Introduction
Dernière mise à jour : 1er avril 2026
La présente Politique de Confidentialité (ci-après « la Politique ») a pour objet d'informer les utilisateurs
(ci-après « vous », « votre » ou « l'Utilisateur ») de la plateforme Ranki (ci-après « le Service »)
sur les conditions dans lesquelles Opexa SAS (ci-après « Ranki », « nous », « notre » ou « nos »)
collecte, utilise, conserve, partage et protège leurs données à caractère personnel.
La présente Politique s'applique à tous les Utilisateurs du Service, qu'ils accèdent à la Plateforme via le site web,
une application mobile ou tout autre moyen. En utilisant notre Service, vous reconnaissez avoir pris connaissance de la
présente Politique et acceptez les pratiques qui y sont décrites.
Références
- Règlement (UE) 2016/679 (RGPD)
- Loi n° 78-17 du 6 janvier 1978 (Informatique et Libertés)
- Recommandations de la CNIL
1. Responsable du traitement
Le responsable du traitement des données à caractère personnel collectées dans le cadre du Service est :
- Raison sociale
- Opexa SAS
- Forme juridique
- SAS au capital de 2 000,00 €
- Siège social
- 59 rue de Ponthieu - Bureau 326, 75008 Paris, France
- RCS
- Paris 102 882 503
2. Délégué à la Protection des Données (DPO)
Conformément à l'article 37 du RGPD, Ranki a désigné un DPO que vous pouvez contacter pour toute question relative au traitement de vos données
personnelles ou pour exercer vos droits :
- Fonction
- Délégué à la Protection des Données
- Adresse postale
- DPO Ranki, 59 rue de Ponthieu - Bureau 326, 75008 Paris, France
3. Données collectées
3.1 Données fournies directement par l'Utilisateur
Lors de votre inscription et de votre utilisation du Service, nous collectons les catégories de données suivantes :
| Catégorie |
Données collectées |
Caractère |
| Données d'identification |
Prénom, nom, adresse email, mot de passe (hash irréversible), photo de profil (facultative)
|
Obligatoire (sauf photo) |
| Données de profil |
Pseudo/nom d'affichage, langue, fuseau horaire, équipe(s) favorite(s) |
Facultatif |
| Connexion tierce |
Identifiant du fournisseur (Google), nom et email fournis par le tiers |
Si authentification tierce |
| Données d'activité |
Pronostics, scores, classements, messages, réactions, badges |
Automatique lors de l'utilisation |
| Organisation |
Rôle, équipes, compétitions suivies |
Automatique lors de l'utilisation |
3.2 Données collectées automatiquement
Lors de votre navigation et de votre utilisation du Service, nous collectons automatiquement :
| Catégorie |
Données collectées |
Finalité |
| Données techniques |
IP, navigateur, OS, résolution, type d'appareil |
Sécurité, compatibilité |
| Session |
Date/heure/durée, pages consultées, actions |
Statistiques, amélioration |
| Géolocalisation approx. |
Pays/région déduits de l'IP (sans GPS) |
Personnalisation, conformité |
3.3 Données sensibles
Ranki ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (origine, opinions, santé, biométrie, etc.).
4. Finalités et bases légales du traitement
Conformément à l'article 6 du RGPD, chaque traitement de données repose sur une base légale déterminée :
| Finalité |
Base légale (art. 6 RGPD) |
| Création, gestion et authentification du Compte |
Exécution du contrat (art. 6.1.b) — CGU |
| Fonctionnalités pronostics, classements, badges |
Exécution du contrat (art. 6.1.b) — CGU |
| Gestion des Organisations et des membres |
Exécution du contrat (art. 6.1.b) — CGU |
| Abonnements payants et facturation |
Exécution du contrat (art. 6.1.b) — CGV |
| Personnalisation (langue, thème, préférences) |
Intérêt légitime (art. 6.1.f) |
| Communications de service (maintenance, incidents) |
Intérêt légitime (art. 6.1.f) |
| Newsletters / communication commerciale |
Consentement (art. 6.1.a) |
| Statistiques et amélioration du Service |
Intérêt légitime (art. 6.1.f) |
| Sécurité, prévention des fraudes |
Intérêt légitime (art. 6.1.f) / Obligation légale (art. 6.1.c) |
| Obligations légales & réglementaires |
Obligation légale (art. 6.1.c) |
| Gestion du consentement (CGU, Politique) |
Obligation légale (art. 6.1.c) / Intérêt légitime (art. 6.1.f) |
5. Durée de conservation des données
Vos données personnelles sont conservées pendant des durées strictement nécessaires aux finalités pour lesquelles elles ont été collectées :
| Catégorie |
Base active |
Archivage intermédiaire |
| Compte (identification, profil) |
Durée de l'inscription |
3 ans après suppression (prescription civile) |
| Activité (pronostics, messages, scores) |
Durée de l'inscription |
Suppression sous 30 jours après suppression du Compte |
| Logs & techniques |
12 mois (art. 6 II LCEN) |
— |
| Facturation & paiement |
Durée de la relation contractuelle |
10 ans (art. L.123-22 Code de commerce) |
| Preuves d'acceptation |
Durée de l'inscription |
5 ans après fin relation (prescription) |
| Cookies & traceurs |
13 mois max (reco CNIL) |
— |
À l'expiration des durées, les données sont supprimées de manière irréversible ou anonymisées.
6. Destinataires des données
6.1 Personnel habilité de Ranki
Seuls les membres strictement habilités et ayant un besoin légitime accèdent à vos données (principe du moindre privilège).
6.2 Sous-traitants techniques
Nous faisons appel à des sous-traitants liés par un DPA conforme à l'article 28 du RGPD :
| Sous-traitant |
Service |
Localisation |
Garanties |
| Vercel Inc. |
Hébergement web (CDN, serverless) |
UE — Paris (France), Frankfurt (Allemagne), Amsterdam (Pays-Bas) |
CCT (Commission européenne) |
| Supabase Inc. |
PostgreSQL, auth, storage |
UE (Frankfurt — AWS eu-central-1) |
Chiffrement AES-256 |
| NextAuth.js / Auth.js |
Auth (sessions, JWT) |
Transit uniquement |
OSS, données en base Supabase |
| Google (OAuth) |
Connexion via Google |
US / Global |
CCT + DPF (si certifié) |
6.3 Tiers
Vos données ne sont jamais vendues, louées ou échangées. Elles peuvent être communiquées aux autorités sur requête motivée et dans le cadre légal.
6.4 Administrateurs d'Organisation
Accès à certaines données d'activité (pronostics, scores, classements, chat). Pas d'accès à l'email, mot de passe, IP, données de connexion.
7. Transferts hors de l'Union Européenne
Nos infrastructures principales (serveurs d'application et base de données) sont hébergées dans l'Union Européenne. Certains sous-traitants ont leur siège social hors EEE (notamment aux États-Unis, ex. Vercel Inc., Google OAuth). Ces transferts sont encadrés par des garanties :
- Clauses contractuelles types (CCT) (Décision (UE) 2021/914)
- Décision d'adéquation le cas échéant (ex : Data Privacy Framework UE–USA pour sociétés certifiées)
- Mesures techniques : TLS 1.3, AES-256, pseudonymisation lorsque possible
Notre base de données principale est hébergée exclusivement dans l'UE (Supabase — Frankfurt, Allemagne).
8. Cookies et traceurs
8.1 Qu'est-ce qu'un cookie ?
Un cookie est un fichier texte déposé sur votre terminal pour mémoriser des informations (ex : langue) et améliorer votre navigation.
8.2 Types de cookies utilisés
| Type |
Description |
Durée |
Consentement |
| Strictement nécessaires |
Auth (session), sécurité (CSRF), préférences essentielles |
Session ou 30 jours |
Non (exemptés) |
| Préférences |
Langue, thème, état sidebar, consentement |
12 mois |
Non (fonctionnels) |
| Analytiques |
Mesure d'audience anonymisée |
13 mois max |
Oui |
Note : Ranki n'utilise pas de cookies publicitaires ni de ciblage.
8.3 Gestion de vos préférences
- Via le bandeau de consentement lors de la première visite
- À tout moment depuis les paramètres de votre profil
- En configurant votre navigateur (acceptation/refus/suppression)
Le refus des cookies analytiques n'affecte pas le fonctionnement. Le refus des cookies strictement nécessaires peut rendre le Service inutilisable.
9. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit |
Description |
Fondement |
| Accès |
Confirmation du traitement + copie des données |
Art. 15 |
| Rectification |
Correction de données inexactes |
Art. 16 |
| Effacement |
Suppression dans les cas prévus |
Art. 17 |
| Limitation |
Suspension temporaire dans certains cas |
Art. 18 |
| Portabilité |
Récupération des données (CSV/JSON), transfert |
Art. 20 |
| Opposition |
Opposition pour motifs légitimes |
Art. 21 |
| Retrait du consentement |
Retrait à tout moment |
Art. 7.3 |
| Directives post-mortem |
Instructions après décès |
Loi I&L |
Comment exercer vos droits ?
- Directement : paramètres du Compte (accès/rectification/suppression)
- Email : contact@opexa.eu
- Courrier : DPO Ranki, 59 rue de Ponthieu - Bureau 326, 75008 Paris, France
Réponse sous 1 mois (prolongeable de 2 mois si nécessaire), sans frais sauf demandes manifestement infondées ou excessives.
10. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez déposer une réclamation auprès de la CNIL :
- Site : www.cnil.fr
- Plainte : www.cnil.fr/fr/plaintes
- Adresse : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : +33 1 53 73 22 22
11. Sécurité des données
Ranki met en œuvre des mesures techniques et organisationnelles (art. 32 RGPD) pour protéger vos données :
- Chiffrement en transit : HTTPS / TLS 1.3
- Chiffrement au repos : AES-256
- Hachage des mots de passe : bcrypt + salage
- Authentification : OAuth2 via fournisseurs sécurisés
- Contrôle d'accès : moindre privilège + RLS
- Sauvegardes : quotidiennes avec rétention (UE)
- Journalisation : audit logs sur accès/modifications sensibles
12. Protection des données des mineurs
Le Service est accessible à partir de 13 ans. Entre 13 et 15 ans inclus, le consentement parental est requis.
Pour les moins de 16 ans, le consentement parental est requis pour les traitements fondés sur le consentement (notamment communications commerciales).
Si un compte est créé par un mineur de moins de 13 ans sans autorisation, nous supprimerons le compte et les données dès que possible.
13. Modifications de la Politique
Nous pouvons modifier cette Politique pour tenir compte des évolutions légales, réglementaires, jurisprudentielles et techniques.
En cas de modification substantielle, nous vous informerons (email et/ou notification) au moins 30 jours avant entrée en vigueur,
et vous invitons à accepter la nouvelle version.
La date de dernière mise à jour est indiquée en haut du document. Nous vous encourageons à la consulter régulièrement.
14. Contact
Pour toute question relative à la présente Politique ou à la protection de vos données, vous pouvez nous contacter :
Adresse postale
Opexa SAS — DPO, 59 rue de Ponthieu - Bureau 326, 75008 Paris, France