1. Responsable du traitement
SAS Jalimani (sigle JLMN), SIREN 833 142 631, dont le siège est en Normandie, France, traite les données personnelles via le service QronoPlay (qronoplay.fr).
Contact : [email protected]
DPO désigné : [email protected]
2. Finalités et bases légales
| Finalité | Base légale | Durée |
|---|---|---|
| Création de compte, gestion abonnement | Exécution du contrat (art. 6.1.b RGPD) | Durée contrat + 3 ans |
| Gestion des participations aux jeux | Exécution du contrat (art. 6.1.b) — recommandation CNIL IS001 | 6 mois après remise du lot pour les gagnants ; suppression dès tirage final pour les non-gagnants |
| Lutte contre la fraude, sécurité | Intérêt légitime (art. 6.1.f) | 12 mois (logs) |
| Prospection B2B sur adresses pro génériques | Intérêt légitime (art. 6.1.f) | 3 ans après dernier contact |
| Envoi de newsletter | Consentement (art. 6.1.a) | Jusqu'à désinscription, puis suppression automatique 30 jours après |
| Audience CRM marque (contacts opt-in marketing collectés via jeux) | Consentement (art. 6.1.a) | Suppression automatique 30 jours après désinscription ; anonymisation après 3 ans sans engagement |
| Inscription démo, prospects qualifiés | Consentement (art. 6.1.a) | Suppression / anonymisation 30 jours après fin de la période d'essai (J30+24h) |
| Obligations comptables et fiscales | Obligation légale (art. 6.1.c) | 10 ans |
3. Destinataires des données
Les données sont accessibles aux services internes de SAS Jalimani et à nos sous-traitants contractuellement encadrés :
- OVH SAS (hébergement serveurs, France) — 2 rue Kellermann 59100 Roubaix
- Resend, Inc. (envoi emails transactionnels) — États-Unis
- Mollie B.V. (traitement paiements) — Keizersgracht 313, 1016 EE Amsterdam, Pays-Bas
- Stripe Payments Europe (traitement paiements) — 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlande
4. Liste de nos sous-traitants (art. 28 RGPD)
Conformément à l'article 28 du RGPD, voici la liste exhaustive de nos sous-traitants. Nous nous engageons à notifier toute modification 30 jours avant son entrée en vigueur.
| Sous-traitant | Service | Pays | Données traitées | Garanties |
|---|---|---|---|---|
| OVH SAS | Hébergement | France 🇫🇷 | Toutes (base de données + stockage) | Hébergement UE — Roubaix / Strasbourg |
| Mollie B.V. | Paiement | Pays-Bas 🇳🇱 | Email + données de paiement | DPA + conformité RGPD stricte |
| Resend Inc. | Emails transactionnels | États-Unis 🇺🇸 ⚠️ | Email + nom + contenu des emails | CCT + TIA (Clauses Contractuelles Types 2021 + Transfer Impact Assessment) |
| Sentry.io | Monitoring des erreurs | États-Unis 🇺🇸 ⚠️ | Stack traces (anonymisées) | CCT + TIA + configuration IP scrubbing |
| Cloudflare Inc. | CDN + WAF | États-Unis 🇺🇸 ⚠️ | IP + en-têtes HTTP | CCT + TIA + résidence données UE optionnelle |
| Trustpilot A/S | Avis clients | Danemark 🇩🇰 | Email + avis | Conformité RGPD stricte UE |
| Google LLC (reCAPTCHA) | Anti-bot | États-Unis 🇺🇸 ⚠️ | IP + comportement | CCT + TIA (alternative hCaptcha à l'étude) |
⚠️ Les sous-traitants américains font l'objet de garanties spécifiques décrites à la section 5 ci-après.
5. Transferts hors UE
Les données sont hébergées exclusivement en France (OVH Roubaix). Pour les sous-traitants américains marqués ⚠️, nous appliquons les Clauses Contractuelles Types (Standard Contractual Clauses 2021) approuvées par la Commission européenne, accompagnées d'une Transfer Impact Assessment conforme à l'arrêt Schrems II (C-311/18). Ces mesures garantissent un niveau de protection équivalent à celui exigé par le RGPD.
6. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants : accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement, définition des directives post-mortem.
Exercice : [email protected] ou courrier postal SAS Jalimani, Normandie, France.
Délai de réponse : 1 mois (prolongé de 2 mois si demande complexe).
Réclamation CNIL : www.cnil.fr
Pour révoquer votre consentement marketing partenaire, utilisez le lien « Se désinscrire » présent dans chaque email reçu, ou contactez le DPO.
7. Cookies
Le site utilise des cookies strictement nécessaires (sessions, sécurité) sans consentement préalable. Des cookies tiers (mesure d'audience, marketing) sont déposés uniquement après consentement explicite via le gestionnaire tarteaucitron. Aucun cookie publicitaire. Durée : 13 mois max.
8. Sécurité
Chiffrement TLS en transit, base de données chiffrée au repos, sauvegarde quotidienne, MFA pour les accès admin, isolation des environnements.
9. Clients B2B — Sous-traitance (art. 28 RGPD)
Lorsque vous utilisez QronoPlay pour collecter et traiter les données de vos propres joueurs, QronoPlay agit en tant que sous-traitant et vous êtes le responsable de traitement. Un contrat de sous-traitance (Data Processing Agreement) standard conforme à l'article 28 RGPD est disponible sur qronoplay.fr/dpa.
10. Modifications
Cette politique peut évoluer. Toute modification substantielle sera notifiée par email aux comptes actifs 30 jours avant application.