bumply.
Retour à l'accueil

Bumply · Document légal

Politique de confidentialité

Bumply respecte ta vie privée et applique le Règlement Général sur la Protection des Données (RGPD, UE 2016/679). Ce document décrit exactement quelles données on collecte, pourquoi, combien de temps on les garde, et comment tu peux exercer tes droits.

Dernière mise à jour : 10 mai 2026

En 30 secondes

  • On collecte le minimum : nom Discord, avatar, email vérifié, et tes contributions au service (serveurs inscrits, avis, bumps).
  • Aucun tracking publicitaire : pas de Google Analytics, pas de Meta Pixel, pas de cookies tiers.
  • Stockage UE : Postgres et fichiers hébergés chez OVHcloud (Roubaix / Gravelines, France). Aucun transfert hors UE.
  • IPs anonymisées: hash HMAC-SHA256 avec sel mensuel rotatif, jamais l'IP en clair.
  • Effacement à la demande : 1 clic dans ton dashboard, ou email à privacy@bumply.org.

1. Responsable du traitement

Le responsable du traitement des données est l'éditeur de Bumply (cf. mentions légales). Contact dédié vie privée : privacy@bumply.org.

Compte tenu de la taille du projet (solo dev, < 250 employés et < 5000 personnes concernées), Bumply n'est pas tenu de désigner un DPO. Le fondateur assume directement le rôle de point de contact RGPD.

2. Données collectées

A. Données de compte (via OAuth Discord)

  • discord_id (snowflake, ne change jamais)
  • username et global_name (modifiables côté Discord, on resynchronise)
  • avatar_hash(lien vers le CDN Discord, on ne stocke pas l'image)
  • email— uniquement si l'adresse est vérifiée côté Discord. Sert au support et aux notifications de modération critiques (ban, recours)
  • locale, created_at(date d'inscription Bumply), last_seen_at (dernière connexion)

B. Tokens OAuth Discord (côté serveur uniquement)

Pour vérifier que tu es bien owner d'un serveur Discord (vérification scope=guilds), on stocke ton access token Discord côté serveur. Il est utilisé uniquement lorsque tu enregistres ou édites un serveur ; jamais transmis à des tiers ; expiré et purgé automatiquement après 7 jours.

C. Contenus que tu publies

  • Serveurs inscrits : description, tags, bannière custom (uploadée dans /uploads/banners/)
  • Avis postés, votes sur les avis d'autres users, réponses d'owner aux avis
  • Historique de bumps (qui, quand, sur quel serveur)

D. Données techniques liées à ton activité

  • Cookie de session (HttpOnly, Secure, SameSite=Lax) — UUID opaque, durée 30 jours
  • IP du visiteur lors des bumps web et des join_clicks — hashée HMAC-SHA256avec sel mensuel rotatif. L'IP en clair n'est jamais persistée.
  • User-Agent (anonymisé, tronqué à 240 chars)
  • Statistiques d'activité agrégées (compteurs anonymes) : vues serveur, joueurs uniques par jeu sur 7j (hash anonyme)

E. Données NON collectées

On ne collecte JAMAIS :

  • Ton mot de passe Discord (OAuth uniquement)
  • L'historique de tes messages Discord privés ou DM
  • Le contenu des channels non-publics des serveurs où tu es
  • Ta localisation géographique précise (on garde uniquement le hash IP)
  • Tes données bancaires (pas de paiement en Phase A)
  • Des données comportementales pour publicité ciblée (pas de publicité)

3. Finalités et bases légales

FinalitéBase légale RGPDDonnées
Te permettre d'utiliser le service (compte, listing, bumps, avis)Exécution du contrat (art. 6.1.b)Profil Discord, contenus publiés
Modérer les contenus et lutter contre les abusIntérêt légitime (art. 6.1.f)Logs de modération, hash IP, signalements
Notifications critiques (ban, signalement, recours)Exécution du contratEmail vérifié Discord
Statistiques anonymes (uptime, joueurs uniques)Intérêt légitimeHash IP rotatifs, compteurs agrégés
Obligations légales (réquisitions, lutte contre fraude)Obligation légale (art. 6.1.c)Données strictement nécessaires sur réquisition

4. Destinataires

Tes données ne sont jamais vendues ni cédées. Les seuls destinataires sont :

  • Discord Inc.— pour l'OAuth (lecture de ton profil public) et l'envoi de notifications via le bot. Régi par leur politique de confidentialité.
  • OVH SAS (hébergeur UE, Roubaix) — accueil des bases de données managées, des serveurs applicatifs et du stockage objet. Aucun accès aux données en clair sauf intervention support sollicitée.
  • IGDB / Twitch — métadonnées des jeux uniquement (titre, cover, genres). On envoie le nom du jeu à enrichir, jamais de données user.
  • Autorités françaises — sur réquisition judiciaire uniquement, dans le cadre strict de la loi.

5. Durée de conservation

DonnéeDuréePourquoi
Compte utilisateur actifToute la durée d'utilisation + 30 jours après suppressionPermet la réactivation rapide en cas d'erreur
Compte inactif (pas de login > 3 ans)Suppression automatique annuelleMinimisation des données
Tokens OAuth Discord7 jours après la dernière utilisationPas besoin de garder le token en permanence
Avis publiésTant que le serveur existe sur BumplyCohérence du listing public
Hash IP (bumps, join_clicks)12 mois maximum (rotation mensuelle du sel)Anti-abus + statistiques
Logs de modération5 ans (append-only)Obligation légale + audit
Annonces capturées90 jours (purge auto, hors mirror S3 Phase B)Pas d'indexation indéfinie hors Discord
Hash de joueurs uniques (game_user_daily)14 joursCalcul du trending sur 7j glissant

6. Transferts hors UE

Bumply ne transfère pasde données personnelles hors de l'Union européenne. L'ensemble de l'infrastructure (base de données, cache, serveurs applicatifs, fichiers uploadés) est hébergée chez OVHcloud dans les datacenters de Roubaix et Gravelines (France).

Les seuls flux sortants UE concernent les APIs Discord et IGDB. Discord traite ces flux conformément aux clauses contractuelles types (SCC) de la Commission européenne ; IGDB ne reçoit aucune donnée user (uniquement des noms de jeux à enrichir).

7. Tes droits RGPD

Tu disposes, à tout moment et sans justification, des droits suivants :

  • Droit d'accès(art. 15) — obtenir une copie de toutes les données qu'on détient sur toi. Disponible en 1 clic dans ton dashboard (« Exporter mes données »), au format JSON structuré.
  • Droit de rectification (art. 16) — corriger une donnée inexacte. Les champs Discord se mettent à jour automatiquement à chaque login ; pour le reste, écris à privacy@bumply.org.
  • Droit à l'effacement(art. 17, « droit à l'oubli ») — suppression définitive de ton compte et de tes contributions. Bouton dans ton dashboard ou email à privacy@bumply.org. Effective sous 30 jours maximum.
  • Droit d'opposition(art. 21) — refuser un traitement basé sur l'intérêt légitime. Tu peux par exemple demander à ne plus apparaître dans les statistiques anonymes.
  • Droit à la portabilité(art. 20) — récupérer tes données dans un format structuré (JSON) pour les réutiliser ailleurs. Disponible via le bouton d'export.
  • Droit à la limitation(art. 18) — geler le traitement de tes données pendant la vérification d'une réclamation.

Délai de réponse : sous 30 joursmaximum. Si nous pensons que ta demande est manifestement infondée ou excessive, nous t'expliquerons pourquoi avant de la refuser.

8. Sécurité

Mesures techniques en place :

  • Tout le trafic HTTPS (TLS 1.3) avec HSTS activé. Aucune donnée en clair sur le réseau.
  • Mots de passe non stockés (OAuth Discord exclusivement).
  • Tokens OAuth chiffrés au repos.
  • Sessions stockées en cookie HttpOnly + Secure + SameSite=Lax avec HMAC signé.
  • Sauvegardes quotidiennes chiffrées chez OVHcloud, rétention 30 jours.
  • Logs d'accès admin tracés en append-only.

9. Cookies

Pour le détail des cookies et du localStorage utilisés, consulte notre page cookies.

10. Mineurs

L'accès au service est ouvert à partir de 13 ans(âge minimum imposé par Discord). En France et dans plusieurs pays UE, le consentement du titulaire de l'autorité parentale est requis en-dessous de 15 ans.

Si tu es parent et constates qu'un mineur de moins de 15 ans utilise Bumply sans ton consentement, contacte-nous à privacy@bumply.org ; nous supprimerons le compte sous 72h.

11. Réclamation CNIL

Si tu estimes que tes droits RGPD ne sont pas respectés par Bumply, tu peux à tout moment introduire une réclamation auprès de la CNIL :

  • CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Téléphone : 01 53 73 22 22 — Web : cnil.fr

Avant cette démarche, nous t'encourageons à nous écrire directement — nous nous engageons à répondre sous 30 jours et à régler la plupart des problèmes à l'amiable.

12. Modifications de cette politique

Nous pouvons mettre à jour cette politique pour refléter des changements légaux ou techniques. Toute modification substantielle est notifiée par email aux utilisateurs inscrits au moins 30 jours avant entrée en vigueur. La date en haut de cette page indique la dernière modification.