Politique de confidentialité

1. Introduction

Cenkle Digital (« Société », « nous », « notre »), une société établie en Turquie, exploite l’application mobile Tapstice (l’« App » ou le « Service ») et le site web tapstice.com. Cette Politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations lorsque vous utilisez notre App et notre site.

En téléchargeant, installant ou utilisant Tapstice, vous acceptez la collecte et l’utilisation d’informations conformément à la présente Politique de confidentialité. Si vous n’acceptez pas ses termes, veuillez ne pas accéder à l’App ni l’utiliser.

Nous nous réservons le droit de modifier cette Politique de confidentialité à tout moment. Nous vous informerons des changements en mettant à jour la date de « Dernière mise à jour ». Nous vous encourageons à consulter régulièrement cette Politique afin de rester informé.

Cette Politique s’applique aux utilisateurs du monde entier, y compris dans l’Espace économique européen (EEE), le Royaume-Uni (UK), les États-Unis (dont la Californie), le Brésil, le Canada, la Turquie et toutes autres juridictions. Des dispositions spécifiques par juridiction sont détaillées dans les sections pertinentes ci-dessous.

2. Informations que nous collectons

2.1 Informations que vous fournissez directement

• Informations de compte : lorsque vous créez un compte, nous collectons votre adresse email, votre nom d’affichage et votre photo de profil (si fournie via un login social).
• Données de profil : nom d’utilisateur, choix d’avatar et préférences de personnalisation définies dans l’App.
• Communications : lorsque vous contactez notre support, nous collectons les informations que vous fournissez dans vos messages.
• Contenu utilisateur : photos de profil que vous téléversez, soumises à une modération automatisée et manuelle.
• Registres de consentement : enregistrements de votre consentement à nos Conditions d’utilisation, Politique de confidentialité et préférences de cookies, incluant numéros de version et horodatages.
• Données de parrainage : si vous participez à notre programme de parrainage, nous collectons l’utilisation de votre code et l’identifiant d’appareil associé pour éviter les doublons.

2.2 Informations collectées automatiquement

• Informations sur l’appareil : type d’appareil, fabricant, modèle, version du système, identifiants uniques (ex. IDFA iOS, Android Advertising ID), résolution d’écran et paramètres de langue.
• Données d’utilisation : scores, succès, progression, durée de session, fonctionnalités utilisées, actions in-app, schémas d’interaction, préférences de modes de jeu et utilisation de power-ups.
• Données de journal : adresse IP, heures d’accès, plantages et diagnostics, activité système et URLs de référence.
• Données de localisation : localisation générale basée sur l’adresse IP (niveau pays/région). Nous ne collectons pas de localisation GPS précise.
• Données de capteurs : données d’accéléromètre et de gyroscope utilisées pour la jouabilité et la vérification anti-triche.
• Informations batterie : niveau de batterie et statut de charge, utilisés pour optimiser les performances et réduire la consommation.
• Informations réseau : statut de connectivité (Wi‑Fi, cellulaire, hors ligne) pour optimiser la synchronisation.
• Données d’intégrité de l’appareil : statut root/jailbreak et signaux d’intégrité utilisés pour la sécurité et l’anti-triche.
• Tokens de notifications push : tokens Firebase Cloud Messaging (FCM) chiffrés pour l’envoi de notifications.
• Données de performance : temps de démarrage, performances de rendu et métriques de latence réseau.

2.3 Informations biométriques

Si vous choisissez d’utiliser l’authentification biométrique (Face ID, Touch ID, empreinte) pour sécuriser votre compte, les données biométriques sont traitées entièrement sur votre appareil par le système d’exploitation. Nous ne collectons, ne stockons ni n’avons accès à vos données biométriques. Nous recevons uniquement un signal succès/échec de l’enclave sécurisée de votre appareil.

2.4 Informations provenant de tiers

• Fournisseurs de login social : si vous vous connectez via Google ou Apple, nous recevons votre nom, votre email et votre photo de profil.
• Services de jeu : Apple Game Center et Google Play Games peuvent nous fournir votre profil, succès et données de classement.
• Traitement des paiements : Apple App Store et Google Play Store traitent les achats in-app et nous fournissent des confirmations, IDs de commande et statut d’abonnement (nous ne recevons ni ne stockons les données de carte).
• Partenaires publicitaires : nos partenaires (Google AdMob, Meta Audience Network) peuvent fournir des insights agrégés d’audience.

3. Comment nous utilisons vos informations

Nous utilisons les informations que nous collectons aux fins suivantes :

• Fournir et maintenir le Service : exploiter l’App, authentifier les utilisateurs, sauvegarder la progression et synchroniser les données entre appareils.
• Personnalisation : personnaliser votre expérience, mémoriser vos préférences et proposer du contenu personnalisé.
• Fonctionnalités sociales : afficher des classements, activer les défis entre amis, duels PvP et interactions sociales.
• Communications : envoyer des notifications push (avec votre consentement), messages in-app, rappels de récompenses et répondre aux demandes de support.
• Analytique : comprendre l’utilisation, identifier des tendances et améliorer nos services. Les données d’analytique peuvent être exportées vers Google BigQuery pour analyse agrégée.
• Publicité : afficher des annonces pertinentes (supprimables via achat in-app). Nous utilisons la User Messaging Platform (UMP) de Google pour gérer le consentement publicitaire.
• Sécurité et anti-triche : détecter et prévenir fraude, triche, manipulation de score, accès non autorisé et autres activités interdites (vérification serveur des scores, validation des tokens de session, détection automatisée).
• Modération de contenu : modérer le contenu généré par les utilisateurs (photos, pseudos) via outils automatisés (Google Cloud Vision API) et revue manuelle.
• Vérification des achats : vérifier les achats côté serveur, prévenir les doublons, gérer les abonnements et traiter les remboursements.
• Conformité légale : respecter les lois, réglementations et procédures légales applicables.

4. Base légale du traitement (utilisateurs EEE/UK)

Si vous résidez dans l’EEE ou au Royaume-Uni, nous traitons vos données personnelles sur les bases légales suivantes au titre du GDPR :

• Exécution du contrat (Art. 6(1)(b)) : traitement nécessaire pour fournir l’App et ses fonctionnalités.
• Intérêts légitimes (Art. 6(1)(f)) : analytique, sécurité, prévention de fraude, anti-triche, modération et amélioration des services, lorsque ces intérêts ne sont pas supplantés par vos droits.
• Consentement (Art. 6(1)(a)) : notifications push, publicité personnalisée et cookies non essentiels. Vous pouvez retirer votre consentement à tout moment.
• Obligation légale (Art. 6(1)(c)) : conformité à des obligations légales (ex. conservation fiscale).

5. Services tiers et partage de données

Nous partageons vos informations avec les catégories de tiers suivantes. Nous exigeons de nos prestataires qu’ils respectent la sécurité de vos données et les traitent conformément à la loi.

5.1 Prestataires de services

5.2 Nous ne vendons pas vos données

Nous ne vendons, ne louons et n’échangeons pas vos informations personnelles avec des tiers à des fins de marketing. Cela s’applique notamment au titre de la CCPA/CPRA, LGPD et KVKK.

5.3 Transferts d’entreprise

En cas de fusion, acquisition, réorganisation, faillite ou vente de tout ou partie de nos actifs, vos données personnelles peuvent être transférées à l’entité acquéreuse. Nous vous informerons par notification in-app et/ou par email avant que vos données ne soient soumises à une politique différente.

5.4 Exigences légales

Nous pouvons divulguer vos informations si la loi, une décision de justice ou une demande gouvernementale l’exige, ou si nous pensons de bonne foi que c’est nécessaire pour : (a) protéger nos droits/propriété ; (b) protéger la sécurité de nos utilisateurs ou du public ; (c) prévenir la fraude ou des activités illégales ; (d) respecter une obligation légale.

5.5 Données agrégées

Nous pouvons partager des données agrégées et désidentifiées qui ne peuvent raisonnablement pas vous identifier, à des fins de recherche, d’analytique ou d’activité. Ces données ne sont pas considérées comme des données personnelles au regard des lois applicables.

6. Publicité

Notre App affiche des publicités fournies par Google AdMob et Meta Audience Network. Ces services peuvent collecter et utiliser des données afin d’afficher des annonces personnalisées.

6.1 Consentement publicitaire

Avant d’afficher des annonces personnalisées, nous obtenons votre consentement lorsque la loi l’exige. Nous utilisons la User Messaging Platform (UMP) de Google pour la conformité GDPR/ePrivacy et l’App Tracking Transparency (ATT) d’Apple sur iOS 14.5+.

6.2 Publicité personnalisée

Les réseaux publicitaires peuvent utiliser des identifiants d’appareil, des cookies et des technologies similaires pour diffuser des annonces selon vos intérêts et votre comportement. Si vous refusez les annonces personnalisées, vous verrez toujours des annonces, mais elles seront moins adaptées.

6.3 Désactivation

• iOS : Réglages > Confidentialité et sécurité > Suivi, puis désactivez « Autoriser les apps à demander à suivre »
• Android : Réglages > Google > Annonces, puis activez l’option de désactivation de la personnalisation ou supprimez votre ID publicitaire
• Dans l’App : achetez l’option de suppression des pubs ou un abonnement VIP pour retirer toutes les publicités
• Paramètres de confidentialité : utilisez le formulaire Options de confidentialité dans les réglages de l’App pour gérer vos préférences

6.4 Politiques de confidentialité des réseaux publicitaires

• Politique de confidentialité Google AdMob
• Politique de confidentialité Meta

7. Conservation des données

Nous conservons vos données personnelles aussi longtemps que nécessaire pour atteindre les finalités décrites, sauf si une durée plus longue est exigée ou permise par la loi. Notamment :

• Comptes actifs : conservation tant que votre compte est actif.
• Comptes supprimés : suite à une demande de suppression, suppression ou anonymisation sous 30 jours (progression, succès, scores, classements, photos, etc.). Certaines données peuvent être conservées plus longtemps pour conformité légale.
• Transactions : données de commande conservées 90 jours à des fins opérationnelles ; registres financiers résumés conservés 7 ans.
• Activité suspecte : logs anti-triche conservés 30 jours.
• Achats échoués : conservés 30 jours pour récupération.
• Modération : journaux de modération conservés jusqu’à 1 an.
• Sécurité : journaux de sécurité conservés jusqu’à 1 an.
• Analytique : données agrégées et désidentifiées pouvant être conservées indéfiniment.
• Inactivité : les comptes inactifs peuvent recevoir des rappels ; nous pouvons supprimer des comptes après une longue inactivité.

8. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées, notamment :

• Chiffrement des données en transit (TLS/SSL) et au repos
• Authentification sécurisée avec rafraîchissement proactif des tokens
• Stockage chiffré des données sensibles (tokens FCM, tokens de session)
• Validation côté serveur des tokens de session via HMAC-SHA256
• Hachage des tokens d’achat avant stockage
• Masquage des IDs utilisateur dans les logs
• Application Firebase App Check
• Rate limiting sur endpoints sensibles
• Validation et assainissement des entrées
• Contrôles d’accès et permissions par rôle
• Surveillance et évaluations de sécurité régulières
• Infrastructure cloud sécurisée (Google Cloud Platform)
• Détection root/jailbreak
• Détection d’émulateur

Cependant, aucune méthode de transmission ou de stockage n’est sûre à 100 %. Nous ne pouvons pas garantir une sécurité absolue.

8.1 Notification de violation de données

En cas de violation susceptible d’engendrer un risque pour vos droits et libertés, nous :

• Notifierons l’autorité compétente sous 72 heures (GDPR Art. 33)
• Notifierons les utilisateurs concernés sans délai indu en cas de risque élevé
• Documenterons la violation et les mesures prises
• Notifierons par email (si disponible) et/ou via notification in-app

Nous respecterons également les exigences locales (ex. Californie, Brésil) le cas échéant.

9. Transferts internationaux

Cenkle Digital est établie en Turquie. Vos informations peuvent être transférées et traitées dans d’autres pays, y compris les États-Unis et d’autres pays où nos prestataires (Google, Meta, Apple) opèrent.

Pour les transferts depuis l’EEE/UK, nous nous appuyons sur :

• Les Clauses contractuelles types (SCC) de la Commission européenne
• Les décisions d’adéquation lorsque disponibles
• Votre consentement explicite lorsque nécessaire
• Les règles d’entreprise contraignantes de nos prestataires lorsque disponibles

Pour la Turquie, nous respectons la loi KVKK. Pour le Brésil, nous respectons les exigences LGPD.

Vous pouvez demander des informations sur les garanties appliquées en nous contactant à privacy@tapstice.com.

10. Vos droits

10.1 Droits pour tous les utilisateurs

Quel que soit votre pays, vous disposez des droits suivants :

• Accès : demander une copie de vos données personnelles
• Rectification : demander la correction de données inexactes
• Suppression : demander la suppression de votre compte et de vos données
• Portabilité : demander vos données dans un format portable
• Opt-out : vous opposer aux communications marketing et notifications push

10.2 Droits additionnels EEE/UK (GDPR)

Au titre du GDPR, vous avez également le droit de :

• Restriction : demander la limitation du traitement
• Opposition : vous opposer au traitement fondé sur l’intérêt légitime ou le marketing direct
• Retrait du consentement : retirer votre consentement à tout moment
• Décision automatisée : ne pas faire l’objet d’une décision uniquement automatisée produisant des effets significatifs (voir Section 13)
• Réclamation : déposer une plainte auprès de votre autorité locale (liste sur edpb.europa.eu)

10.3 Droits Californie (CCPA/CPRA)

Si vous résidez en Californie, vous avez le droit de :

• Savoir : quelles informations personnelles sont collectées, utilisées, partagées ou vendues
• Supprimer : demander la suppression
• Opt-out vente/partage : nous ne « vendons » ni ne « partageons » au sens CCPA/CPRA et ne faisons pas de publicité comportementale inter-contextes
• Non-discrimination
• Corriger
• Limiter l’usage des données sensibles

Catégories (12 derniers mois) : identifiants, activité internet/électronique, géolocalisation approximative, informations commerciales, et inférences.

Vous pouvez désigner un agent autorisé pour effectuer des demandes en votre nom. Nous pouvons exiger une vérification de l’autorité de cet agent.

10.4 Droits Brésil (LGPD)

Si vous êtes au Brésil, vous avez notamment le droit de :

• Confirmation : confirmer si nous traitons vos données personnelles
• Accès : accéder à vos données personnelles
• Correction : demander la correction de données incomplètes, inexactes ou obsolètes
• Anonymisation, blocage ou suppression
• Portabilité
• Suppression de données traitées avec consentement
• Information sur les destinataires
• Retrait du consentement
• Opposition
• Révision de décisions automatisées

Les bases légales du traitement au titre de la LGPD incluent : le consentement, l’intérêt légitime, l’exécution du contrat et le respect d’obligations légales/réglementaires.

Vous pouvez déposer une plainte auprès de l’ANPD : www.gov.br/anpd.

10.5 Droits Canada (PIPEDA)

Au Canada, au titre de la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) et des lois provinciales applicables, vous avez le droit de :

• Accès : demander l’accès aux informations personnelles que nous détenons
• Rectification : demander la correction d’informations personnelles inexactes ou incomplètes
• Retrait du consentement : retirer votre consentement à la collecte, l’utilisation ou la divulgation de vos informations personnelles, sous réserve de restrictions légales ou contractuelles
• Réclamation : déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada (OPC) via www.priv.gc.ca

Nous ne collecterons, n’utiliserons et ne divulguerons vos informations personnelles qu’avec votre connaissance et votre consentement, sauf lorsque la loi le permet ou l’exige.

10.6 Droits Turquie (KVKK)

Si vous êtes en Turquie, au titre de la loi turque n° 6698 sur la protection des données personnelles (KVKK), vous avez le droit de :

• Savoir : savoir si vos données personnelles sont traitées
• Demander des informations : demander des informations sur le traitement si vos données ont été traitées
• Finalité : connaître la finalité du traitement et si les données sont utilisées conformément à cette finalité
• Tiers : connaître les tiers auxquels vos données sont transférées en Turquie ou à l’étranger
• Rectification : demander la correction de données incomplètes ou inexactes
• Suppression : demander la suppression ou la destruction de vos données selon les conditions prévues à l’article 7 de la KVKK
• Notification : demander que les corrections ou suppressions soient notifiées aux tiers auxquels les données ont été transférées
• Opposition : vous opposer à des résultats issus exclusivement d’une analyse automatisée de vos données
• Indemnisation : demander réparation des dommages résultant d’un traitement illicite

Vous pouvez déposer une plainte auprès de l’Autorité turque de protection des données personnelles (KVKK) via www.kvkk.gov.tr.

10.7 Exercer vos droits

Vous pouvez exercer vos droits :

• Via la fonctionnalité « Supprimer le compte » dans les réglages de l’App
• En nous contactant : privacy@tapstice.com
• En indiquant votre User ID (dans l’App) ou l’email du compte

Nous répondrons à votre demande sous 30 jours (ou conformément à la loi applicable : 15 jours pour la LGPD, 30 jours pour la KVKK, 45 jours pour la CCPA/CPRA). Nous pouvons demander une vérification de votre identité avant de traiter votre demande. Si nous avons besoin de plus de temps, nous vous informerons de la raison et de la durée de prolongation.

11. Protection des enfants

Tapstice n’est pas destiné aux enfants de moins de 13 ans (ou 16 ans dans l’EEE/UK). Nous ne collectons pas sciemment des informations personnelles d’enfants en dessous de ces âges.

Conformité COPPA (États-Unis) : nous ne collectons pas sciemment des informations d’enfants de moins de 13 ans aux États-Unis. Si un parent/tuteur pense que son enfant nous a fourni des données, il doit nous contacter et nous supprimerons ces informations.

Droits parentaux : les parents ou tuteurs d’enfants en dessous de l’âge applicable peuvent nous contacter pour : (a) consulter les informations personnelles collectées auprès de leur enfant ; (b) demander la suppression de ces informations ; (c) refuser toute collecte ultérieure. Contactez-nous à privacy@tapstice.com avec l’objet "Child Privacy Request."

Si nous apprenons que nous avons collecté des données personnelles d’un enfant en dessous de l’âge applicable sans consentement parental vérifié, nous prendrons des mesures pour supprimer ces informations dans les 48 heures suivant la découverte.

12. Do Not Track

Certains navigateurs envoient un signal DNT. Notre App ne répond pas actuellement aux signaux DNT faute de norme industrielle.

Cependant, nous respectons le signal Global Privacy Control (GPC) lorsque la loi l’exige, notamment au titre de la CCPA/CPRA. Si nous détectons un signal GPC depuis votre navigateur, nous le traiterons comme une opposition valide à la vente/au partage d’informations personnelles.

13. Décisions automatisées et profilage

Nous utilisons certains processus automatisés pouvant affecter votre expérience :

• Anti-triche : analyse automatique des scores et sessions, avec rejet/validation et sanctions possibles.
• Modération : scan automatique des photos via Google Cloud Vision API et filtres sur les pseudos.
• Publicité : profilage automatisé possible par nos partenaires publicitaires.

Vos droits concernant les décisions automatisées : au titre du GDPR (Article 22), de la LGPD et de la KVKK, vous avez le droit de : (a) obtenir une intervention humaine dans une décision automatisée ; (b) exprimer votre point de vue ; (c) contester la décision. Pour exercer ces droits, contactez privacy@tapstice.com.

14. Liens vers des sites tiers

Notre App peut contenir des liens vers des sites/services tiers (App Store, Play Store, réseaux sociaux). Nous ne contrôlons pas leurs pratiques et vous invitons à consulter leurs politiques de confidentialité.

15. Modifications

Nous pouvons mettre à jour cette Politique de confidentialité. Nous vous informerons des changements matériels en :

• Publiant la nouvelle Politique de confidentialité sur cette page
• Mettant à jour la date de « Dernière mise à jour »
• Envoyant une notification in-app ou un email pour les changements importants
• Demandant un nouveau consentement via l’App lorsque requis pour des changements matériels du traitement des données

Votre utilisation continue de l’App après toute modification constitue une acceptation de la Politique de confidentialité mise à jour. Si vous n’acceptez pas les changements, vous devez cesser d’utiliser l’App et demander la suppression de votre compte.

16. Nous contacter

Pour toute question, contactez-nous :

• Confidentialité : privacy@tapstice.com
• Assistance: support@tapstice.com
• Juridique : legal@tapstice.com
• Site : tapstice.com

Responsable du traitement :

• Société : Cenkle Digital
• Adresse : Icerenköy Mah., Atasehir, Istanbul, Turkey
• Email : privacy@tapstice.com

DPO / Représentant UE (GDPR Article 27) :

• Nom : Cenk Yagmur
• Adresse : Icerenköy Mah., Atasehir, Istanbul, Turkey
• Email : privacy@tapstice.com

Brésil : ANPD www.gov.br/anpd.

Canada : OPC www.priv.gc.ca.

Turquie : KVKK www.kvkk.gov.tr.