de vos données

Nous ne vendons, ne louons et n'échangeons pas vos renseignements personnels. Nous faisons cependant appel à des sous-traitants techniques nécessaires au fonctionnement du site :

L'infrastructure d'exécution de l'application (serveur web) est également hébergée au Canada.

Chacun de ces fournisseurs est lié à nous par des engagements contractuels (clauses de sous-traitance ou conditions de service intégrant les obligations légales) garantissant la confidentialité, la sécurité et l'usage limité de vos données aux finalités décrites.

6. Transferts hors du Québec et hors de l'UE

Pour les utilisateurs du Québec et du Canada (Loi 25 art. 17)

Les données collectées dans le cadre du service (base de données, fichiers, journaux) sont stockées et traitées au Canada. Aucun transfert systématique de vos renseignements personnels hors du Québec n'a lieu.

Les exceptions concernent les intégrations tierces que vous activez par votre consentement (Twitch, YouTube, Google Analytics), dont les serveurs sont situés aux États-Unis. En activant ces intégrations via la bannière de témoins, vous consentez à ce transfert. Si vous ne le souhaitez pas, refusez simplement ces catégories de témoins.

Si vous utilisez la connexion via un fournisseur tiers (Google, Microsoft, Discord, Twitch ou Facebook), votre adresse courriel et votre nom de profil transitent par les serveurs de ce fournisseur aux États-Unis, dans le cadre du protocole d'authentification OAuth 2.0. Cette transmission n'a lieu que si vous initiez explicitement la connexion via ce fournisseur ; elle ne se produit pas lors d'une simple consultation du site.

Si vous utilisez le formulaire de contact, les renseignements que vous y saisissez (nom, courriel, message) sont transmis à un canal privé de notre équipe hébergé par Discord Inc. (États-Unis). Cette transmission n'a lieu que lorsque vous soumettez volontairement le formulaire.

Pour les utilisateurs de l'Union européenne (RGPD chap. V)

Les transferts de données vers le Canada sont encadrés par la décision d'adéquation partielle de la Commission européenne du 20 décembre 2001 (Décision 2002/2/CE), qui reconnaît un niveau de protection adéquat pour les organismes commerciaux canadiens. Vos données sont donc protégées par un cadre comparable au RGPD lorsqu'elles sont traitées au Canada.

Pour les transferts vers les États-Unis (Twitch, YouTube, Google Analytics, Discord), nous nous appuyons sur les clauses contractuelles types de la Commission européenne et sur les mesures supplémentaires de chiffrement et de minimisation mises en œuvre par ces fournisseurs.

7. Durées de conservation

Au terme de ces durées, les données sont supprimées ou anonymisées de façon irréversible. Une donnée anonymisée n'est plus considérée comme un renseignement personnel.

8. Témoins (cookies) et traceurs

Nous utilisons des témoins (« cookies ») pour assurer le fonctionnement du site et, sous réserve de votre consentement, pour des mesures d'audience et l'intégration de contenus tiers.

Catégories de témoins

• Témoins essentiels (toujours actifs) : nécessaires au fonctionnement du site. Comprennent le témoin d'authentification (ninja_auth) pour les comptes Dojo et Sanctum, le jeton de protection contre la falsification de requête (.AspNetCore.Antiforgery.*), et le témoin de corrélation OAuth (.AspNetCore.Correlation.*) déposé temporairement lors d'une connexion via fournisseur tiers. Aucun consentement n'est requis pour ces témoins.
• Témoins d'analytique (consentement requis) : mesure d'audience anonymisée si activée. Désactivés par défaut.
• Témoins de contenus tiers (consentement requis) : déposés par Twitch et YouTube lorsque vous chargez un lecteur vidéo intégré. Désactivés par défaut.

Gérer vos préférences

Vous pouvez à tout moment modifier vos choix via la bannière de témoins affichée lors de votre première visite, ou via la page Préférences de témoins. Le retrait du consentement est aussi simple que son octroi.

9. Vos droits

Vous disposez des droits suivants concernant vos renseignements personnels :

• Droit d'accès (Loi 25 art. 27 / RGPD art. 15) : obtenir confirmation que vos données sont traitées et en recevoir une copie.
• Droit de rectification (Loi 25 art. 28 / RGPD art. 16) : faire corriger toute donnée inexacte ou incomplète.
• Droit à l'effacement (Loi 25 art. 28.1 / RGPD art. 17) : demander la suppression de vos données lorsque celles-ci ne sont plus nécessaires.
• Droit à la portabilité (Loi 25 art. 27 al. 3 - en vigueur depuis le 22 septembre 2024 / RGPD art. 20) : recevoir vos données dans un format technique structuré et couramment utilisé.
• Droit au retrait du consentement (Loi 25 art. 14 / RGPD art. 7) : retirer votre consentement à tout moment, aussi facilement que vous l'avez donné.
• Droit à la cessation de la diffusion et à la désindexation (Loi 25 art. 28.1) : demander que vos données ne soient plus diffusées ou que les hyperliens y menant soient désindexés des moteurs de recherche.
• Droit d'opposition (RGPD art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
• Droit de limitation (RGPD art. 18) : demander la suspension du traitement dans certains cas.
• Droit de définir des directives post-mortem (Loi 25 art. 40.1) : indiquer le sort de vos données après votre décès.

Pour exercer l'un de ces droits, écrivez à notre RPRP à [email protected]. Nous vous répondrons dans un délai maximum de 30 jours (Loi 25 art. 32 et RGPD art. 12.3). Une preuve d'identité peut être demandée pour traiter votre demande.

9.1 Suppression de compte en libre-service

Si vous avez un compte Dojo, vous pouvez exercer votre droit à l'effacement directement depuis votre profil, sans avoir à nous écrire :

• Connectez-vous, ouvrez Mon profil et utilisez le bouton « Supprimer mon compte » dans la zone danger.
• Une confirmation est requise (mot de passe actuel ou phrase de confirmation pour les comptes connectés via un fournisseur externe).

La suppression procède par anonymisation irréversible, alternative à la destruction explicitement autorisée par la Loi 25 (art. 23) et le Règlement québécois sur l'anonymisation des renseignements personnels (en vigueur depuis mai 2024), ainsi que par le RGPD (considérant 26).

Ce qui est anonymisé ou supprimé immédiatement :

• Adresse courriel, pseudo, nom affiché, identifiant de profil, numéro de téléphone et fuseau horaire - écrasés par des valeurs non ré-identifiantes.
• Mot de passe (déjà stocké sous forme de condensé cryptographique) - supprimé.
• Connexions avec les fournisseurs externes (Google, Microsoft, Discord, Twitch, Facebook) - supprimées.
• Jetons d'authentification et revendications personnalisées - supprimés.
• Preuves de consentement aux témoins associées à votre compte (incluant l'empreinte cryptographique de votre IP et votre agent utilisateur) - supprimées.

Ce qui est conservé sans lien personnel :

• Les journaux d'audit internes : conservés à des fins de sécurité et de détection d'abus, mais le lien vers votre compte est rompu (champ utilisateur passé à NULL).
• Les fichiers que vous avez téléversés : conservés s'ils sont utilisés par du contenu publié, mais sans lien avec votre identité.
• Les propositions de créateurs que vous avez révisées (si vous étiez membre de l'équipe) : la révision reste enregistrée, le lien vers votre compte est rompu.
• Les articles de blogue publiés sous votre signature d'auteur (le cas échéant) : restent en ligne avec leur nom d'affichage, votre compte n'y étant plus rattaché. Une demande spécifique au RPRP est nécessaire pour anonymiser également la signature publique.

L'opération est irréversible : la ligne de votre compte est conservée en base (avec les champs d'identification écrasés) pour préserver l'intégrité référentielle des données conservées sans lien personnel, conformément à l'art. 23 al. 2 de la Loi 25. Vous pourrez toujours créer un nouveau compte par la suite avec la même adresse courriel.

10. Décisions automatisées

JDR Ninja n'utilise aucune décision automatisée ayant un effet juridique ou un effet significatif sur vous (Loi 25 art. 12.1 / RGPD art. 22). Les créateurs et ressources de l'annuaire sont ajoutés et examinés manuellement par une personne humaine avant publication.

11. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger vos données :

• Communications chiffrées par défaut (HTTPS/TLS sur l'ensemble du site).
• Adresses IP des soumissions stockées sous forme d'empreinte cryptographique salée (et non en clair).
• Accès administrateur limité, protégé par mot de passe complexe (longueur minimale 12 caractères, exigences de complexité) et expiration de session de 8 heures.
• Limitation du débit (rate limiting) sur les formulaires publics pour prévenir les abus.
• Journaux conservés 14 jours uniquement, sur l'infrastructure d'hébergement canadienne.
• Mises à jour de sécurité régulières des composants logiciels.

Conformément à la Loi 25 (art. 3.5) et au RGPD (art. 33-34), nous notifierons sans délai la Commission d'accès à l'information (CAI), la CNIL le cas échéant, ainsi que les personnes concernées en cas d'incident de confidentialité présentant un risque sérieux de préjudice.

12. Mineurs

JDR Ninja s'adresse à un public adulte et adolescent intéressé par les jeux de rôle. Nous ne collectons pas sciemment de renseignements personnels d'enfants de moins de 14 ans (seuil prévu par la Loi 25 art. 4.1) ou de moins de 15 ans (seuil prévu par la loi française d'application du RGPD).

Si vous êtes parent ou tuteur et constatez qu'un mineur de votre responsabilité nous a transmis des renseignements personnels, contactez-nous à [email protected] et nous procéderons à leur suppression.

13. Modifications de cette politique

Cette politique peut être mise à jour pour refléter des changements légaux, techniques ou opérationnels. La date de dernière mise à jour et le numéro de version figurent en tête de cette page.

Lors d'une mise à jour substantielle (nouveau traitement, nouveau sous-traitant, changement de finalité), la bannière de témoins réapparaîtra pour vous permettre de revoir votre consentement.

14. Réclamations auprès des autorités

Si vous estimez que vos droits ne sont pas respectés, vous pouvez d'abord nous écrire à [email protected]. Si notre réponse ne vous satisfait pas, vous pouvez déposer une plainte auprès de l'autorité de protection des données compétente :

• Au Québec : Commission d'accès à l'information (CAI) - 2045, rue Stanley, bureau 900, Montréal (Québec) H3A 2V4.
• En France : Commission nationale de l'informatique et des libertés (CNIL) - 3 place de Fontenoy, 75007 Paris.
• Dans un autre pays de l'Union européenne : auprès de l'autorité nationale de protection des données de votre lieu de résidence (liste sur edpb.europa.eu).

15. Contact du responsable de la protection des renseignements personnels