Aller au contenu principal
CipherChronicle

CipherChronicle

Politique de confidentialité (RGPD)

Politique de confidentialité de CipherChronicle : données collectées, finalités, destinataires, durées de conservation, mesures de sécurité, gestion des cookies et exercice des droits RGPD.

Dernière mise à jour : 26 avril 2026

1. En bref

CipherChronicle est conçu pour être privacy-first : la quasi-totalité des traitements (chiffrement, déchiffrement, validation des grilles) s'exécutent dans votre navigateur. Aucune solution de puzzle, aucune saisie de l'atelier, aucune réponse n'est envoyée à un serveur. Les seules données qui quittent votre appareil sont celles nécessaires à la création d'un compte (e-mail, pseudo) et, si vous l'acceptez, des indicateurs anonymisés de mesure d'audience.

2. Responsable du traitement

Le responsable du traitement des données personnelles collectées via le Site est :

  • Challenge My Project — Société par Actions Simplifiée (SAS)
  • Siège social : 90 B rue de Fougères, 35700 Rennes, France
  • SIREN : 880 614 110 — RCS Rennes
  • Directeur de la publication : David Patiashvili
  • Contact : [email protected]

Les coordonnées complètes de l'éditeur figurent sur la page Mentions légales.

3. Données collectées et finalités

Le tableau ci-dessous récapitule les catégories de données traitées, leur finalité, la base légale invoquée et leur durée de conservation.

Catégorie Données Finalité Base légale Durée
Compte utilisateur Adresse e-mail, mot de passe (haché par Firebase), pseudonyme, avatar facultatif, identifiant interne Firebase (UID). Création et gestion du compte ; authentification ; rattachement des grilles créées à leur auteur. Exécution du contrat (art. 6.1.b RGPD). Tant que le compte est actif. Suppression sur demande ou après 24 mois d'inactivité.
Contenu utilisateur Grilles créées (titre, métadonnées, paramètres de chiffrement), empreinte SHA-256 de la solution (jamais la solution en clair), progression de résolution. Publication et partage des grilles ; suivi de votre progression ; validation côté client des tentatives. Exécution du contrat (art. 6.1.b RGPD). Tant que le compte est actif ou que la grille est publiée.
Stockage local technique theme (préférence d'affichage), cipherchronicle:cookies (mémorisation du choix de consentement). Mémoriser vos préférences entre deux visites ; respecter votre choix RGPD sans le redemander. Intérêt légitime — exemption de consentement (CNIL, finalité strictement nécessaire). Persistant jusqu'à effacement manuel.
Mesure d'audience Cookies _ga, _ga_<ID> ; pages consultées, événements de l'atelier, source de trafic, adresse IP tronquée. Comprendre l'usage du site (pages les plus consultées, méthodes les plus essayées) pour l'améliorer. Consentement (art. 6.1.a RGPD), recueilli via le bandeau cookies. Aucun chargement avant acceptation. 13 mois maximum côté Google Analytics.
Communications Contenu des e-mails que vous nous envoyez (adresse, objet, message). Répondre à vos demandes (support, exercice de droits, signalement, retrait de contenu). Intérêt légitime (art. 6.1.f RGPD) ou exécution d'une obligation légale selon la demande. 3 ans à compter du dernier échange, sauf obligation légale plus longue.

Aucune donnée de chiffrement saisie dans l'atelier (/chiffrer, /dechiffrer) n'est envoyée à un serveur. Tout reste dans votre navigateur ; rien n'est journalisé côté éditeur.

4. Destinataires des données

Les données ne sont jamais cédées ni vendues. Elles sont accessibles à un nombre limité de prestataires techniques, dans le cadre strict de leurs missions et sous obligation contractuelle de confidentialité.

  • Personnel autorisé de Challenge My Project — administration du service et support utilisateur.
  • Google Ireland Limited (Firebase Authentication, Firestore, Storage) — Gordon House, Barrow Street, Dublin 4, Irlande. Sous-traitant qui héberge le compte, les grilles et les contenus utilisateurs. Conforme RGPD via les Clauses Contractuelles Types (CCT) de la Commission européenne pour les éventuels transferts hors UE.
  • Google Ireland Limited (Google Analytics 4) — mesure d'audience, uniquement après consentement, avec anonymisation de l'adresse IP. Politique : policies.google.com/privacy .
  • Scaleway SAS — 8 rue de la Ville l'Évêque, 75008 Paris, France. Hébergeur du bundle statique du Site (région FR-PAR).
  • Autorités publiques — uniquement sur réquisition judiciaire ou administrative valide.

Aucun partage avec des régies publicitaires, brokers de données, ou outils de profilage tiers. Aucun pixel Facebook, TikTok, LinkedIn, ni outil de fingerprinting.

5. Cookies et traceurs

À votre première visite, un bandeau de consentement vous demande votre choix avant tout chargement de mesure d'audience. Tant que vous n'avez pas répondu, aucun script Google n'est exécuté et aucun appel réseau n'est émis vers googletagmanager.com.

  • Stockage local technique (toujours actif, exempté de consentement) — clés theme et cipherchronicle:cookies ; ne quittent jamais votre appareil.
  • Mesure d'audience anonymisée (Google Analytics 4) — chargée uniquement après acceptation. Cookies _ga et _ga_<ID>, durée maximale 13 mois. anonymize_ip est activé d'office (dernier octet IP tronqué).

Vous pouvez à tout moment changer d'avis via le bouton « Gérer mes cookies » en pied de page, ou bloquer les cookies via les réglages de votre navigateur.

6. Mesures de sécurité

Nous appliquons des mesures techniques et organisationnelles proportionnées au risque, conformément à l'article 32 du RGPD.

  • Transport chiffré : l'intégralité du Site est servie en HTTPS via TLS 1.2+. HSTS est activé côté CDN.
  • Mots de passe non récupérables : les mots de passe des comptes sont hachés et salés par Firebase Authentication (algorithme scrypt). Ils ne sont jamais stockés en clair, ni accessibles par l'éditeur.
  • Solutions de puzzles non stockées en clair : seule une empreinte cryptographique SHA-256(solution normalisée + puzzleId), calculée dans votre navigateur, est enregistrée. La validation des tentatives se fait elle aussi côté client : le serveur n'accède jamais au texte d'origine.
  • Architecture front-only : la logique métier (chiffrement, déchiffrement, validation) tourne dans le navigateur. Le contenu chiffré dans l'atelier ne quitte jamais votre appareil.
  • Règles d'accès Firestore : l'accès en écriture aux grilles est restreint à leur auteur (request.auth.uid == resource.data.ownerUid). La progression personnelle est accessible uniquement à l'utilisateur authentifié correspondant.
  • Authentification à deux facteurs (TOTP) activée sur les comptes administratifs Firebase et Scaleway.
  • Cloisonnement des prestataires : le bundle statique (sans donnée personnelle) est servi par Scaleway depuis la France ; les données utilisateurs vivent uniquement chez Firebase. Les deux ne se mélangent pas.
  • Mises à jour de sécurité : audits réguliers des dépendances (npm audit, mises à jour de patch), configuration des en-têtes de sécurité (CSP, X-Content-Type-Options, Referrer-Policy).
  • Sauvegardes : Firestore conserve des sauvegardes quotidiennes gérées par Google ; aucune copie locale n'est faite par l'éditeur.
  • Procédure de violation : en cas d'incident susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL sous 72 heures et vous informerons sans délai conformément aux articles 33 et 34 du RGPD.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants sur les données vous concernant :

  • Droit d'accès à vos données et à une copie de celles-ci.
  • Droit de rectification des données inexactes ou incomplètes.
  • Droit à l'effacement (« droit à l'oubli »), notamment via la suppression de votre compte.
  • Droit à la limitation du traitement.
  • Droit d'opposition au traitement, en particulier à la mesure d'audience.
  • Droit à la portabilité de vos données dans un format structuré et lisible par machine.
  • Droit de retirer votre consentement à tout moment, notamment via le bouton « Gérer mes cookies ».
  • Droit de définir des directives sur le sort de vos données après votre décès.

8. Comment nous contacter

Pour exercer vos droits, poser une question relative à vos données, ou signaler un incident, plusieurs canaux sont à votre disposition :

  • Par e-mail (canal recommandé) : [email protected].
  • Via le formulaire de la page Nous contacter.
  • Par courrier postal : Challenge My Project — 90 B rue de Fougères, 35700 Rennes, France. Préciser « RGPD » sur l'enveloppe.

Pour des raisons de sécurité, nous pouvons vous demander un justificatif d'identité avant de donner suite à une demande d'accès, de rectification ou d'effacement, afin d'éviter qu'un tiers n'exerce vos droits à votre place. Nous nous engageons à répondre dans un délai d'un mois, prorogeable de deux mois en cas de demande complexe (art. 12 RGPD).

9. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07, France
  • Site web : cnil.fr

10. Transferts hors Union européenne

Les services Firebase et Google Analytics opérés par Google Ireland Limited peuvent impliquer des transferts vers les États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types approuvées par la Commission européenne (décision 2021/914) et par les engagements de Google dans le cadre du Data Privacy Framework UE-États-Unis. Les autres prestataires (Scaleway pour la diffusion du bundle) opèrent depuis l'Union européenne.

11. Modifications de la politique

Cette politique peut être mise à jour pour refléter des évolutions du Site, de la réglementation ou de nos prestataires. La date de dernière mise à jour est indiquée en haut de cette page. En cas de modification substantielle, nous vous informerons par un message en haut du Site ou par e-mail si vous disposez d'un compte.