VexoraKey — Marketplace gamingVexoraKey
Légal

Politique de Confidentialité (RGPD)

Cette politique explique comment VexoraKey collecte, utilise et protège vos données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.

⚠ Avis important — phase de lancement. Ces documents sont fournis à titre informatif. Avant ouverture commerciale, ils seront audités et validés par un avocat spécialisé en droit du numérique / consommation. Aucune transaction réelle n'a lieu tant que cet audit n'est pas finalisé.

1. Responsable de traitement

Le responsable de traitement est l'éditeur du site VexoraKey (voir Mentions légales). En l'absence d'obligation légale de désigner un DPO (Délégué à la Protection des Données) au sens de l'art. 37 RGPD, VexoraKey a désigné un point de contact RGPD dédié. Contact RGPD : privacy@vexorakey.com — réponse sous 30 jours maximum (art. 12 RGPD). Un DPO sera formellement désigné dès que les seuils d'activité l'imposeront (suivi systématique à grande échelle ou traitement à grande échelle de données sensibles).

2. Données collectées

Identification (email, nom, prénom, adresse, ville, code postal, pays, téléphone, avatar), données KYC (pièce d'identité, justificatif d'adresse — pour les vendeurs et acheteurs > 100 €), historique de commandes et de messages, alias de carte (4 derniers chiffres, marque, expiration — jamais le numéro complet), données de connexion (IP, user-agent, horodatage), cookies essentiels.

3. Finalités et bases légales

Exécution du contrat : gestion du compte, des commandes, de la messagerie et de la livraison. Obligations légales : facturation (10 ans), LCB-FT (5 ans), conservation des justificatifs KYC, conservation des logs de connexion (1 an — art. 6-II LCEN). Intérêt légitime : prévention de la fraude, sécurité de la plateforme, statistiques anonymes. Consentement : cookies non essentiels, newsletter.

4. Durées de conservation

Compte actif : tant que le compte existe. Compte inactif : suppression après 3 ans d'inactivité. Données comptables : 10 ans (art. L123-22 C. com.). KYC : 5 ans après la dernière transaction. Logs techniques : 12 mois maximum.

5. Destinataires et sous-traitants

Vos données ne sont jamais vendues. Sous-traitants : Cloudflare (hébergement, USA — clauses contractuelles types UE), Supabase (base de données et auth, UE/USA — CCT), Stripe (paiement, UE/USA), Lovable AI Gateway (traduction des messages). Les transferts hors UE sont encadrés par les clauses contractuelles types de la Commission européenne.

6. Vos droits

Droit d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité, et de définir des directives post-mortem. Pour les exercer : privacy@vexorakey.com, page Contact ou messagerie de l'espace compte. Réponse sous 30 jours. En cas de demande manifestement infondée ou excessive, VexoraKey peut refuser ou facturer des frais raisonnables (art. 12-5 RGPD).

7. Sécurité

Chiffrement TLS 1.2+ en transit, chiffrement au repos, RLS (Row-Level Security) sur toutes les tables, séparation stricte des rôles (utilisateur / modérateur / admin / propriétaire), authentification renforcée pour l'espace admin, journalisation des accès admin, sauvegardes quotidiennes chiffrées.

8. Mineurs

VexoraKey n'est pas destinée aux personnes de moins de 15 ans. Conformément à l'art. 7-1 de la loi Informatique et Libertés (transposant l'art. 8 RGPD), aucun traitement de données ne peut être effectué sur la base du seul consentement d'un mineur de moins de 15 ans en France. Tout compte détecté appartenant à un mineur de moins de 15 ans est immédiatement supprimé et les données effacées. Les parents qui constatent l'inscription de leur enfant mineur peuvent demander la suppression du compte à privacy@vexorakey.com.

9. Notification de violation de données (art. 33 et 34 RGPD)

En cas de violation de données à caractère personnel (accès non autorisé, perte, divulgation, altération), VexoraKey s'engage à : — Notifier la CNIL dans un délai maximum de 72 heures après en avoir pris connaissance, en indiquant la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou envisagées. — Informer individuellement les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, sauf si les données étaient chiffrées et inaccessibles ou si l'information individuelle exige des efforts disproportionnés (auquel cas une communication publique sera diffusée). — Documenter toute violation dans un registre interne dédié (art. 33-5 RGPD), y compris celles non notifiables. — Mettre en œuvre sans délai les mesures correctives nécessaires (changement de mots de passe, révocation de tokens, audit de sécurité, etc.). Contact incident sécurité : security@vexorakey.com.

10. Registre des traitements (art. 30 RGPD)

Conformément à l'art. 30 du RGPD, VexoraKey tient un registre interne des activités de traitement, mis à jour à chaque évolution. Ce registre n'est pas public mais est tenu à la disposition de la CNIL en cas de contrôle. Il documente notamment : les finalités, les catégories de personnes et de données, les destinataires, les transferts hors UE, les durées de conservation et les mesures de sécurité.

11. Cookies

Voir la Politique de cookies dédiée.

12. Réclamation auprès de la CNIL

Vous pouvez à tout moment introduire une réclamation auprès de la CNIL : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

Dernière mise à jour : 2 juin 2026