Politique de confidentialité
Dernière mise à jour : 22 mai 2026
Préambule
La présente Politique de confidentialité décrit comment Fenua Cards (ci-après « l'Éditeur » ou « nous ») collecte, utilise, conserve et protège vos données personnelles dans le respect du Règlement Général sur la Protection des Données (RGPD - UE 2016/679) et de la loi Informatique et Libertés dans sa version applicable en Polynésie française.
En utilisant Fenua Cards, vous reconnaissez avoir pris connaissance de la présente Politique.
1. Responsable du traitement
Le responsable du traitement de vos données est :
L'Éditeur de Fenua Cards (identité complète disponible dans les Mentions légales)
- Adresse postale : BP 380002, 98718 Punaauia, Tahiti, Polynésie française
- Email : contact@fenuacards.com
Délégué à la Protection des Données (DPO) : l'Éditeur (contact@fenuacards.com avec objet « RGPD »)
2. Données collectées
Nous collectons les données suivantes, exclusivement nécessaires au fonctionnement du Service :
2.1 Données fournies à l'inscription
| Donnée | Caractère | Finalité |
|---|---|---|
| Adresse email | Obligatoire | Création du compte, vérification, communications service |
| Pseudonyme public | Obligatoire | Identification publique sur la Plateforme |
| Île principale | Obligatoire | Affichage de la zone géographique pour les autres Utilisateurs |
| Mot de passe (hashé) | Obligatoire | Sécurisation du compte |
Le mot de passe est stocké sous forme hashée et salée (algorithme bcrypt), ce qui le rend irréversible : nous ne pouvons jamais le lire en clair, même nous.
2.2 Données fournies dans le profil (optionnelles)
- Nom complet
- Photo de profil
- Bio courte
- Spécialités (cartes recherchées, jeux préférés)
- Réseaux sociaux (Instagram, Facebook, Discord)
- @tag Deblock
- Numéro de téléphone (privé, pour récupération de compte uniquement)
2.3 Données spécifiques aux Vendeurs professionnels
Si vous déclarez un statut professionnel :
- Numéro RCS Papeete
- Dénomination sociale
- Adresse complète du siège
Ces informations peuvent être affichées publiquement sur votre vitrine de Vendeur, conformément aux obligations légales applicables aux professionnels.
2.4 Données générées par votre utilisation
- Annonces de vente que vous publiez (cartes, prix, état, photos, descriptions)
- Recherches d'achat que vous publiez (carte recherchée, prix maximum, état minimum, photos de référence, notes)
- Messages privés échangés avec d'autres Utilisateurs
- Réservations de cartes (demandées, confirmées, effectuées, annulées) — concernent à la fois les Annonces de vente et les Recherches d'achat
- Avis laissés et reçus
- Statistiques publiques : nombre de ventes déclarées, nombre d'annonces de vente actives, nombre de recherches d'achat publiées, note moyenne, temps de réponse moyen
2.5 Données techniques collectées automatiquement
- Adresse IP (anonymisée après 12 mois)
- Type de navigateur et système d'exploitation
- Pages visitées et durée de visite (analytics anonymisés)
- Cookies de session strictement nécessaires au fonctionnement
- Logs de connexion (date, heure, IP) — conservés 12 mois
3. Finalités du traitement
Nous traitons vos données pour les finalités suivantes :
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion de votre compte | Exécution du contrat (CGU) |
| Affichage de vos annonces et de votre profil | Exécution du contrat |
| Mise en relation avec d'autres Utilisateurs | Exécution du contrat |
| Envoi d'emails transactionnels (vérification, notifications, réservations) | Exécution du contrat |
| Sécurité du Service (détection de fraude, prévention des abus) | Intérêt légitime |
| Respect des obligations légales (LCEN, RGPD, fiscalité) | Obligation légale |
| Réponse à vos demandes (support, RGPD, modération) | Exécution du contrat / Intérêt légitime |
| Statistiques anonymisées d'utilisation du Service | Intérêt légitime |
| Communications marketing (newsletter, nouveautés) | Consentement (opt-in explicite) |
Aucun traitement à des fins publicitaires ou de profilage n'est effectué.
4. Destinataires des données
Vos données sont accessibles à :
4.1 Personnel de l'Éditeur
L'Éditeur accède aux données dans le cadre strict de la gestion du Service. Aucun tiers humain n'a accès aux données en dehors de l'Éditeur.
4.2 Autres Utilisateurs
Certaines de vos données sont publiquement visibles par les autres Utilisateurs :
- Pseudonyme, île, photo de profil, bio
- Annonces que vous publiez
- Statistiques publiques (ventes déclarées, note moyenne, etc.)
- Avis que vous avez laissés et reçus
D'autres données sont partagées uniquement avec les Utilisateurs avec qui vous interagissez :
- Contenu des messages privés
- Statut de réservation
Votre email, téléphone, et mot de passe ne sont JAMAIS visibles par les autres Utilisateurs.
4.3 Sous-traitants techniques
Pour faire fonctionner le Service, nous utilisons les sous-traitants suivants. Chacun est soumis à un contrat conforme à l'article 28 du RGPD :
| Sous-traitant | Service | Localisation | Données traitées |
|---|---|---|---|
| Cloudflare, Inc. | Hébergement web, CDN, DNS | Société américaine ; trafic servi par le réseau global Cloudflare (PoP le plus proche, sans région UE garantie sur le plan gratuit) | Logs techniques, IP |
| Supabase Inc. | Base de données, authentification | Société américaine ; données stockées en Singapour ⚠️ | Toutes les données du compte |
| Cloudinary Ltd. | Hébergement d'images | Multi-cloud (Israël, Irlande, États-Unis selon les régions) | Photos d'annonces et profils |
| Resend, Inc. | Envoi d'emails transactionnels | Société américaine ; traitement et envoi depuis la région UE (Irlande, eu-west-1) choisie pour alignement RGPD | Email du destinataire, contenu des emails transactionnels |
4.4 Autorités publiques
Sur réquisition judiciaire ou demande légale d'une autorité compétente, nous pouvons être amenés à communiquer vos données dans le cadre prévu par la loi.
5. Transferts hors UE — Information importante
⚠️ Une partie de vos données est stockée ou traitée hors de l'Union européenne :
- Base de données principale : Supabase, région Singapour
- Hébergement / CDN : Cloudflare, réseau global (société américaine)
- Emails transactionnels : Resend (société américaine, traitement en région UE — Irlande, eu-west-1)
Ces transferts sont encadrés par les mécanismes prévus par le RGPD :
- Clauses Contractuelles Types (CCT) approuvées par la Commission européenne
- Décisions d'adéquation lorsqu'applicables
- Mesures techniques supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256)
En utilisant le Service, vous consentez expressément à ces transferts. Vous pouvez à tout moment exercer votre droit d'opposition (voir article 8).
Si vous résidez dans l'Union européenne et souhaitez bénéficier d'un hébergement EU strict, contactez-nous : à terme, nous étudions la migration vers une région EU de Supabase.
6. Durées de conservation
Nous conservons vos données pendant les durées suivantes :
| Type de donnée | Durée |
|---|---|
| Compte actif | Aussi longtemps que le compte est actif |
| Compte inactif (aucune connexion) | 3 ans, puis email d'avertissement, puis suppression |
| Compte supprimé par l'Utilisateur | Suppression immédiate des données personnelles, anonymisation des avis |
| Conversations privées | 1 an après dernière activité, puis archivage anonymisé |
| Annonces supprimées | 90 jours en archive, puis suppression définitive |
| Logs de connexion | 12 mois (obligation légale LCEN) |
| Adresse IP | 12 mois puis anonymisation |
| Données fiscales (futurs services payants) | 10 ans (obligation comptable et fiscale) |
| Emails de support | 3 ans après dernier échange |
7. Sécurité des données
Nous mettons en œuvre toutes les mesures techniques et organisationnelles nécessaires à la protection de vos données :
7.1 Mesures techniques
- Chiffrement en transit : TLS 1.3 sur tous les échanges
- Chiffrement au repos : AES-256 sur Supabase et Cloudinary
- Mots de passe hashés : bcrypt avec salt
- Authentification sécurisée : sessions JWT avec rotation
- Politique RLS (Row Level Security) : isolation stricte des données entre Utilisateurs au niveau base de données
- Sauvegardes automatiques quotidiennes (Supabase, conservation 7 jours)
- Mises à jour de sécurité régulières des dépendances
7.2 Mesures organisationnelles
- Accès aux données strictement limité à l'Éditeur
- Pas de copie locale des bases de données
- Surveillance continue des journaux de connexion
- Notification rapide en cas de violation de données (voir article 9)
7.3 Vos responsabilités
Vous êtes responsable de :
- Choisir un mot de passe fort (8 caractères minimum, unique pour Fenua Cards)
- Ne pas partager vos identifiants
- Vous déconnecter sur les appareils partagés
- Signaler immédiatement tout accès suspect à contact@fenuacards.com
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
8.1 Droit d'accès (article 15)
Vous pouvez obtenir une copie de toutes les données personnelles que nous détenons à votre sujet, ainsi que les informations relatives à leur traitement.
8.2 Droit de rectification (article 16)
Vous pouvez demander la correction de données inexactes ou incomplètes. La plupart des informations sont modifiables directement depuis votre profil.
8.3 Droit à l'effacement / « droit à l'oubli » (article 17)
Vous pouvez demander la suppression de vos données. Ce droit s'exerce notamment :
- Depuis votre tableau de bord (suppression du compte)
- Par email à contact@fenuacards.com
Certaines données peuvent être conservées au titre d'obligations légales (logs LCEN, données fiscales) — voir article 6.
8.4 Droit à la limitation du traitement (article 18)
Vous pouvez demander que vos données soient temporairement « gelées » pendant l'examen d'une réclamation ou d'une contestation.
8.5 Droit à la portabilité (article 20)
Vous pouvez récupérer vos données dans un format structuré, lisible par machine (JSON ou CSV), et les transférer à un autre service.
8.6 Droit d'opposition (article 21)
Vous pouvez vous opposer au traitement de vos données fondé sur l'intérêt légitime, en motivant votre demande.
8.7 Droit de retirer votre consentement
Pour les traitements basés sur le consentement (marketing par exemple), vous pouvez le retirer à tout moment sans que cela n'affecte la licéité des traitements antérieurs.
8.8 Droit de définir des directives post-mortem
Conformément à la loi française, vous pouvez définir des directives concernant la conservation, l'effacement et la communication de vos données après votre décès.
8.9 Comment exercer vos droits ?
Adressez votre demande à : contact@fenuacards.com avec objet « RGPD »
Nous répondons sous 30 jours maximum. Pour des raisons de sécurité, nous pouvons vous demander de justifier votre identité.
8.10 Droit de réclamation
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
- Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
- Site : https://www.cnil.fr
- Téléphone : +33 1 53 73 22 22
9. Violation de données
En cas de violation de données susceptible de présenter un risque pour vos droits et libertés, nous nous engageons à :
- Notifier la CNIL dans les 72 heures suivant la découverte (article 33 RGPD)
- Vous informer personnellement dans les meilleurs délais (article 34 RGPD), si le risque est élevé
- Documenter la violation et les mesures prises pour y remédier
- Mettre en œuvre toute mesure corrective nécessaire
10. Cookies et traceurs
10.1 Cookies strictement nécessaires (pas de consentement requis)
| Cookie | Finalité | Durée |
|---|---|---|
sb-access-token | Authentification (session) | 1 heure (rotation) |
sb-refresh-token | Renouvellement de session | 30 jours |
fc_theme | Préférence mode clair/sombre | 1 an |
10.2 Pas de cookies tiers de tracking
Nous n'utilisons aucun cookie publicitaire, aucun pixel de tracking (Facebook Pixel, Google Analytics, etc.).
Notre service ne contient aucune publicité.
10.3 Gestion des cookies
Vous pouvez configurer votre navigateur pour refuser les cookies. Toutefois, les cookies strictement nécessaires sont indispensables au fonctionnement : vous ne pourrez pas vous connecter sans eux.
11. Messagerie privée
11.1 Finalité
La messagerie privée intégrée à la Plateforme a pour seule finalité de permettre l'organisation d'une Transaction entre Acheteur et Vendeur (questions sur une Carte, fixation du lieu et de l'heure de la rencontre, suivi de la réservation). Toute autre utilisation (démarchage commercial, prise de contact hors-sujet, diffusion de messages de masse, etc.) est proscrite.
11.2 Confidentialité des messages
Vos messages ne sont visibles que par vous et votre interlocuteur. L'Éditeur n'y accède pas dans le cadre normal de l'exploitation du Service. Un accès est possible :
- Sur réquisition judiciaire ou demande légale d'une autorité compétente
- Dans le cadre du traitement d'un signalement (voir article 12), strictement limité aux messages signalés et à leur contexte immédiat
Les messages sont transmis en HTTPS (TLS 1.3) et stockés chiffrés au repos sur Supabase.
11.3 Comportements interdits dans la messagerie
Conformément à l'article 11 des CGU, sont strictement interdits :
- Spam et démarchage commercial non sollicité
- Harcèlement, intimidation, menaces, messages répétés
- Phishing (tentative de récupérer mots de passe, codes bancaires, etc.)
- Partage de coordonnées sensibles d'autres Utilisateurs (doxxing)
- Propos discriminatoires, racistes, sexistes, homophobes ou contraires à la loi
- Liens externes douteux ou redirigeant vers des sites frauduleux
11.4 Conservation des messages
Conformément à l'article 6, les conversations sont conservées 1 an après la dernière activité du fil, puis archivées sous forme anonymisée. En cas de suppression d'un compte, les fils auxquels l'Utilisateur a participé sont anonymisés (le contenu reste visible pour l'autre participant, mais sans rattachement au compte supprimé).
11.5 Signalement d'un message ou d'un Utilisateur
Tout Utilisateur peut signaler un message ou un comportement à l'Éditeur. Voir article 12 pour le détail des canaux et des objets à utiliser.
12. Signalement et sécurité
12.1 Canaux de signalement
Tous les signalements sont à adresser à contact@fenuacards.com avec un objet clair. L'Éditeur examine chaque signalement dans les meilleurs délais et tient l'auteur informé du traitement.
| Type de signalement | Objet à utiliser |
|---|---|
| Faux compte / usurpation d'identité | « SIGNALEMENT — Faux compte » |
| Tentative d'arnaque | « SIGNALEMENT — Arnaque » |
| Phishing ou lien externe dangereux | « SIGNALEMENT — Phishing » |
| Harcèlement ou comportement abusif | « SIGNALEMENT — Harcèlement » |
| Annonce ou Carte suspecte | « SIGNALEMENT — Annonce » (voir CGU §5.4 et §9.4) |
| Message suspect | « SIGNALEMENT — Messagerie » |
12.2 Rappels de sécurité
- L'Éditeur ne vous demandera JAMAIS votre mot de passe, ni par email, ni par messagerie, ni par téléphone.
- Ne communiquez jamais à un autre Utilisateur : votre mot de passe Fenua Cards, vos codes bancaires (PIN, CVV, code Vini), vos identifiants de connexion à d'autres services, ni de copie d'une pièce d'identité (sauf strict nécessaire pour un envoi postal en recommandé).
- Ne cliquez sur aucun lien externe douteux reçu via la messagerie. En cas de doute, signalez le message.
- Méfiez-vous des prix anormalement bas : une Carte rare proposée très en-dessous du marché est souvent le signe d'une contrefaçon ou d'une arnaque.
12.3 Compromission de compte
Si vous suspectez un accès non autorisé à votre compte (connexion inconnue, messages envoyés à votre insu, modification de profil non sollicitée) :
- Changez immédiatement votre mot de passe depuis la page Profil
- Déconnectez toutes vos sessions actives
- Prévenez l'Éditeur à contact@fenuacards.com avec objet « URGENT — Compte compromis »
L'Éditeur peut, en réponse à un signalement urgent, suspendre temporairement le compte le temps de l'investigation.
12.4 Urgence
En cas de menace, d'agression ou d'escroquerie avérée à l'occasion d'une rencontre organisée via la Plateforme, contactez d'abord les autorités :
- Police nationale : 17
- Gendarmerie : 17
- Cybermalveillance.gouv.fr pour les arnaques en ligne
L'Éditeur reste à disposition pour fournir, dans le cadre légal, les éléments utiles à l'enquête.
13. Mineurs
Le Service est ouvert à partir de 16 ans. En-dessous de 16 ans, l'utilisation nécessite l'autorisation explicite d'un représentant légal (parent ou tuteur).
Si vous êtes parent et que vous découvrez que votre enfant de moins de 16 ans a créé un compte sans votre autorisation, contactez-nous immédiatement à contact@fenuacards.com pour la suppression du compte et des données associées.
Aucun ciblage publicitaire ni profilage commercial n'est effectué sur les mineurs, conformément à l'article 8 RGPD.
14. Modifications de la Politique
Cette Politique peut être modifiée à tout moment pour refléter les évolutions du Service, de la législation, ou de nos sous-traitants.
Vous serez informé :
- Par email à l'adresse fournie lors de l'inscription
- Par notification lors de votre prochaine connexion au Service
Pour les modifications substantielles, nous solliciterons votre acceptation expresse avant qu'elles ne s'appliquent.
15. Contact
Pour toute question relative à vos données personnelles ou à l'exercice de vos droits :
Email : contact@fenuacards.com (objet : « RGPD ») Adresse postale : Fenua Cards, BP 380002, 98718 Punaauia, Tahiti, Polynésie française
Vous recevrez une réponse dans un délai maximal de 30 jours.
Document mis à jour le 22 mai 2026. Pour toute correction ou mise à jour, contacter contact@fenuacards.com.