Politique de confidentialité

Le responsable du traitement des données à caractère personnel collectées sur la Plateforme, au sens de l'article 4, paragraphe 7, du RGPD, est :

Responsable : GAMORN SASU
Siège social : 1321 route de Montbartier, 82700 Montech
Président : M. Victor CEREZO
Contact unique : contact@gamorn.com

La Société collecte et traite les catégories de données ci-après énumérées, pour les finalités et sur les bases juridiques précisées pour chacune d'entre elles. Il est expressément convenu que les données sont collectées dans le strict respect du principe de minimisation prévu à l'article 5, paragraphe 1, point c) du RGPD, et conservées pour les durées définies à l'Article 3 des présentes :

2.1 Données d'identification

Nom, prénom, adresse électronique, adresse postale, numéro de téléphone (si communiqué), date de naissance (aux fins de vérification de la majorité de l'Utilisateur, l'accès à la Plateforme étant réservé aux personnes âgées de dix-huit (18) ans et plus, conformément aux stipulations de l'Article 10 des présentes).

Base juridique : article 6, paragraphe 1, point b) du RGPD — exécution du contrat.

2.2 Données de transaction

Historique des achats et des ventes, montants, descriptions des articles, évaluations et notes de satisfaction. Ces données sont conservées pour les durées prévues à l'Article 3 des présentes.

Bases juridiques : article 6, paragraphe 1, points b) et c) du RGPD — exécution du contrat et obligation légale comptable.

2.3 Données de paiement

Les données de paiement (numéros de carte bancaire, données d'identification financière) sont traitées exclusivement par la société Stripe Payments Europe Ltd., agissant en qualité de responsable de traitement distinct au sens de l'article 26 du RGPD, dans les conditions précisées à l'Article 4 des présentes. La Société ne stocke, ne collecte ni ne traite aucune donnée bancaire sur ses propres serveurs.

Base juridique : article 6, paragraphe 1, point b) du RGPD — exécution du contrat.

2.4 Données de navigation

La Société utilise Plausible Analytics, solution européenne fonctionnant sans dépôt de cookies et sans collecte de données à caractère personnel, conformément aux stipulations de l'Article 7 des présentes relatives aux cookies et technologies de suivi. Les données traitées par Plausible sont intégralement anonymisées et agrégées dès leur collecte. En conséquence, ce traitement ne relève pas du champ d'application matériel du RGPD (article 2, paragraphe 1) et ne nécessite aucune base juridique au titre de l'article 6. La présente mention est portée à la connaissance des Utilisateurs par mesure de transparence.

2.5 Données traitées par l'intelligence artificielle

La Plateforme met en œuvre des systèmes d'intelligence artificielle classés « à risque limité » au sens du Règlement (UE) 2024/1689 du 13 juin 2024, dans les conditions détaillées à l'Article 9 des présentes, aux fins suivantes : (i) reconnaissance visuelle des jeux — identification automatique à partir des photographies téléversées, facilitant la constitution des annonces ; (ii)proposition indicative de prix — estimation non contraignante fondée sur l'analyse de données historiques agrégées et anonymisées.

Les résultats produits par ces systèmes sont dépourvus de caractère contraignant et soumis à la validation de l'Utilisateur, conformément aux stipulations de l'Article 9 des présentes. Ce dernier est informé, conformément aux obligations de transparence du Règlement précité, qu'il interagit avec un système d'intelligence artificielle. La proposition de prix ne constitue pas du profilage au sens de l'article 4, paragraphe 4, du RGPD dans la mesure où elle est fondée sur des données de marché agrégées et non sur le comportement individuel de l'Utilisateur.

Base juridique : article 6, paragraphe 1, point b) du RGPD — exécution du contrat.

2.6 Données de communication

Messages échangés par l'intermédiaire de la messagerie intégrée de la Plateforme. Ces données sont conservées aux fins de résolution des litiges et de sécurité de la Plateforme, dans les conditions prévues à l'Article 8 des présentes relatives à la sécurité des données.

Bases juridiques : article 6, paragraphe 1, points b) et f) du RGPD — exécution du contrat et intérêt légitime.

S'agissant du traitement fondé sur l'intérêt légitime (conservation des messages aux fins de résolution des litiges et de sécurité), la Société a procédé au test de mise en balance prévu par le considérant 47 du RGPD. L'intérêt légitime poursuivi est la sécurité de la Plateforme et la capacité de résoudre les différends entre Utilisateurs. Les données concernées se limitent aux messages échangés dans le cadre de transactions identifiées. L'impact sur les droits et libertés des personnes concernées est limité dès lors que les messages sont échangés volontairement sur une plateforme commerciale et que leur conservation est proportionnée à la finalité poursuivie. Des mesures de protection sont mises en œuvre : accès restreint au personnel habilité, durée de conservation limitée conformément aux stipulations de l'Article 3 ci-après (durée de la relation contractuelle majorée d'un an après le dernier échange), purge automatique des conversations inactives depuis plus de deux (2) ans sauf litige en cours, et possibilité pour l'Utilisateur d'exercer son droit d'opposition dans les conditions définies à l'Article 6 des présentes pour des motifs tenant à sa situation particulière (article 21 du RGPD).

2.7 Données de prospection commerciale

La Société est susceptible d'adresser à l'Utilisateur des communications de prospection commerciale (newsletters, offres promotionnelles, recommandations personnalisées) par l'intermédiaire du prestataire Brevo, sous-traitant identifié à l'Article 4 des présentes. Les traitements afférents reposent sur les bases juridiques distinctes suivantes :

• Courriers électroniques transactionnels (confirmations de commande, notifications de livraison, alertes de sécurité) : article 6, paragraphe 1, point b) du RGPD — exécution du contrat ;
• Courriers électroniques de prospection commerciale (newsletters, offres, recommandations) : article 6, paragraphe 1, point a) du RGPD — consentement de l'Utilisateur, recueilli au moyen d'une case à cocher non pré-cochée lors de l'inscription ou de la validation d'une Commande, conformément à l'article L. 34-5 du Code des postes et des communications électroniques.

L'Utilisateur peut retirer son consentement à tout moment, sans frais et sans motif, par les moyens suivants : lien de désinscription figurant dans chaque courrier électronique de prospection, paramètres de notification accessibles depuis le Compte, ou demande adressée à contact@gamorn.com. Le retrait du consentement n'affecte pas la licéité du traitement fondé sur le consentement effectué avant ledit retrait, conformément à l'article 7, paragraphe 3, du RGPD.

Base juridique : article 6, paragraphe 1, point a) du RGPD — consentement. Le consentement est libre, spécifique, éclairé et univoque. Il peut être retiré à tout moment.

En vertu du principe de limitation de la conservation consacré par l'article 5, paragraphe 1, point e) du RGPD, les données à caractère personnel collectées dans les conditions définies à l'Article 2 des présentes sont conservées pour les durées ci-après strictement nécessaires à la réalisation des finalités pour lesquelles elles ont été collectées :

• Données de compte actif : durée de la relation contractuelle, majorée de trois (3) ans après la suppression du compte (prescription civile de droit commun) ;
• Données comptables et de facturation : dix (10) ans (article L. 123-22 du Code de commerce) ;
• Données de navigation (Plausible Analytics) : données anonymes — aucune donnée à caractère personnel conservée ;
• Contenus IA (photographies, descriptions générées) : durée de l'annonce majorée de six (6) mois ;
• Données de communication (messagerie) : durée de la relation contractuelle, majorée d'un (1) an après le dernier échange ; purge automatique des conversations inactives depuis plus de deux (2) ans, sauf litige en cours ;
• Données de paiement (Stripe) : selon la politique de conservation de Stripe Payments Europe Ltd., en qualité de responsable de traitement distinct ;
• Données relatives aux litiges et réclamations : cinq (5) ans à compter de la clôture du litige (prescription de droit commun, article 2224 du Code civil).

Les données à caractère personnel collectées au titre de l'Article 2 des présentes peuvent être communiquées aux destinataires et sous-traitants ci-après identifiés, dans le strict respect de l'article 28 du RGPD. Un accord de traitement des données (DPA — Data Processing Agreement) est conclu avec chaque sous-traitant conformément audit article :

• Hostinger International Ltd. — Hébergement, API, BDD, stockage — Chypre (UE) — Sous-traitant ;
• Stripe Payments Europe Ltd. — Paiement, séquestre — Irlande (UE) — Responsable de traitement distinct ;
• Brevo — Emailing transactionnel et marketing — France (UE) — Sous-traitant ;
• Plausible — Analytics (sans cookies) — UE — Sous-traitant ;
• Crisp — Support client (chat) — France (UE) — Sous-traitant ;
• Firebase (Google Ireland) — Notifications push mobile — Irlande (UE) — Sous-traitant ;
• Chronopost / Mondial Relay / La Poste — Livraison — France — Destinataire.

Stripe Payments Europe Ltd.agit en qualité de responsable de traitement distinct pour les données de paiement, conformément aux stipulations de l'Article 2.3 des présentes. Les transferts internationaux de données opérés par ce prestataire sont encadrés dans les conditions définies à l'Article 5 ci-après.

Firebase (Google Ireland) :la qualification de sous-traitant repose sur le DPA de Google Cloud. Les données transférées à Firebase se limitent aux identifiants techniques nécessaires au service de notifications push (token d'appareil, identifiant d'installation). Pour certains traitements accessoires (analytics, diagnostics), Google peut agir en qualité de responsable de traitement distinct ; les conditions applicables sont décrites dans les conditions de service Firebase. L'Utilisateur dispose de la possibilité de désactiver les notifications push depuis les paramètres de son terminal ou de son Compte, ce qui entraîne la cessation de tout transfert de données vers Firebase. Les transferts de données opérés par Firebase sont détaillés à l'Article 5 des présentes.

L'infrastructure de la Société est hébergée au sein de l'Union européenne. Certains prestataires identifiés à l'Article 4 des présentes peuvent toutefois opérer des transferts de données vers des pays tiers, dans les conditions suivantes :

• Stripe :transferts vers les États-Unis d'Amérique encadrés par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) ;
• Firebase (Google Ireland) :transferts vers les États-Unis d'Amérique encadrés par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) et, à titre subsidiaire, par les clauses contractuelles types (CCT) approuvées par la Commission européenne. Conformément aux recommandations du Comité européen de la protection des données (CEPD) à la suite de l'arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18), la Société a procédé à une analyse d'impact des transferts et mis en œuvre les mesures complémentaires suivantes : chiffrement des données en transit et au repos, minimisation des données transférées (limitation aux identifiants techniques nécessaires aux notifications push), paramétrage de Firebase excluant la collecte de données analytiques et diagnostiques, et surveillance régulière de l'évolution du cadre juridique applicable aux transferts transatlantiques.

L'ensemble des autres prestataires opèrent exclusivement au sein de l'Espace économique européen.

La Société s'engage à surveiller l'évolution du cadre juridique applicable aux transferts internationaux de données et à adapter ses mécanismes de transfert en cas d'invalidation de la décision d'adéquation ou de modification des garanties offertes par ses prestataires. En cas de risque identifié pour les droits et libertés des personnes concernées, la Société prendra les mesures nécessaires, pouvant aller jusqu'à la suspension des transferts ou au changement de prestataire, sans préjudice de l'obligation de notification à la CNIL prévue à l'Article 8 des présentes.

Conformément au RGPD et à la Loi Informatique et Libertés, tout Utilisateur de la Plateforme dispose des droits ci-après énumérés, qu'il peut exercer à tout moment dans les conditions définies au présent Article. Il est expressément précisé que l'exercice de ces droits s'entend sans préjudice des obligations légales de conservation prévues à l'Article 3 des présentes et des stipulations relatives à la sécurité des données définies à l'Article 8 ci-après :

• Droit d'accès (article 15) — obtenir confirmation que ses données sont traitées et en recevoir une copie ;
• Droit de rectification (article 16) — exiger la correction de données inexactes ou incomplètes ;
• Droit à l'effacement (article 17) — demander la suppression de ses données, sous réserve des obligations légales de conservation prévues à l'Article 3 des présentes ;
• Droit à la limitation du traitement (article 18) — obtenir la limitation de certains traitements dans les cas prévus par le RGPD ;
• Droit à la portabilité (article 20) — recevoir ses données dans un format structuré, couramment utilisé et lisible par machine ;
• Droit d'opposition (article 21)— s'opposer à un traitement fondé sur l'intérêt légitime, pour des motifs tenant à sa situation particulière, notamment s'agissant des traitements visés à l'Article 2.6 des présentes ;
• Directives post-mortem (article 85 de la Loi Informatique et Libertés) — définir des directives relatives au sort de ses données après son décès.

Modalités d'exercice : toute demande est adressée au délégué à la protection des données par courrier électronique (contact@gamorn.com) ou par voie postale (GAMORN SASU, 1321 route de Montbartier, 82700 Montech). La Société s'engage à y répondre dans un délai d'un (1) mois, prorogeable de deux (2) mois supplémentaires en cas de complexité de la demande (article 12, paragraphe 3, du RGPD).

En cas de doute raisonnable quant à l'identité de la personne exerçant ses droits, la Société peut demander la communication d'informations supplémentaires nécessaires à la confirmation de l'identité du demandeur, conformément à l'article 12, paragraphe 6, du RGPD. Cette vérification peut inclure la production d'une copie d'une pièce d'identité officielle, laquelle sera conservée pour la seule durée nécessaire au traitement de la demande et supprimée dans un délai de trente (30) jours suivant la clôture du dossier, conformément aux mesures de sécurité prévues à l'Article 8 des présentes.

Réclamation :conformément à l'article 77 du RGPD, tout Utilisateur estimant que le traitement de ses données à caractère personnel constitue une violation du Règlement est en droit d'introduire une réclamation auprès de l'autorité de contrôle compétente : Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07. Ce droit peut être exercé sans préjudice de tout autre recours administratif ou juridictionnel (article 79 du RGPD).

7.1 Cookies strictement nécessaires

Les cookies strictement nécessaires au fonctionnement de la Plateforme (authentification, sécurité, préférences de session) sont exemptés du recueil du consentement conformément à l'article 82 de la Loi Informatique et Libertés.

7.2 Analytics (Plausible)

La Société utilise Plausible Analytics, solution européenne ne déposant aucun cookie et ne collectant aucune donnée à caractère personnel, conformément aux stipulations de l'Article 2.4 des présentes. Aucun consentement n'est requis à ce titre.

7.3 Cookies publicitaires et réseaux sociaux

Aucun cookie publicitaire ni cookie de réseau social n'est utilisé à ce stade.

7.4 Politique de consentement

En l'état actuel de la Plateforme, aucun cookie nécessitant le consentement de l'Utilisateur n'est déployé : les cookies essentiels sont exemptés du recueil du consentement (article 82 de la Loi Informatique et Libertés) et Plausible Analytics ne dépose aucun cookie. En conséquence, conformément aux recommandations de la CNIL, aucun bandeau de recueil de consentement n'est affiché, celui-ci étant juridiquement inutile et de nature à créer une confusion pour l'Utilisateur. La présente Politique tient lieu d'information complète sur les technologies utilisées.

Si des cookies non essentiels venaient à être déployés à l'avenir (cookies publicitaires, réseaux sociaux, analytics tiers), un mécanisme de consentement conforme aux recommandations de la CNIL serait mis en place, offrant à l'Utilisateur la possibilité d'accepter, de refuser ou de personnaliser ses préférences. La durée de validité du consentement serait fixée à treize (13) mois.

La Société met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, sans préjudice des mesures de protection spécifiques prévues par les sous-traitants identifiés à l'Article 4 des présentes : (i) mesures techniques — chiffrement des données en transit (TLS) et au repos, contrôle d'accès basé sur les rôles, sauvegardes régulières, surveillance des incidents de sécurité ; (ii) mesures organisationnelles — habilitations strictes, clauses de confidentialité imposées au personnel et aux prestataires, audits de sécurité périodiques.

La Société procède à des tests réguliers d'évaluation de l'efficacité des mesures de sécurité mises en œuvre, conformément à l'article 32, paragraphe 1, point d) du RGPD. Les résultats de ces évaluations sont documentés et disponibles sur demande de la CNIL.

Notification de violation :en cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, la Société notifie la CNIL dans un délai de soixante-douze (72) heures (article 33 du RGPD) et, le cas échéant, informe les personnes concernées dans les meilleurs délais (article 34 du RGPD). Un registre des violations est tenu conformément à l'article 33, paragraphe 5, du RGPD. Les personnes concernées sont informées des mesures prises pour remédier à la violation et des recommandations visant à atténuer ses éventuels effets néfastes, conformément à l'exercice des droits prévus à l'Article 6 des présentes.

9.1 Traitements mis en œuvre

Les systèmes d'intelligence artificielle déployés sur la Plateforme relèvent du « risque limité » au sens du Règlement (UE) 2024/1689 du 13 juin 2024. Conformément aux stipulations de l'Article 2.5 des présentes, ces systèmes se limitent à la reconnaissance visuelle des jeux à partir des photographies, aux fins de faciliter la création des annonces, et à la proposition indicative de prix, fondée sur des données historiques agrégées. Les données traitées dans ce cadre sont conservées pour les durées définies à l'Article 3 des présentes.

9.2 Absence de décision automatisée

La Société ne prend aucune décision intégralement automatisée produisant des effets juridiques ou affectant de manière significative l'Utilisateur, au sens de l'article 22 du RGPD. Les résultats des systèmes d'intelligence artificielle sont purement indicatifs et soumis à la validation de l'Utilisateur, conformément aux stipulations de l'Article 2.5 ci-dessus. L'Utilisateur dispose en tout état de cause des droits prévus à l'Article 6 des présentes, et notamment du droit d'opposition pour des motifs tenant à sa situation particulière.

9.3 Analyse d'impact (art. 35 RGPD)

La Société a évalué la nécessité de réaliser une analyse d'impact relative à la protection des données (AIPD) au titre de l'article 35 du RGPD pour les traitements d'intelligence artificielle décrits à l'Article 2.5 des présentes. En l'état actuel des traitements — reconnaissance visuelle et proposition indicative de prix fondées sur des données agrégées, sans profilage individuel ni décision automatisée produisant des effets juridiques — la Société a conclu qu'une AIPD n'est pas requise. Cette évaluation est documentée et disponible sur demande auprès du délégué à la protection des données (contact@gamorn.com). En cas d'évolution des traitements d'intelligence artificielle de nature à engendrer un risque élevé pour les droits et libertés des personnes concernées, une AIPD sera réalisée préalablement à la mise en œuvre du traitement concerné.

La Plateforme est exclusivement destinée aux personnes âgées de dix-huit (18) ans et plus, conformément aux dispositions de l'article 8 du RGPD et de l'article 45 de la Loi Informatique et Libertés. La Société ne collecte pas sciemment de données à caractère personnel auprès de mineurs. La vérification de l'âge est réalisée lors de l'inscription au moyen de la date de naissance communiquée par l'Utilisateur, dans les conditions définies à l'Article 2.1 des présentes.

Si la Société venait à découvrir qu'un mineur a créé un Compte, celui-ci serait supprimé et l'ensemble des données associées effacées dans les meilleurs délais, conformément aux mesures de sécurité prévues à l'Article 8 des présentes et sous réserve des obligations légales de conservation stipulées à l'Article 3.

Toute modification substantielle de la présente Politique — notamment l'ajout de nouvelles finalités de traitement au titre de l'Article 2, de nouveaux destinataires ou sous-traitants au titre de l'Article 4, ou la modification des bases juridiques invoquées — est portée à la connaissance des Utilisateurs par courrier électronique, avec un préavis de trente (30) jours. Les modifications mineures (corrections typographiques, précisions rédactionnelles) peuvent être apportées sans préavis, sous réserve de la mise à jour de la date de mise en vigueur figurant en fin de document.

Conformément à l'article 30 du RGPD, la Société tient un registre des activités de traitement, lequel est disponible sur demande de l'autorité de contrôle compétente (CNIL).

Les versions antérieures de la Politique sont conservées et accessibles sur demande auprès du délégué à la protection des données (contact@gamorn.com). L'Utilisateur qui entend refuser une modification substantielle dispose de la faculté de solliciter la suppression de son Compte et l'effacement de ses données dans les conditions prévues par les Conditions Générales d'Utilisation, sous réserve des obligations légales de conservation stipulées à l'Article 3 des présentes. Il est expressément convenu que le maintien de l'utilisation de la Plateforme postérieurement à l'entrée en vigueur d'une modification substantielle, après notification et expiration du préavis, vaut acceptation de ladite modification.

Date de mise en vigueur : mai 2026.