Politique de confidentialité

Dernière mise à jour : 3 juin 2026

Préambule

Rytual (édité par Regis MENDY Entreprise Individuelle) propose une solution SaaS permettant aux commerçants français d'animer leur point de vente via une roue de la fortune numérique. La présente politique explique comment nous traitons les données personnelles de :

  • les utilisateurs finaux qui jouent à la roue chez un commerçant client,
  • les commerçants souscripteurs de notre service,
  • les visiteurs du site ryturn.fr (prospects, curieux).

Nous nous engageons à la transparence : ce document vise à être lu, pas évité.

1. Responsables de traitement

Deux situations distinctes :

  • Rytual est responsable de traitement pour : le site ryturn.fr, les prospects, les comptes commerçants, la sécurité de la plateforme et la prévention de la fraude.
  • Le commerçant est seul responsable de traitement des données collectées via sa roue auprès de ses propres clients finaux (joueurs) : adresses e-mail opt-in, scores de satisfaction, données de scan et de validation. Rytual agit exclusivement comme sous-traitant au sens de l'art. 28 RGPD pour ces données, et n'en détermine ni les finalités ni les moyens, conformément à l'Accord de Traitement des Données (DPA) signé avec chaque commerçant.

Le DPA signé par chaque commerçant l'engage contractuellement à n'utiliser votre adresse e-mail que pour les finalités limitativement énumérées à son article 2 bis : annonces de nouvelles roues, offres commerciales, actualités du commerce, rappels de récompenses non utilisées. Toute revente à des tiers, prospection pour le compte de tiers, profilage publicitaire ou usage non commercial (politique, religieux, etc.) est expressément interdit sous peine de résiliation immédiate du DPA. Voir le DPA en vigueur.

2. Données collectées et finalités

a) Utilisateurs finaux jouant à la roue

  • Adresse IP : prévention de la fraude (multi-spin abusif).
  • Empreinte technique navigateur (fingerprint) : prévention de la fraude.
  • Capture d'email post-spin (opt-in) : si vous consentez explicitement via une case à cocher non pré-cochée, le commerçant collecte votre adresse e-mail pour vous informer de ses prochaines roues, offres commerciales, actualités et rappels concernant votre cadeau. Désinscription possible à tout moment auprès du commerçant (lien 1 clic ajouté dans chaque message à venir). Base légale : art. 6.1.a RGPD (consentement). Conservation : 3 ans après le dernier contact (CNIL — prospection commerciale).
  • Sondage NPS post-spin : note 1-5 emoji, catégorie de récompense gagnée (gagné petit/gros/perdu) et commentaire libre optionnel. Aucun lien stocké entre cette note et votre identité ou votre scan individuel (anti-réidentification : la table NpsRating ne contient ni identifiant de scan ni e-mail). Fenêtre de soumission : 24h après le tirage. Base légale : art. 6.1.f RGPD (intérêt légitime — amélioration du service).
  • Données techniques du scan : horodatage, identifiant de roue, segment gagné, code secret de validation (secretCode), et — si le commerçant a activé le retrait différé — la date à partir de laquelle le cadeau devient récupérable (pickableAt).

Nous ne stockons pas : le nom du joueur (sauf opt-in explicite), le texte d'avis Google laissé, ni de lien individuel entre un scan et un avis Google publié.

b) Commerçants client admin

  • Email professionnel, mot de passe (haché bcrypt), nom du commerce, adresse, informations de facturation, journal des accès admin.

c) Visiteurs ryturn.fr

  • Données techniques minimales (logs de connexion, cookies strictement nécessaires), formulaire de contact si rempli.

3. Bases légales (art. 6 RGPD)

  • Exécution du contrat (art. 6.1.b) : fourniture du service au commerçant, délivrance de la récompense au joueur.
  • Intérêt légitime (art. 6.1.f) : prévention de la fraude (IP, fingerprint), sécurité de la plateforme.
  • Consentement (art. 6.1.a) : collecte d'email pour communications, opt-in marketing, sondage NPS.
  • Obligation légale (art. 6.1.c) : conservation des données comptables, réponse aux réquisitions.

4. Durées de conservation

DonnéeDurée
Adresse IP des joueurs60 jours (puis hachée SHA256)
Empreinte navigateur (fingerprint)90 jours (puis suppression)
Données de scan (horodatage, segment, secretCode, date de récupération différée le cas échéant)13 mois
Email joueur opt-inTant que l'opt-in n'est pas retiré. Arrêt définitif des envois dès un rejet « hard » (adresse invalide) ou une plainte.
Événements de délivrabilité email (rejets/plaintes)13 mois (empreinte e-mail uniquement, jamais l'adresse en clair)
Compte commerçantPendant toute la durée du contrat, puis archivage légal 3 ans
Journal d'accès admin (AdminAccessLog)12 mois
Jetons d'authentification (AuthToken)72h activation / 1h reset / hash conservé 12 mois pour audit anti-replay, IP/UA effacés à 60j
Données comptables10 ans (art. L.123-22 Code de commerce)
Scores NPS24 mois agrégés

5. Destinataires et sous-traitants

Vos données peuvent être communiquées à :

  • Vercel Inc.

    • Rôle : Hébergement applicatif (plateforme web Next.js, CDN edge, fonctions serverless)
    • Adresse : 440 N Barranca Ave #4133, Covina, CA 91723, États-Unis
    • Pays : USA
    • Garantie de transfert : CCT 2021/914 + DPF si applicable

  • Neon, LLC (affiliée de Databricks, Inc.)

    • Rôle : Hébergement de la base de données (données personnelles des utilisateurs)
    • Adresse : 209 Kearny St, San Francisco, CA 94108, États-Unis
    • Pays : Union européenne — Francfort (région eu-central-1) ; entité contractante aux États-Unis
    • Garantie de transfert : Aucun transfert hors UE pour les données client (région eu-central-1) ; entité Neon Inc. US encadrée par CCT 2021/914 + DPF si applicable

  • Cloudflare, Inc.

    • Rôle : DNS managé + CDN (résolution de noms, protection anti-DDoS)
    • Adresse : 101 Townsend Street, San Francisco, CA 94107, États-Unis
    • Pays : USA
    • Garantie de transfert : CCT 2021/914 + DPF si applicable

Aucune revente de données à des tiers à des fins publicitaires.

6. Transferts hors Union européenne

Certains sous-traitants (Cloudflare, Vercel, GitHub) sont établis aux États-Unis. Les transferts sont encadrés par :

  • les Clauses Contractuelles Types (décision UE 2021/914),
  • le Data Privacy Framework UE-USA lorsque le prestataire y adhère.

7. Droits des personnes (art. 12 à 22 RGPD)

Toute personne dispose des droits suivants :

  • Accès à ses données,
  • Rectification des données inexactes,
  • Effacement (« droit à l'oubli »),
  • Limitation du traitement,
  • Portabilité des données fournies,
  • Opposition au traitement fondé sur l'intérêt légitime,
  • Retrait du consentement à tout moment,
  • Directives post-mortem sur le sort des données.

Exercice des droits : contact@rytual.fr (réponse sous 30 jours max).

Pour les données collectées via la roue d'un commerçant, contactez d'abord ce commerçant (responsable de traitement) ; Rytual relaiera si besoin.

8. Mineurs (article 8 du RGPD)

Le service s'adresse à une clientèle majeure. Le jeu reste accessible à un mineur uniquement sous la responsabilité d'un parent ou titulaire de l'autorité parentale présent (voir le règlement du jeu).

Rytual ne collecte pas sciemment de données personnelles auprès d'enfants de moins de quinze (15) ans sans le consentement du titulaire de l'autorité parentale, conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés. La demande d'adresse e-mail (après le jeu, facultative et soumise à consentement) s'adresse à une personne en capacité de consentir.

Si vous êtes parent ou tuteur et constatez qu'un enfant de moins de 15 ans nous a transmis des données personnelles, contactez contact@rytual.fr : ces données seront effacées dans les meilleurs délais. Pour les données collectées via la roue d'un commerçant, celui-ci (responsable de traitement) traite ces demandes ; Rytual agit comme sous-traitant et relaie sans délai.

9. Cookies et traceurs

Rytual n'utilise que des cookies strictement nécessaires au fonctionnement du service (session, sécurité, anti-fraude). Aucun cookie publicitaire, aucun tracker tiers à finalité marketing. Aucune bannière de consentement n'est donc requise au titre de l'art. 82 de la loi Informatique et Libertés.

10. Sécurité

Mots de passe hachés bcrypt, chiffrement TLS 1.2+ en transit, journalisation des accès admin aux PII (AdminAccessLog), sauvegardes chiffrées, principe du moindre privilège.

11. Réclamation auprès de la CNIL

Vous pouvez à tout moment introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :

12. Contact

Pour toute question : contact@rytual.fr

Référent en matière de protection des données : Rytual (contact@rytual.fr). Toute question relative à vos données personnelles ou à l'exercice de vos droits peut lui être adressée.

Version 2

Version 2 · Dernière mise à jour : 3 juin 2026