Politique de confidentialité

Dernière mise à jour : 13 mai 2026 Chez HFA, on prend ta confidentialité au sérieux. Document conforme au Règlement Général sur la Protection des Données (RGPD) européen et aux législations locales CM/SN/CI.

Qui est responsable du traitement ?

HFA Contact responsable des données : [email protected]

Quelles données collectons-nous ?

Données techniques (collecte automatique)

• Adresse IP (anonymisée)

• Pays approximatif (via Cloudflare cf-ipcountry)

• Identifiant d'appareil anonyme (device_id non personnellement identifiable)

• Modèle de téléphone et version Android

• Pages visitées sur le site web

• Date et heure de visite

• Source de trafic (referrer, utmsource, utmcampaign)

Données utilisateur (collecte volontaire)

Si tu crées un compte HFA (optionnel) :

• Email

• Pays de résidence

• Équipes favorites

• Préférences de notification

Données NON collectées

• Pas de géolocalisation GPS précise

• Pas de numéro de téléphone (sauf WhatsApp bot opt-in)

• Pas d'historique de paris

• Pas de données bancaires

Pourquoi collectons-nous ces données ?

Finalité	Base légale (RGPD)
Faire fonctionner le site et l'app	Intérêt légitime
Personnaliser le contenu	Consentement
Envoyer des notifications	Consentement opt-in
Analytics produit (anonymisées)	Intérêt légitime
Attribution d'installation	Intérêt légitime
Conformité gambling (âge)	Obligation légale

Cookies

Cookies essentiels

Cookie	Émetteur	Durée	Finalité
hfaageack	HFA	30 jours	Mémoriser passage du gate âge
cf_clearance	Cloudflare	30 min	Sécurité, anti-bot

Cookies analytics (avec consentement — bannière Sprint 2)

Cookie	Émetteur	Durée
ga, ga_*	Google Analytics 4	2 ans
_fbp	Meta Pixel	90 jours
_apf	AppsFlyer	7 jours

Sous-traitants

• Supabase Inc. (Singapour, serveurs Francfort) — base de données

• DigitalOcean LLC (USA, serveurs Londres) — hébergement web

• Cloudflare Inc. (USA) — CDN, DDoS

• Google Cloud / Firebase (Irlande) — notifications push, analytics

• AppsFlyer Ltd (Israël) — attribution d'installation

• Meta Platforms Inc. (USA) — pixel publicitaire (si consentement)

• Amplitude Inc. (USA) — analytics produit (si consentement)

Chaque sous-traitant a signé un Data Processing Agreement (DPA) conforme RGPD.

Conservation des données

Type de donnée	Durée
Logs serveur (IP, requêtes)	30 jours
Compte utilisateur actif	Tant que le compte existe
Compte utilisateur inactif	36 mois → suppression auto
Données analytics	26 mois (max GA4)
Données légales / contractuelles	5 ans

Tes droits (RGPD Articles 15-22)

• Droit d'accès

• Droit de rectification

• Droit à l'effacement ("droit à l'oubli")

• Droit d'opposition

• Droit à la portabilité

• Droit à la limitation

• Droit de retirer ton consentement

Pour exercer ces droits : envoie un email à [email protected] avec ton identifiant de compte, la nature de ta demande, une preuve d'identité légère. On répond sous 30 jours maximum.

Réclamations

• CNIL (France) — https://www.cnil.fr

• Autorité locale équivalente (CM/SN/CI)

Sécurité

• Chiffrement TLS 1.3

• Chiffrement at-rest des bases de données

• Accès restreint aux données utilisateurs

• Rotation régulière des clés

• Monitoring de sécurité continu

En cas de violation de données, nous notifierons les utilisateurs concernés dans les 72h conformément à l'article 33 RGPD.

Contact

[email protected]