← Retour à l'accueil

Politique de Confidentialité

Dernière mise à jour : 11 avril 2026

Préambule

La présente Politique de Confidentialité a pour objet d'informer les utilisateurs du site thevaultfactory.com (ci-après « le Site ») de la manière dont leurs données personnelles sont collectées, traitées, utilisées et protégées par The Vault Factory (ci-après « le Responsable de traitement »).

Cette politique est établie conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD »), à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après « Loi Informatique et Libertés »), ainsi qu'à la Directive 2002/58/CE dite « ePrivacy ».

En naviguant sur le Site et/ou en passant commande, l'utilisateur reconnaît avoir pris connaissance de la présente Politique de Confidentialité et en accepte les termes.

Article 1 — Responsable du traitement

Le responsable du traitement des données personnelles collectées sur le Site, au sens de l'article 4, paragraphe 7 du RGPD, est :

The Vault Factory
Base / Localisation de l'entreprise : France — Région Paris
Site internet : thevaultfactory.com

Pour toute question relative à la protection des données personnelles, l'utilisateur peut contacter le Responsable de traitement via la section Contact du Site.

Article 2 — Données collectées

Conformément à l'article 13 du RGPD, le Responsable de traitement informe l'utilisateur que les catégories de données personnelles suivantes sont susceptibles d'être collectées :

• Données d'identification : nom, prénom, adresse email
• Données de livraison : adresse postale complète, numéro de téléphone (le cas échéant)
• Données de commande : produits commandés, taille sélectionnée, montant de la transaction, date et heure d'achat, numéro de commande
• Données de jeu : tentatives de code, progression dans les énigmes, horodatage des tentatives
• Données techniques : adresse IP, type de navigateur, système d'exploitation, pages consultées, date et heure de connexion (journaux de serveur)

Le Responsable de traitement ne collecte, ne stocke et n'a accès à aucune donnée bancaire ou financière de l'utilisateur. L'intégralité des opérations de paiement est traitée exclusivement par le prestataire de paiement Stripe, certifié PCI DSS Level 1, dans un environnement sécurisé et indépendant.

Le Responsable de traitement s'engage à respecter le principe de minimisation des données énoncé à l'article 5, paragraphe 1, c) du RGPD : seules les données strictement nécessaires aux finalités décrites ci-dessous sont collectées.

Article 3 — Bases légales et finalités du traitement

Conformément à l'article 6, paragraphe 1 du RGPD, le traitement des données personnelles repose sur les bases légales suivantes :

• Exécution du contrat (article 6.1.b du RGPD) : traitement et expédition de la commande, gestion de l'accès au jeu VAULT, envoi des emails transactionnels (confirmation de commande, suivi de livraison avec numéro de tracking), gestion du service après-vente
• Obligation légale (article 6.1.c du RGPD) : respect des obligations comptables, fiscales et légales imposées par la législation française et européenne, conservation des factures et preuves de transaction
• Intérêt légitime (article 6.1.f du RGPD) : prévention de la fraude, sécurisation du site et du jeu, amélioration des services, gestion des litiges, détection des tentatives de piratage ou d'utilisation abusive

Le Responsable de traitement n'envoie aucun email marketing, publicitaire ou promotionnel. Seuls des emails strictement transactionnels, directement liés à l'exécution de la commande du Client, lui sont adressés.

Article 4 — Sous-traitants et destinataires des données

Conformément à l'article 28 du RGPD, le Responsable de traitement fait appel à des sous-traitants pour l'exécution de certaines prestations. Ces sous-traitants n'accèdent aux données personnelles que dans la stricte mesure nécessaire à l'accomplissement de leur mission et sont contractuellement tenus de garantir la sécurité et la confidentialité des données.

Les catégories de destinataires sont les suivantes :

• Stripe, Inc. (paiement sécurisé) — certifié PCI DSS Level 1 — Traite exclusivement les données de paiement. Siège social : San Francisco, CA, USA. Politique de confidentialité Stripe
• Printful, Inc. (fabrication et expédition des vêtements) — Reçoit les données de livraison (nom, adresse) strictement nécessaires à la fabrication et l'expédition du produit. Siège social : Los Angeles, CA, USA. Politique de confidentialité Printful
• Amazon Web Services (AWS SES) (envoi d'emails transactionnels) — Traite les adresses email pour l'envoi des confirmations et du suivi de livraison. Région : eu-west-3 (Paris, France)
• Google Firebase / Firestore (hébergement sécurisé de la base de données) — Stocke les données de commande et de jeu dans un environnement Cloud sécurisé et chiffré
• Cloudflare, Inc. (hébergement du frontend, protection DDoS, CDN) — Peut traiter des données techniques (adresse IP, en-têtes HTTP) dans le cadre de la protection du site
• Railway Corp. (hébergement du serveur applicatif backend) — Héberge l'application serveur traitant les commandes

Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales, publicitaires ou de prospection.

Article 5 — Transferts internationaux de données

Conformément aux articles 44 à 49 du RGPD, certains sous-traitants mentionnés ci-dessus sont situés en dehors de l'Espace Économique Européen (EEE), notamment aux États-Unis. Ces transferts sont encadrés par :

• Le cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework), lorsque le sous-traitant y est certifié
• Des clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément à l'article 46, paragraphe 2, c) du RGPD
• Des mesures techniques et organisationnelles complémentaires garantissant un niveau de protection adéquat des données transférées

Article 6 — Durée de conservation des données

Conformément à l'article 5, paragraphe 1, e) du RGPD (principe de limitation de la conservation), les données personnelles sont conservées pendant les durées suivantes :

• Données de commande et de facturation : 10 ans à compter de la commande, conformément aux obligations comptables et fiscales prévues par l'article L123-22 du Code de commerce et l'article L102 B du Livre des procédures fiscales
• Données de livraison : 5 ans à compter de la livraison, correspondant au délai de prescription de droit commun (article 2224 du Code civil)
• Données de jeu (tentatives, progression) : conservées pendant toute la durée du jeu VAULT, puis supprimées dans les 6 mois suivant la clôture définitive du jeu
• Données techniques (logs, adresses IP) : 12 mois maximum, conformément aux recommandations de la CNIL et à l'article 6-II de la loi n° 2004-575 du 21 juin 2004 (LCEN)
• Données de support client : 3 ans après la dernière interaction, correspondant au délai de prescription en matière de responsabilité contractuelle

À l'expiration de ces délais, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible.

Article 7 — Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés, l'utilisateur dispose des droits suivants sur ses données personnelles :

• Droit d'accès (article 15 du RGPD) : obtenir la confirmation que des données le concernant sont ou ne sont pas traitées, ainsi qu'une copie de l'ensemble des données personnelles détenues
• Droit de rectification (article 16 du RGPD) : demander la correction de données inexactes, incomplètes, équivoques ou périmées
• Droit à l'effacement — « Droit à l'oubli » (article 17 du RGPD) : demander la suppression des données personnelles, sous réserve des obligations légales de conservation et des motifs légitimes prévalant sur la demande d'effacement
• Droit à la limitation du traitement (article 18 du RGPD) : obtenir la limitation du traitement dans les cas prévus par le RGPD (exactitude contestée, traitement illicite, etc.)
• Droit à la portabilité (article 20 du RGPD) : recevoir les données fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement
• Droit d'opposition (article 21 du RGPD) : s'opposer au traitement des données fondé sur l'intérêt légitime, pour des motifs tenant à la situation particulière de l'utilisateur
• Droit de définir des directives post-mortem (article 85 de la loi Informatique et Libertés) : définir des directives relatives à la conservation, l'effacement et la communication de ses données après son décès

Pour exercer l'un de ces droits, l'utilisateur peut adresser sa demande via la section Contact du Site, en précisant son identité (nom, prénom, adresse email associée au compte). Le Responsable de traitement s'engage à répondre dans un délai maximum d'un (1) mois à compter de la réception de la demande, conformément à l'article 12, paragraphe 3 du RGPD. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes.

En cas de difficulté dans l'exercice de ses droits, l'utilisateur peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle compétente en France :

CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr

Article 8 — Cookies et technologies de suivi

Conformément à la Directive 2002/58/CE (« ePrivacy ») et aux recommandations de la CNIL, le Site utilise exclusivement des cookies strictement nécessaires au fonctionnement du service :

• Cookies de session : gestion de la session utilisateur (panier, navigation)
• Cookies d'authentification : maintien de la connexion lors de l'utilisation du jeu
• Cookies techniques de sécurité : protection contre le CSRF et les attaques

Aucun cookie publicitaire, de profilage, de tracking ou d'analyse comportementale n'est déposé. Aucun cookie tiers à vocation marketing n'est installé. Par conséquent, et conformément aux lignes directrices de la CNIL du 17 septembre 2020, le consentement préalable de l'utilisateur n'est pas requis pour le dépôt de ces cookies strictement nécessaires (article 82 de la loi Informatique et Libertés).

Article 9 — Sécurité des données

Conformément à l'article 32 du RGPD, le Responsable de traitement met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

• Chiffrement des communications : protocole HTTPS/TLS sur l'ensemble du Site
• Chiffrement des données au repos : les données stockées dans la base de données sont chiffrées par les services d'hébergement
• Authentification sécurisée : les tokens d'accès et clés API sont stockés de manière sécurisée, hors du code source
• Contrôle d'accès : accès restreint aux données personnelles selon le principe du moindre privilège
• Protection DDoS : le site est protégé par Cloudflare contre les attaques par déni de service
• Comparaison temporellement sécurisée : les tokens d'authentification sont vérifiés par des méthodes à temps constant pour prévenir les attaques temporelles
• Journalisation : les accès et opérations critiques sont enregistrés à des fins de traçabilité et de détection d'incidents

Article 10 — Violation de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, le Responsable de traitement s'engage à :

• Notifier la CNIL dans un délai de 72 heures à compter de la prise de connaissance de la violation (article 33 du RGPD)
• Informer les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD)
• Documenter toute violation dans un registre interne, conformément à l'article 33, paragraphe 5 du RGPD

Article 11 — Absence de profilage et de décision automatisée

Conformément à l'article 22 du RGPD, le Responsable de traitement ne procède à aucune décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques à l'égard de l'utilisateur ou l'affectant de manière significative de façon similaire.

Article 12 — Protection des mineurs

Le Site et ses services sont destinés exclusivement aux personnes majeures (18 ans révolus). Le Responsable de traitement ne collecte pas sciemment de données personnelles relatives à des mineurs. Si le Responsable de traitement apprend qu'il a collecté des données d'un mineur sans le consentement vérifié du titulaire de l'autorité parentale, il s'engage à les supprimer dans les meilleurs délais.

Article 13 — Modification de la politique de confidentialité

Le Responsable de traitement se réserve le droit de modifier la présente Politique de Confidentialité à tout moment afin de se conformer à toute évolution législative, réglementaire, jurisprudentielle ou technique. En cas de modification substantielle affectant les droits de l'utilisateur, une information sera publiée de manière visible sur le Site. La date de dernière mise à jour est indiquée en tête du présent document.

La poursuite de l'utilisation du Site après la publication de la version modifiée vaut acceptation de la nouvelle politique.

Article 14 — Droit applicable

La présente Politique de Confidentialité est régie par le droit français et le Règlement (UE) 2016/679 (RGPD). Tout litige relatif à l'interprétation ou l'exécution de la présente politique sera soumis à la compétence des tribunaux français, sans préjudice du droit de l'utilisateur d'introduire une réclamation auprès de la CNIL.