Politique de confidentialité
The Merchant's Bag
1. Qui sommes-nous
La présente Politique de confidentialité décrit comment Stars Encoding (CNPJ 46.609.057/0001-93), responsable du traitement, traite les données personnelles lorsque vous utilisez l'application mobile Merchant's Bag, le site (merchantsbag.com) et les services associés (collectivement, le « Service »).
Contact :
Stars Encoding · CNPJ 46.609.057/0001-93
admin@merchantsbag.com ·
support@merchantsbag.com
2. Champ d'application
Cette politique s'applique au Service tel qu'il existe aujourd'hui. Certaines fonctionnalités décrites sur notre site (comme les abonnements payants, la génération de contenu assistée par IA ou les notifications push) pourront être ajoutées à l'avenir. Le cas échéant, nous mettrons à jour cette politique avant ou au moment de leur mise à disposition.
3. Données que nous collectons
3.1 Données de compte et d'identité
Lorsque vous créez ou utilisez un compte, nous pouvons collecter :
- Adresse e-mail (e-mail/mot de passe, Google ou Apple)
- Nom d'affichage (facultatif ; vous pouvez le définir ou le modifier dans l'app)
- Type de fournisseur d'authentification (invité anonyme, e-mail, Google ou Apple)
- Identifiant utilisateur Firebase (UID)
- Date de création du compte et de la dernière connexion
Vous pouvez utiliser le Service en tant qu'invité anonyme. Les comptes invités reçoivent un identifiant temporaire et un nom d'affichage par défaut. Vous pouvez ultérieurement lier une session invité à un compte enregistré.
3.2 Données d'appareil et de session
Lors de la connexion et pendant l'utilisation, nous pouvons collecter :
- Plateforme de l'appareil (Android, iOS ou web)
- Version du système d'exploitation
- Modèle ou nom de l'appareil
- Version de l'application
- Préférences de langue/locale et de fuseau horaire
3.3 Localisation approximative (basée sur l'IP)
Nous n'accédons pas au GPS de votre appareil et ne demandons pas d'autorisations de localisation sur votre téléphone ou tablette. Cependant, lorsque vous vous connectez ou revenez dans l'app en étant authentifié, notre backend met à jour votre profil utilisateur et peut enregistrer une localisation approximative dérivée de l'adresse IP de votre réseau à ce moment-là.
Cela se produit entièrement sur nos serveurs (pas sur votre appareil). Nous lisons l'adresse IP de la connexion à notre service d'authentification et la consultons dans la base de données open source geoip-lite. Lorsqu'une correspondance fiable est trouvée, nous pouvons stocker les éléments suivants dans votre profil cloud (Firebase Firestore) :
- Pays (code ISO, le cas échéant)
- Région ou code d'État/province
- Nom de la ville
- Latitude et longitude approximatives (généralement au niveau de la ville, pas votre adresse exacte)
- Fuseau horaire associé à la recherche IP
- Horodatage de la capture de l'estimation
- Que la source était basée sur l'IP (pas le GPS)
Les adresses de réseau local ou privé (par exemple 127.0.0.1 ou les plages Wi‑Fi domestiques typiques) ne sont pas géolocalisées. Si aucune recherche fiable n'est possible, nous ne stockons tout simplement pas de localisation pour cette connexion.
Cette estimation reflète votre dernière session de connexion et est actualisée lorsque votre profil est mis à jour après la connexion — pas en continu en arrière-plan. Nous l'utilisons pour comprendre l'utilisation générale par région, détecter des schémas de connexion inhabituels et améliorer la sécurité. Nous ne l'utilisons pas pour la publicité ni pour suivre vos déplacements en temps réel.
3.4 Contenu que vous créez dans l'app
Selon votre utilisation du Service, nous pouvons stocker :
- Noms de campagnes, système de règles et descriptions
- Informations sur les villes et boutiques (noms, notes, paramètres économiques)
- Noms d'affichage des joueurs à la table
- Objets d'inventaire, quantités, poids et soldes de bourse
- Objets personnalisés et entrées de bibliothèque personnelle
- Champs de fiche de personnage que vous saisissez
- Historique de campagne et notes de transactions
- Codes d'invitation et enregistrements d'appartenance aux campagnes
Au sein d'une campagne, l'inventaire et certaines données de jeu sont visibles par les autres membres de la table. Le Maître de jeu (propriétaire de la campagne) peut voir les données des membres pertinentes pour animer la session.
Contenu concernant d'autres personnes : Les champs de texte libre dans l'app (noms de campagnes et de villes, noms et descriptions d'objets, notes, champs de fiche et noms d'affichage) sont rédigés par vous. Vous ne devez pas saisir de données personnelles d'autrui, d'informations d'identification réelles, ni de noms, marques ou textes protégés par des tiers sans autorisation. Vous êtes responsable du contenu que vous saisissez, y compris les noms de tiers. Consultez nos Conditions d'utilisation pour les règles applicables à votre contenu.
3.5 Stockage local sur votre appareil
L'app stocke des données localement pour une utilisation hors ligne, notamment :
- Données de campagne et d'inventaire en cache
- Jetons de session d'authentification
- Préférences de l'app, comme la langue et le thème
- Codes d'invitation de campagne en attente
Sur notre page d'invitation (/join), votre navigateur peut stocker un code d'invitation en attente afin que vous puissiez revenir après l'installation de l'app.
3.6 Ce que nous ne collectons pas aujourd'hui
Nous ne collectons ni n'utilisons actuellement :
- La localisation GPS précise
- Photos, contacts, calendrier ou données du microphone
- Données de carte de paiement ou bancaires (aucune facturation in-app active)
- Identifiants publicitaires ou profils d'analyse comportementale
- Jetons de notification push
4. Comment nous utilisons vos données
Nous utilisons les données personnelles pour :
- Fournir, exploiter et maintenir le Service
- Vous authentifier et sécuriser les requêtes API (y compris Firebase App Check)
- Synchroniser vos données entre votre appareil et le cloud (comptes enregistrés)
- Permettre la collaboration en campagne (invitations, adhésion, inventaire partagé)
- Appliquer les limites de plan (quotas de bibliothèque d'objets gratuite vs Premium)
- Répondre aux demandes d'assistance et protéger contre les abus
- Enregistrer la région approximative de votre IP à la connexion pour la sécurité et une vision agrégée de l'usage (voir section 3.3)
- Respecter les obligations légales
En vertu de la LGPD brésilienne, nos bases légales comprennent : l'exécution d'un contrat (fourniture du Service demandé), les intérêts légitimes (sécurité, prévention de la fraude, amélioration du produit) et le consentement lorsque requis (par exemple, les méthodes de connexion facultatives que vous choisissez).
5. Comment nous partageons les données
5.1 Au sein de votre campagne
Les données que vous ajoutez à une campagne peuvent être visibles par les autres joueurs et le Maître de jeu de cette campagne, conformément à la conception du jeu sur table.
5.2 Prestataires de services (sous-traitants)
Nous utilisons des services tiers pour exploiter le Service, notamment :
- Google Firebase — authentification, base de données cloud (Firestore), fonctions serveur et hébergement web
- Google Sign-In — connexion facultative sur Android, iOS et web
- Apple Sign-In — connexion facultative sur iOS et web
- Google Play Integrity / Apple App Attest — contrôles d'intégrité de l'app via Firebase App Check
- geoip-lite — recherche IP vers localisation sur nos serveurs
- Google Gemini — fonctionnalités facultatives assistées par IA (génération d'objets, portraits, brouillons de boutiques, import de fiches). Le texte et les images soumis pour la génération sont envoyés à l'API Gemini de Google.
- Google Play Store — distribution de l'app (Android)
Ces prestataires traitent les données pour notre compte selon leurs propres conditions et politiques de confidentialité. L'infrastructure Firebase/Google Cloud peut stocker ou traiter des données hors du Brésil.
5.3 Ce que nous ne faisons pas
Nous ne vendons pas vos données personnelles et ne les partageons pas avec des annonceurs. Nous n'envoyons pas votre texte in-app à des fournisseurs d'IA tiers, sauf si vous utilisez une fonctionnalité assistée par IA ; voir la section 13 ci-dessous.
5.4 Exigences légales
Nous pouvons divulguer des données si la loi, une ordonnance judiciaire ou une demande gouvernementale l'exige, ou pour protéger les droits, la sécurité et l'intégrité des utilisateurs et du Service.
6. Transferts internationaux
Vos données peuvent être traitées sur des serveurs exploités par Google et d'autres prestataires dans des pays autres que le Brésil, y compris les États-Unis. Lorsque requis, nous nous appuyons sur des garanties appropriées autorisées par la loi applicable pour ces transferts.
7. Conservation
Nous conservons les données personnelles tant que votre compte est actif et selon les besoins pour fournir le Service, respecter les obligations légales, résoudre les litiges et faire respecter nos accords. Le contenu de campagne et utilisateur reste stocké jusqu'à ce que vous ou le propriétaire de la campagne le supprimiez ou en demandiez la suppression. La localisation approximative stockée dans votre profil (section 3.3) est conservée tant que votre compte est actif et supprimée lorsque vous supprimez votre compte. Les journaux serveur contenant des identifiants opérationnels (comme les ID utilisateur) sont conservés pour une durée limitée pour la sécurité et le dépannage.
8. Sécurité
Nous utilisons des mesures standard du secteur, notamment des connexions chiffrées (HTTPS/TLS), des règles de sécurité Firebase, un accès API authentifié et l'attestation App Check. Aucune méthode de transmission ou de stockage n'est sûre à 100 % ; nous ne pouvons garantir une sécurité absolue.
9. Vos droits sous la LGPD
Si vous êtes au Brésil, vous disposez de droits sous la LGPD, notamment :
- Confirmer si nous traitons vos données
- Accéder à vos données
- Corriger des données incomplètes, inexactes ou obsolètes
- Anonymiser, bloquer ou supprimer des données inutiles ou traitées illicitement
- Transférer vos données vers un autre service, le cas échéant
- Retirer votre consentement lorsque le traitement est fondé sur le consentement
- Obtenir des informations sur les entités avec lesquelles nous avons partagé des données
- Révoquer le consentement et demander la suppression, sous réserve des besoins de conservation légale
Pour exercer ces droits, contactez support@merchantsbag.com. Nous répondrons dans les délais exigés par la loi.
Suppression de compte : Les utilisateurs enregistrés peuvent supprimer leur compte et les données cloud directement dans l'app : Paramètres → À propos → Supprimer mon compte. Cela supprime définitivement votre profil, vos bibliothèques d'objets, les campagnes que vous possédez et votre compte Firebase Authentication. La déconnexion supprime les données locales de votre appareil. Vous pouvez aussi envoyer un e-mail à support@merchantsbag.com depuis l'adresse liée à votre compte si vous avez besoin d'aide.
Vous pouvez également déposer une plainte auprès de l'Autorité nationale de protection des données du Brésil (ANPD).
10. Vos droits sous le RGPD (UE/EEE)
Si vous êtes dans l'Union européenne ou l'Espace économique européen (y compris l'Allemagne, la France et l'Espagne), vous disposez de droits sous le Règlement général sur la protection des données (RGPD), notamment :
- Accéder aux données personnelles que nous détenons sur vous
- Rectifier des données inexactes ou incomplètes
- Demander l'effacement de vos données (« droit à l'oubli »)
- Restreindre ou vous opposer à certains traitements
- La portabilité des données, le cas échéant
- Retirer votre consentement lorsque le traitement est fondé sur le consentement
- Déposer une plainte auprès de votre autorité de contrôle locale
Pour exercer ces droits, utilisez la suppression de compte in-app (Paramètres → À propos) ou contactez support@merchantsbag.com. Nous répondrons dans les délais exigés par la loi.
11. Enfants
Le Service ne s'adresse pas aux enfants de moins de 13 ans (ou à l'âge minimum requis dans votre juridiction). Nous ne collectons pas sciemment de données personnelles d'enfants. Si vous pensez qu'un enfant nous a fourni des données, contactez-nous et nous prendrons des mesures pour les supprimer.
12. Analyses, publicités et notifications
Nous n'utilisons pas de réseaux publicitaires tiers ni de SDK d'analyse comportementale dans l'app aujourd'hui. Nous n'envoyons pas de notifications push aujourd'hui. Les journaux serveur peuvent enregistrer des événements opérationnels (comme l'activité de synchronisation et les connexions) pour la fiabilité et la sécurité.
13. Génération de contenu assistée par IA (Google Gemini)
Le Service propose des fonctionnalités facultatives assistées par IA avec Google Gemini qui génèrent du contenu de jeu, comme le stock des boutiques, des objets, des portraits et des descriptions de boutiques ou de villes. Les utilisateurs du plan Premium avec un compte enregistré peuvent accéder à ces fonctionnalités dans des limites d'usage mensuelles.
Lorsque vous utilisez une fonctionnalité assistée par IA, le texte que vous fournissez — comme une description de campagne, un prompt ou un contexte de jeu — est envoyé à un fournisseur d'IA/modèle de langage pour générer un résultat. Pour protéger votre vie privée :
- Seule l'entrée soumise pour la génération, plus le contexte nécessaire au résultat, est envoyée — pas l'intégralité de votre compte ni d'autres campagnes.
- N'incluez pas de données personnelles d'autres personnes ni d'informations confidentielles de tiers dans les prompts.
- La sortie de l'IA est générée automatiquement, peut être inexacte ou répétitive et doit être relue avant utilisation à votre table.
- Le fournisseur d'IA est Google Gemini (Google AI). Les données sont traitées selon les conditions et la politique de confidentialité de Google et peuvent l'être hors du Brésil et de l'UE/EEE.
Si vous n'utilisez pas les fonctionnalités assistées par IA, votre texte in-app n'est pas envoyé à Gemini. L'utilisation des fonctionnalités d'IA et la propriété du contenu généré sont également couvertes dans nos Conditions d'utilisation.
14. Autres fonctionnalités prévues
Notre site et notre app peuvent décrire des fonctionnalités futures supplémentaires, notamment des abonnements payants, des notifications push et l'export PDF. Elles ne sont pas actives dans la version actuelle. Si nous les introduisons, nous mettrons à jour cette Politique de confidentialité pour décrire toute nouvelle collecte de données (par exemple, les données de paiement gérées par la boutique d'apps ou les jetons d'appareil pour les notifications).
15. Modifications de cette politique
Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. Nous publierons la version révisée sur cette page et mettrons à jour la date de « Dernière mise à jour ». Pour des changements importants, nous pourrons fournir un avis supplémentaire dans l'app ou par e-mail, le cas échéant.
16. Documents connexes
Consultez également nos Conditions d'utilisation.