Politique de confidentialité
IrisKids accorde une importance particulière à la protection des données personnelles, en particulier celles concernant les enfants. Cette politique explique quelles données nous collectons, pourquoi, et comment vous pouvez exercer vos droits.
👨👩👧 Plateforme destinée aux enfants — consentement parental obligatoire.
IrisKids s'adresse aux enfants de 3 à 12 ans. Les enfants ne créent pas de compte eux-mêmes.
C'est exclusivement le parent ou le titulaire de l'autorité parentale qui crée un compte adulte,
puis y ajoute des profils enfants (pseudo + avatar uniquement, aucune donnée sensible).
Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et
Libertés (qui fixe à 15 ans l'âge du consentement numérique en France), le consentement au
traitement des données des enfants de moins de 15 ans est exercé par le titulaire de l'autorité
parentale lors de la création du compte.
1. Responsable du traitement
Stéphane Ardisson, éditeur d'IrisKids — contact : contact@iriskids.fr.
2. Données collectées et finalité
| Donnée | Finalité | Base légale (RGPD) | Durée |
|---|---|---|---|
| Email du parent | Création de compte, authentification, communication transactionnelle (réinitialisation de mot de passe, suppression de compte) | Exécution du contrat (art. 6.1.b) | Jusqu'à suppression du compte |
| Mot de passe (haché bcrypt) | Authentification | Exécution du contrat | Idem |
| Pseudo enfant + avatar | Personnalisation de l'expérience de jeu | Exécution du contrat | Idem |
| Statistiques de jeu (compteur de parties) | Suivi de progression côté parent | Intérêt légitime / consentement parent | Idem |
| Adresse IP (hachée + sel quotidien) | Lutte contre le bruteforce et l'abus | Intérêt légitime (sécurité) | 30 jours max |
| Cookies analytics (Google Analytics) | Mesure d'audience anonymisée | Consentement explicite (art. 6.1.a) | 13 mois max |
3. Ce que nous ne collectons PAS
- Aucun email enfant
- Aucune date de naissance précise des enfants
- Aucun nom de famille
- Aucune géolocalisation précise
- Aucune photo d'enfant (sauf si avatar IA généré au sprint 3 — opt-in explicite)
4. Hébergement et sous-traitants
- Google Cloud Platform (Cloud Run, Firestore Native) — hébergement en Union européenne (région
europe-west1, Belgique) - Mailjet (France) — envoi des emails transactionnels
- Google Analytics 4 (sous consentement uniquement) — mesure d'audience
Aucune donnée n'est transférée hors UE pour les services mentionnés.
5. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants concernant vos données :
- Droit d'accès : visible directement dans l'espace parent (/parent)
- Droit de rectification : modifiez votre email ou les pseudos enfants depuis l'espace parent
- Droit à l'effacement : supprimez votre compte depuis l'espace parent. La suppression définitive intervient après un délai de 30 jours (annulable par simple reconnexion)
- Droit à la portabilité : sur simple demande à contact@iriskids.fr, nous vous fournirons un export JSON de vos données
- Droit d'opposition : pour les traitements basés sur l'intérêt légitime, contactez-nous
- Droit de retirer votre consentement : pour les cookies analytics, via le bandeau cookies ou la page /cookies
6. Sécurité
- Mots de passe stockés avec bcrypt (cost 12)
- Sessions JWT signées (HS256, rotation de clé supportée)
- Cookies
HttpOnly+Secure+SameSite=Lax - Headers de sécurité : HSTS, X-Frame-Options=DENY, CSP, X-Content-Type-Options=nosniff
- Lockout après 5 tentatives de connexion échouées
- Cookie de session révocable côté serveur via blocklist
jti(logout effectif immédiatement) - Rate-limiter distribué Firestore sur les endpoints sensibles
Signaler une faille de sécurité : security@iriskids.fr (voir notre politique de divulgation responsable).
7. Réclamation
Vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) si vous estimez que le traitement de vos données n'est pas conforme.
8. Contact
Pour toute question relative à vos données : contact@iriskids.fr