Politique de confidentialité — Volt Extension

Extension Chrome / Edge pour les performances en jeu, le chat communautaire, les classements et les duels 1v1 sur les sites partenaires.

Version : 21.0.0 Dernière mise à jour : 16 mai 2026 Juridiction : RGPD (UE) / LIL (France)

1. Responsable du traitement

Le traitement des données est effectué par :

Nom : Ben Yedder Youssef personne physique
Pays : France
Email RGPD : privacy@webtvmedia.net
Site : webtvmedia.net

L'adresse postale exacte peut être communiquée sur demande légitime (autorité de contrôle, procédure judiciaire, exercice formel d'un droit RGPD nécessitant un envoi recommandé). Cette mesure protège un développeur indépendant d'attaques ciblées (swatting, harcèlement) déjà documentées dans la communauté concernée.

2. Résumé en clair

Nous collectons le minimum nécessaire pour faire fonctionner le jeu, le chat, l'anti-triche et la modération. Aucune publicité, aucune revente de données, aucun tracker tiers. Le compte est supprimable à tout moment depuis l'extension (suppression différée de 30 jours, annulable).

Ce que nous traitons :

Votre email Google (uniquement si vous choisissez la connexion Google) et votre pseudo.
Votre adresse IP publique (collectée côté serveur, utilisée pour la modération et la prévention des abus).
Un identifiant matériel pseudonymisé (« HWID ») — empreinte SHA-256 dérivée de votre navigateur, langue, résolution d'écran, nombre de cœurs CPU, RAM et plateforme. Utilisé pour l'anti-triche et les bans matériels.
Votre activité de jeu (scores, runs, duels, classement Elo, transactions de crédits virtuels).
Vos messages de chat (global, équipe, privés) pour la modération et la communauté.
Vos amis, équipes, comptes liés (Discord, Twitter, Twitch — uniquement si vous les renseignez vous-même).

Ce que nous ne collectons jamais :

Le contenu des autres pages que vous visitez (l'extension n'a accès qu'aux 4 sites de jeu déclarés dans le manifeste).
Vos mots de passe (l'authentification passe par Google OAuth, jamais par nous).
Vos frappes clavier, votre presse-papiers, vos micros / caméras.
Vos cookies tiers ou votre historique de navigation.
Vos données biométriques, vos données de santé, vos opinions politiques ou religieuses.

3. Données collectées en détail

Catégorie	Données précises	Source
Identité du compte	email Google, pseudo, avatar, grade, identifiant Supabase (UUID)	Google OAuth + saisie utilisateur
Identifiants techniques	adresse IP publique (`users.last_ip`), HWID SHA-256 (`users.hwid`), fournisseur d'authentification	requête HTTP + APIs navigateur (`userAgent`, `navigator.language`, `screen.width/height`, `hardwareConcurrency`, `deviceMemory`, `platform`)
Activité de jeu	scores, historique de runs, Elo, duels, achievements, crédits/tokens virtuels et transactions, cosmétiques possédés et actifs	extension lors de votre jeu
Communications	messages chat global, chat équipe, messages privés, broadcasts modération	saisie utilisateur
Social	amis, demandes d'amis, blocages, équipes, invitations, comptes liés Discord/Twitter/Twitch (optionnels)	saisie utilisateur
Modération	bans IP, bans HWID, logs de modération, signalements	traitements automatiques + actions modérateurs
Préférences	langue, thème, paramètres affichage FPS, son, raccourcis	saisie utilisateur (stockée localement)

3.1 Note sur l'identifiant matériel (HWID)

Le HWID est un hash SHA-256 non réversible calculé localement à partir de signaux navigateur. Il ne nous permet pas de retrouver votre matériel d'origine, mais sert d'identifiant persistant pseudonymisé pour :

détecter les contournements de ban (création de comptes multiples) ;
limiter les abus côté anti-triche.

Sous le RGPD, le HWID est qualifié de donnée à caractère personnel (identifiant indirect, considérant 30). Sa collecte repose sur l'intérêt légitime du responsable de traitement à protéger l'intégrité du service. Vous pouvez vous y opposer en cessant d'utiliser l'extension ou en demandant la suppression de votre compte.

3.2 Note sur l'adresse IP

Votre adresse IP publique est collectée côté serveur lors de votre première session authentifiée (RPC record_my_last_ip). L'IP permet une approximation de votre localisation (considérant 30 RGPD). Nous l'utilisons exclusivement pour :

la modération (bannissement IP, table ip_bans) ;
la prévention des abus (rate-limiting, anti-spam) ;
la sécurité (détection de connexions suspectes).

Aucun géociblage publicitaire ni revente. Aucune corrélation à une identité hors plateforme.

4. Base légale par finalité

Finalité	Base légale RGPD	Article
Création de compte, classement, duels, gestion des cosmétiques achetés	Exécution du contrat (vous nous demandez ce service)	Art. 6 §1 b)
Anti-triche (HWID, signaux `SPEEDHACK`), modération, prévention des abus	Intérêt légitime du responsable de traitement	Art. 6 §1 f)
Bannissement IP/HWID après violation des règles	Intérêt légitime + obligation de moyens vis-à-vis des autres utilisateurs	Art. 6 §1 f)
Connexion via Google OAuth, traitement de l'email	Consentement explicite (vous cliquez « Se connecter avec Google »)	Art. 6 §1 a)
Chat public, équipes, messages privés	Consentement (vous choisissez de poster) + exécution du contrat	Art. 6 §1 a) & b)
Logs techniques pour debug et sécurité	Intérêt légitime	Art. 6 §1 f)

Au premier lancement, un écran de consentement vous présente ces traitements et vous demande votre accord avant que toute donnée ne quitte votre navigateur. Vous pouvez refuser et désinstaller l'extension sans perte de données (rien n'aura été envoyé).

5. Durées de conservation

Donnée	Durée
Compte actif (profil, scores, amis)	Tant que vous utilisez l'extension
Compte supprimé (soft-delete)	30 jours (annulable à tout moment durant ces 30 jours via `cancel_account_deletion`)
Compte supprimé (hard-delete final)	Effacé définitivement après 30 jours, hors logs de modération anonymisés conservés pour intégrité
Messages de chat public	90 jours, ensuite purge automatique
Messages privés	180 jours après lecture, ensuite purge automatique
Logs de modération (actions, bans)	2 ans (preuve en cas de litige)
Bans IP/HWID	Durée du ban + 6 mois (preuve)
Adresse IP active (`last_ip`)	Écrasée à chaque session (pas d'historique conservé)
Préférences locales (`chrome.storage`)	Tant que l'extension est installée, supprimées à la désinstallation

6. Localisation des données & transferts hors UE

L'infrastructure backend (instance Supabase auto-hébergée) est physiquement située en France (UE). Les données ne quittent pas l'Espace économique européen, sauf :

lors de l'authentification Google OAuth, où Google peut traiter votre email selon sa propre politique (Google est destinataire indépendant, basé aux États-Unis sous accord Data Privacy Framework EU-US) ;
si vous suivez un lien externe (PayPal, Discord, etc.) — vous quittez alors notre service et la politique du tiers s'applique.

Aucun autre transfert hors UE n'a lieu.

7. Tiers & sous-traitants

Tiers	Rôle	Données partagées
Google LLC	Fournisseur OAuth (uniquement si vous choisissez « Sign in with Google »)	email Google, identifiant OAuth
Supabase (auto-hébergé)	Base de données & backend, hébergé sur infrastructure contrôlée par le responsable du traitement, en France	toutes les données de compte / jeu / chat
Netlify	Hébergement de cette politique de confidentialité (page statique, aucun traitement de données utilisateur)	Aucune donnée utilisateur — seules requêtes HTTP standards (logs serveur Netlify, voir leur politique)
PayPal, Discord, Twitch, X (Twitter), SoundCloud, YouTube	Liens sortants / contenus embarqués (player musical SoundCloud uniquement)	Uniquement lors d'un clic ou ouverture de lecteur de votre part

Aucun outil d'analytique tiers (Google Analytics, Mixpanel, Sentry, Plausible, Hotjar, etc.) n'est intégré à l'extension. Aucun pixel publicitaire. Aucun cookie tiers de tracking.

8. Vos droits RGPD

Vous disposez à tout moment des droits suivants (Articles 15 à 22 RGPD) :

Droit d'accès (Art. 15) — savoir quelles données nous avons sur vous.
Droit de rectification (Art. 16) — corriger une donnée inexacte (ex. votre pseudo).
Droit à l'effacement (Art. 17) — supprimer votre compte.
Droit à la portabilité (Art. 20) — récupérer toutes vos données dans un fichier JSON exploitable.
Droit d'opposition (Art. 21) — refuser un traitement basé sur l'intérêt légitime.
Droit à la limitation (Art. 18) — geler un traitement en cas de litige.
Droit de retirer votre consentement à tout moment, sans effet sur les traitements passés.

8.1 Comment exercer vos droits

Suppression du compte : ouvrez l'extension → section Confidentialité → bouton « Supprimer mon compte ». Suppression différée de 30 jours, annulable.
Export de vos données (JSON) : ouvrez l'extension → section Confidentialité → bouton « Exporter mes données ». Téléchargement immédiat d'un fichier JSON exhaustif.
Rectification, accès, opposition, limitation : écrivez à privacy@webtvmedia.net depuis l'adresse email associée à votre compte.

Délai de réponse : 1 mois maximum à compter de la réception de votre demande (Art. 12 §3), prolongeable de 2 mois pour les demandes complexes (vous serez informé).

9. Sécurité

Toutes les communications avec le backend sont chiffrées en TLS 1.2+.
Les tables Supabase sont protégées par Row Level Security (RLS) — chaque utilisateur n'accède qu'à ses propres données.
Les scores soumis sont signés HMAC côté client (clé rotée régulièrement, RPC rotate_my_hmac_secret) puis vérifiés côté serveur — empêche la falsification.
Les jetons de session Supabase (JWT) sont stockés via chrome.storage.local (isolé par extension, inaccessible aux pages web).
Aucun mot de passe utilisateur n'est jamais stocké — l'authentification passe par Google OAuth (PKCE).
L'extension ne charge aucun code distant (conforme aux règles Chrome Web Store MV3). Toutes les fonctionnalités sont incluses dans le paquet signé que vous installez.
Aucune utilisation de eval() ou d'évaluation dynamique de code.

10. Stockage local & cookies

L'extension utilise les mécanismes de stockage suivants uniquement dans votre navigateur :

chrome.storage.local — préférences, cache de session, jeton Supabase, état des cosmétiques.
chrome.storage.session — données éphémères vidées à la fermeture du navigateur (HWID en cache notamment).
localStorage — cache de la balance de crédits, drapeau de consentement RGPD, cache des cosmétiques pour affichage rapide.

Aucun cookie tiers de tracking n'est posé par l'extension. Les seuls cookies qui pourraient apparaître proviennent du flux OAuth Google (durant l'authentification, sur le domaine accounts.google.com), soumis à la politique de Google.

11. Mineurs

Le service n'est pas destiné aux enfants de moins de 13 ans (limite COPPA / 15 ans en France selon la LIL). Nous ne sollicitons pas d'informations sur l'âge ; en cas de signalement d'un compte appartenant à un mineur sous l'âge légal, le compte sera supprimé sans délai et les données associées effacées.

12. Modifications de cette politique

Toute modification substantielle (nouvelle finalité, nouveau destinataire, changement de base légale) entraînera :

une mise à jour de la version et de la date en haut de cette page ;
un nouveau prompt de consentement dans l'extension si la nouvelle finalité nécessite votre accord ;
une notice in-app pour les changements non bloquants.

L'historique des versions est consultable sur demande à privacy@webtvmedia.net.

13. Contact & réclamations

Pour toute question, demande d'exercice de droit, ou réclamation :

Email RGPD : privacy@webtvmedia.net
Responsable : Ben Yedder Youssef, France

Droit de saisir l'autorité de contrôle. Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — autorité française de contrôle du RGPD — ou auprès de l'autorité de contrôle de votre pays de résidence dans l'UE.