Préambule
La présente Politique de Confidentialité décrit la manière dont l'Éditeur du Service Peak (ci-après « l'Éditeur ») collecte, traite et conserve les données personnelles des Utilisateurs, dans le respect du Règlement (UE) 2016/679 (RGPD) et de la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
Elle doit être lue conjointement avec les Conditions Générales d'Utilisation et les Mentions légales.
Article 1 — Responsable de traitement
Le responsable de traitement au sens de l'article 4 (7) du RGPD est l'Éditeur du Service, personne physique majeure résidant en Belgique, agissant à titre personnel et non professionnel, joignable à l'adresse contact@usepeak.app. L'Éditeur opérant sans structure juridique distincte, il assume personnellement la conformité des traitements et les obligations qui en découlent.
L'Éditeur n'a pas désigné de Délégué à la Protection des Données, n'y étant pas tenu au sens de l'article 37 du RGPD.
L'autorité de contrôle compétente est l'Autorité de protection des données belge (APD), Rue de la Presse 35, 1000 Bruxelles — contact@apd-gba.be — +32 (0)2 274 48 00. L'Utilisateur peut introduire une réclamation auprès de cette autorité ou de celle de son État membre de résidence.
Article 2 — Principe de minimisation et architecture des données
2.1. Peak est conçu pour collecter le strict minimum nécessaire à son fonctionnement. Le Service ne collecte ni adresse électronique, ni mot de passe, ni nom, ni date de naissance, ni moyen de paiement, ni aucune information d'identité civile. L'authentification repose uniquement sur un numéro de compte à seize (16) chiffres généré côté navigateur, dont seule une empreinte cryptographique irréversible (hash) est conservée côté serveur. Le numéro lui-même n'est jamais stocké en clair côté serveur.
2.2. Transparence sur le chiffrement. Par honnêteté, l'Éditeur précise que, à l'exception du numéro de compte (qui n'est stocké que sous forme d'empreinte irréversible), les données de fonctionnement décrites à l'article 3 sont stockées en clair dans la base de données du Service. Peak n'utilise pas de chiffrement de bout en bout (« zero-knowledge ») pour ces données : l'infrastructure technique du Service peut donc, par construction, y accéder. Ces données restent toutefois volontairement non identifiantes (voir article 3) et soumises à des durées de conservation courtes (voir article 4).
Article 3 — Données traitées, finalités et bases légales
3.1. Données de compte
- Empreinte irréversible (hash) du numéro de compte à 16 chiffres ;
- date de création du compte et date de dernière activité.
Finalité : permettre l'accès au compte et déterminer si l'agent est actif. Base légale : exécution du contrat (article 6.1.b RGPD).
3.2. Données de fonctionnement de l'agent
- mode d'optimisation sélectionné ;
- nom du jeu en cours au premier plan et son icône (extraite de l'exécutable) ;
- adresse IP du serveur de jeu utilisée comme cible de mesure ;
- mesures de performance réseau : latence (ping), gigue, taux de perte, cible mesurée, horodatage ;
- journaux techniques liés à l'exécution des commandes (application d'un mode, erreurs) ;
- version de l'agent.
Finalité : faire fonctionner le Service (afficher l'état dans le tableau de bord, appliquer les modes, présenter les mesures et les journaux à l'Utilisateur). Base légale : exécution du contrat (article 6.1.b RGPD).
L'Utilisateur est informé que la donnée « jeu en cours » constitue une information relative à son activité (quels jeux sont lancés, et quand). Elle n'est associée qu'à l'empreinte du numéro de compte et ne permet pas d'identifier l'Utilisateur dans la vie civile.
3.3. Adresse IP de l'Utilisateur
Comme tout service accessible en ligne, le Service et son infrastructure d'hébergement traitent l'adresse IP de l'Utilisateur lors des communications entre l'agent et le serveur (enregistrement, battements de cœur, commandes). Cette donnée est utilisée pour la communication réseau et la sécurité du Service. Base légale : intérêt légitime de l'Éditeur (article 6.1.f RGPD) à assurer le fonctionnement et la sécurité du Service.
3.4. Journaux de connexion et statistiques d'usage agrégées
Lors du démarrage et de l'arrêt de l'agent, le Service enregistre un évènement de connexion (horodatage et empreinte du numéro de compte). Ces évènements servent (i) à délimiter les sessions afin de présenter à l'Utilisateur un rapport de fin de session, et (ii) à calculer des statistiques d'usage agrégées et non nominatives affichées publiquement sur la page d'état du Service (par exemple : nombre total de lancements, heures cumulées d'utilisation). Les statistiques publiées ne contiennent aucune donnée permettant d'identifier un Utilisateur, ni aucune empreinte de compte. Finalité : mesurer et présenter l'usage global du Service. Base légale : intérêt légitime de l'Éditeur (article 6.1.f RGPD).
3.5. Retour d'expérience de session (facultatif)
À l'issue d'une session, l'Utilisateur peut, s'il le souhaite, transmettre un retour d'expérience composé d'une appréciation (choisie parmi trois options prédéfinies) et, de façon facultative, d'un commentaire en texte libre. Ce retour est associé à l'empreinte du numéro de compte et à l'horodatage de fin de session concernée. Il est utilisé exclusivement à des fins internes par l'Éditeur pour améliorer le Service ; il n'est jamais publié ni agrégé publiquement. Le champ de commentaire étant libre, l'Utilisateur est invité à n'y faire figurer aucune donnée personnelle. Finalité : amélioration du Service. Base légale : consentement de l'Utilisateur (article 6.1.a RGPD), matérialisé par l'envoi volontaire du retour et retirable à tout moment par la suppression du compte.
3.6. Absence d'autres traitements
Le Service n'utilise aucun outil d'analyse d'audience, aucun pixel ou cookie de pistage, aucun service publicitaire, aucun profilage, et n'envoie aucun email. Aucune donnée n'est vendue, louée ou transmise à des fins commerciales.
Article 4 — Durées de conservation
- Mesures de performance : supprimées automatiquement au-delà de 6 heures.
- Journaux techniques : supprimés automatiquement au-delà de 7 jours.
- Commandes traitées (exécutées, accusées ou en erreur) : supprimées automatiquement au-delà de 3 jours.
- Journaux de connexion : les évènements individuels (connexion/déconnexion de l'agent) sont supprimés automatiquement au-delà de 7 jours, comme les autres journaux. Seules des statistiques d'usage agrégées et non nominatives (compteurs globaux affichés sur la page d'état, sans empreinte de compte) sont conservées de manière pérenne.
- Retours d'expérience de session : conservés tant que le compte existe, et supprimés avec celui-ci (suppression du compte ou demande d'effacement).
- Données de compte (empreinte du numéro, dates, dernier état connu) : conservées tant que le compte existe, et supprimées immédiatement lorsque l'Utilisateur supprime son compte depuis la page Réglages, ou sur demande d'effacement (voir article 7).
Une tâche automatisée procède quotidiennement à la purge des données expirées.
Article 5 — Destinataires et sous-traitants
Les données sont hébergées et traitées par l'infrastructure Lovable Cloud (fournie par Lovable Labs AB, Suède), agissant en qualité de sous-traitant au sens de l'article 28 du RGPD. Aucune autre catégorie de destinataire n'a accès aux données, hormis l'Éditeur lui-même, unique personne en charge du Service. Aucun sous-traitant marketing, analytique ou publicitaire n'est utilisé.
Les données peuvent être communiquées aux autorités judiciaires ou administratives compétentes sur réquisition légale.
Article 6 — Transferts hors de l'Union européenne
L'ensemble des données du Service est stocké sur des infrastructures situées dans l'Union européenne. Le Service ne procède à aucun transfert de données personnelles en dehors de l'Union européenne. Si une telle situation devait évoluer, la présente Politique serait mise à jour et les garanties appropriées (clauses contractuelles types ou mécanisme équivalent) seraient mises en place.
Article 7 — Droits des Utilisateurs
Conformément au RGPD, l'Utilisateur dispose des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité sur ses données.
Compte tenu de l'architecture du Service (aucune donnée d'identité civile, identification par le seul numéro de compte) :
- Effacement : l'Utilisateur peut supprimer lui-même son compte et l'ensemble des données associées directement depuis la page Réglages du Service (section « Compte » → « Supprimer mon compte »). La suppression nécessite une double confirmation, prend effet immédiatement et est définitive et irréversible. À défaut d'accès à l'interface, l'Utilisateur peut également en faire la demande par courrier électronique à contact@usepeak.app, en fournissant les éléments permettant d'identifier le compte concerné.
- Accès et portabilité : les mesures et journaux récents sont consultables directement dans le tableau de bord ; l'Utilisateur peut demander une copie de ses données par le même canal.
- Opposition / limitation : l'Utilisateur peut cesser d'utiliser l'agent à tout moment, ce qui interrompt toute nouvelle collecte.
L'Éditeur s'efforce de répondre dans un délai d'un mois (article 12 §3 RGPD), sans garantie de délai compte tenu du caractère bénévole du Service. L'Utilisateur peut également introduire une réclamation auprès de l'APD.
Article 8 — Sécurité
L'Éditeur met en œuvre des mesures raisonnables de sécurité :
- transmission des données via une connexion chiffrée (TLS) ;
- stockage du numéro de compte sous forme d'empreinte irréversible uniquement, jamais en clair ;
- contrôles d'accès à l'infrastructure ;
- durées de conservation courtes limitant le volume de données exposées ;
- absence de tout outil de pistage ou d'analyse tiers.
L'Éditeur précise toutefois, sans réserve, que les données de fonctionnement (article 3.2) sont stockées en clair et qu'aucune mesure de sécurité ne peut garantir une protection absolue. En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des Utilisateurs, l'Éditeur notifiera l'APD dans les 72 heures (article 33 RGPD) et informera les Utilisateurs concernés (article 34 RGPD) par notification dans l'interface et communication publique sur le Service.
Article 9 — Cookies et stockage local
Le Service n'utilise que des éléments strictement nécessaires à son fonctionnement, stockés localement dans le navigateur :
- une préférence d'affichage (thème clair/sombre) ;
- une préférence de langue ;
- le maintien de la session de l'Utilisateur.
Aucun cookie de mesure d'audience, de publicité ou de pistage tiers n'est utilisé. Conformément à la directive ePrivacy et aux lignes directrices de l'APD, les éléments strictement nécessaires ne requièrent pas de consentement préalable ; aucun bandeau cookies n'est donc affiché, ce qui reflète l'absence réelle de tout pistage.
Article 10 — Données concernant les mineurs
Le Service est destiné à la personne responsable de l'ordinateur. Un mineur ne peut l'utiliser qu'avec l'autorisation et l'implication d'un parent ou tuteur légal, comme prévu à l'article 2 des Conditions Générales d'Utilisation. Le Service n'est pas destiné aux enfants n'ayant pas atteint l'âge du consentement numérique applicable (treize ans en Belgique) et ne collecte pas sciemment de données les concernant en dehors de ce cadre.
Si l'Éditeur a connaissance qu'un compte relève d'un mineur sans la base appropriée, les données associées sont supprimées. Un parent ou tuteur peut à tout moment demander la suppression du compte d'un mineur à contact@usepeak.app.
Article 11 — Modifications
L'Éditeur peut modifier la présente Politique pour l'adapter aux évolutions légales, techniques ou opérationnelles. Les modifications substantielles sont notifiées via l'interface du Service au moins trente (30) jours avant leur entrée en vigueur, laissant à l'Utilisateur la possibilité de supprimer son compte s'il ne les accepte pas.
Article 12 — Contact
Pour toute question relative à la présente Politique ou à l'exercice de vos droits, vous pouvez contacter l'Éditeur à l'adresse : contact@usepeak.app.