GH GambleHub

Politique de confidentialité et RGPD

1) Objet et domaine d'action

Objectif : assurer le traitement légal, transparent et sécurisé des données personnelles (PII) des acteurs, partenaires et employés dans toutes les juridictions où l'opérateur est présent.
Couverture : applications web/mobiles, CRM/BI/DWH, antifrod/AML/KYC, PSP/fournisseurs de CUS/sanctions, sapport, marketing, affiliations, studio live, hébergement et loging.

2) Rôles et responsabilités (RACI)

Agent de protection des données (DPO) - A : surveillance de la conformité, RoPA, DPIA/DTIA, réponses aux régulateurs.
Chef de la conformité - A : politique, risque-appétit, escalade et rapports.
Legal - C : bases juridiques, contrats DPA/SCC, textes de bannières et de notifications.
Sécurité/SRE - R : mesures techniques et organisationnelles (TOMs), journal d'accès, incidents.
Data/BI - R : catalogue de données, minimisation, masquage/pseudonymisation.
Marketing/CRM - R : consentements, préférences, désinscriptions, cookies.
Product/Engineering - R : Privacy by Design/Default, stockage et suppression.
Support/VIP - R : demandes des sujets (DSAR), vérification de l'identité.

3) Bases juridiques du traitement (Bases Lawful)

Consent (Consentement) - marketing, cookies analytiques/publicitaires, personnalisations non obligatoires.
Contrat (Contrat) - enregistrement, traitement des paris/retraits, sapport.
Obstruction juridique - KYC/AML/sanctions, comptabilité et comptabilité.
Légitimate Interests - antifrod, sécurité, amélioration du produit (avec test d'équilibre des intérêts - LIA).
Vital/Public Interest - cas rares RG/sécurité, le cas échéant et autorisé par la loi.

4) Droits des personnes concernées (DSR/DSAR)

Accès (Art. 15), Correction (Art. 16), Suppression (Art. 17), Restriction (Art. 18), Portabilité (Art. 20), Objection (Art. 21), ne pas faire l'objet d'une solution exclusivement automatisée (Art. 22).
SLA de traitement DSAR : confirmation ≤ 7 jours, exécution ≤ 30 jours (prolongation de 60 jours supplémentaires en cas de difficulté avec notification au sujet).
Vérification : multifactorielle ; interdire la divulgation de données sensibles sur des canaux ouverts.
Logs : conserver la demande, le contrôle d'identité, le paquet de données émis et le délai de réponse.

5) Registre des opérations de traitement (RoPA)

Champs minimaux : finalité, catégories de personnes/données, base juridique, durée de conservation, destinataires/pays tiers, mesures de sécurité, source de données, décisions automatisées/profilage, DPIA/DTIA, le cas échéant.

6) DPIA/DTIA : quand et comment

DPIA - à haut risque : profilage à grande échelle, nouveaux modèles antifrod, traitement des géodonnées, déclencheurs RG, observation systématique.
DTIA/TIA - dans les transferts transfrontaliers en dehors de l'EEE/Royaume-Uni : évaluation de l'accès local des organismes publics, mesures contractuelles/techniques.
Processus : examen préalable → évaluation des risques et des mesures → harmonisation du DPO/juridique → mise en œuvre des contrôles → le registre des hypothèses.

7) Cookies, pixels, SDK et bannière de consentement

Catégories : strictement nécessaires, fonctionnelles, analytiques, marketing.

Exigences :
  • Avant d'accepter - nous ne chargeons que strictement nécessaire.
  • Consentement granulaire et refus séparé ; Journal des versions et timbres temporels.
  • CMP avec CCI TCF (le cas échéant) ; auto-mise à jour de la bannière lorsque les objectifs/fournisseurs changent.
  • Désabonnement facile/modification de la sélection à tout moment.

8) Processeurs et sous-processeurs

DPA avec chaque fournisseur : objet, objectifs, catégories de données, délais, TOMs, sous-processeurs, audits.
Registre public des sous-processeurs (versatilité) ; notification des modifications et droit d'opposition.
Contrôles : diligence raisonnable (ISO/SOC2), incidents de test, pentest-reporting sur demande, plan Offboard.

9) Transferts transfrontières

SCCs/IDTA + DTIA; le cas échéant, des mesures supplémentaires : E2EE, cryptage des clients, quasi-anonymisation, clés dans l'UE.
Nous enregistrons le mécanisme juridique, les pays et les bénéficiaires dans la Politique/Registre.

10) Stockage et élimination

Matrice des délais (exemple) :
CatégorieDélaiLa base
Compte du joueurJusqu'à 5 ans après la fermetureAML/compte dans un certain nombre de juridictions
KYC/AML Documents5-10 ansLegal Obligation
Logs d'accès PII1-3 ansLégitimate Interests/sécurité
Événements marketing24 moisConsent/LI
Entrées de sapport24-36 moisContract/LI

Stratégie de suppression : tâches automatiques (job) dans le DWH/entrepôts ; suppression dans les sauvegardes par cycle ; fixation dans les revues. Pseudonyme d'ID pour l'analyse.

11) Sécurité (TOMs)

Technique : cryptage At Rest/Transit, segmentation des réseaux, minimisation des droits, KMS/rotation des clés, DLP, EDR/IDS/WAF, SSO/MFA, gestionnaire de secrets, journal WORM.
Organisation : politiques d'accès, formation, NDA, clean desk, vérification des fournisseurs, gestion des incidents (SANS/NIST).
Privacy by Design/Default : évaluation dans les processus de changement, jeux de données minimaux par défaut, données de test sans PII.

12) Notifications de fuites et d'incidents

Évaluation : confirmation du fait, du volume et du risque.
Délais (points de référence) : autorité de surveillance des données - jusqu'à 72 heures au risque des droits/libertés ; aux utilisateurs - sans retard injustifié.
Contenu de l'avis : description de l'incident, catégories et nombre indicatif de dossiers, contact avec le DPO, conséquences, mesures prises, recommandations aux sujets.
Logs : temporisation, solutions, modèles de lettres/réponses, CAPA.

13) Marketing et communications

Séparation des messages transactionnels (sans consentement) et marketing (uniquement avec consentement).
Gestion des préférences : centre de paramètres, abonnements par thème/canal, double-opt-in (si nécessaire).
Affiliation et tracking : restrictions contractuelles sur la collecte/transmission des IPI, interdiction de transmettre des identifiants sans motif et sans consentement.

14) Politique de confidentialité publique - Structure

1. Qui nous sommes et les contacts du DPO.
2. Quelles données nous collectons (par catégorie et par source).
3. Objectifs/fondement juridique (tableau « objet → données → fondement → durée »).
4. Cookies/SDK et gestion du consentement.
5. Destinataires et transferts transfrontières (mécanismes et mesures).
6. Droits des sujets et comment les réaliser.
7. Sécurité des données (TOMs de haut niveau).
8. Durées de conservation et critères.
9. Solutions automatisées/profilage et logique en termes généraux.
10. Modifications de la politique (versatilité) et comment nous le notifions.
11. Contacts pour les plaintes (DPA par pays, si nécessaire).

💡 La langue est simple et compréhensible ; éviter le jargon et les détails techniques inutiles.

15) Modèles et exemples de formulation

15. 1 Tableau objectifs/bases (fragment) :

ObjectifDonnéesLa baseDélai
Inscription et compteIdentification, contactLe traitédurée de vie du compte + X
KYC/AMLDocuments, photos, liveness, sanctions-hitsLegal Obligation5-10 ans
Antifrod/sécuritéDevice-ID, IP, comportementalLegitimate Interests24 mois
MarketingEmail/Push/cookies-IDConsentavant le retrait

15. 2 Bannière cookies (minimum) :

"Nous utilisons des cookies. En cliquant sur « Accepter tout », vous acceptez le stockage de cookies analytiques et marketing. Vous pouvez modifier votre sélection par catégorie. « Refuser les cookies facultatifs » - seulement les cookies strictement nécessaires

15. 3 section sur le profilage (exemple) :

"Nous utilisons le profilage pour prévenir la fraude et pour le jeu responsable (RG). C'est nécessaire pour la sécurité et conforme à nos intérêts légitimes. Vous pouvez vous opposer, sauf disposition contraire de la loi (p. ex. AML)"

16) SOP de processus

SOP-1 : Mise à jour de la politique

Déclencheurs : nouveaux objectifs/fournisseurs/SDK/juridictions.
Étapes : inventaire → LIA/DPIA → mise à jour du texte → localisation → mise à jour du PMC → communication aux utilisateurs → version/date d'entrée.

SOP-2: DSAR

Le canal de demande → la vérification de l'identité → l'évaluation de la quantité de données → la collecte du paquet (exportation à partir des systèmes) → l'audit juridique → l'émission/refus avec justification → le journal.

SOP-3 : Nouveau sous-processeur

Diligence raisonnable → DPA/SCC → DTIA → test d'incident → inscription dans le registre public → avis aux utilisateurs (si nécessaire).

17) Formation et audit

Onbording + formation annuelle sur la vie privée pour tous ; formations supplémentaires pour Support/Marketing/Engineering.
Audit interne une fois par an : RoPA, respect des durées de conservation, vérification sélective DSAR, ronflement SMR/cookies, demandes de test, pentest/forensisme des logiques d'accès.
KPI :% des employés formés ; SLA DSAR; proportion de systèmes dont la pseudonymisation est activée ; réalisé par CAPA.

18) Localisation et multijuridictionalité

RGPD/RGPD en tant que norme de base ; prendre en compte ePrivacy/PECR pour les communications et les cookies.
Nuances locales (exemple) : âge du consentement au traitement des données de l'enfant, durée de conservation du KYC, formulaires de notification, exigences linguistiques du document.
Tenir à jour une matrice des écarts par pays et des références aux normes/licences applicables.

19) Feuille de route pour la mise en œuvre (exemple)

Semaines 1-2 : Inventaire des données/systèmes, RoPA, carte des flux, ébauche de politique.
Semaines 3-4 : SMR/bannière, registre des sous-processeurs, DPA/SCCs, DPIA pour les processus à haut risque.
Mois 2 : lancement du centre de préférences, automatisation de la suppression/anonymisation, formation des employés.
Mois 3 + : audits périodiques, tests DSAR, mises à jour des localisations et des registres.

20) Courte chèque de préparation

  • Nommé DPO, contacts publiés
  • RoPA à jour et carte des flux de données
  • Politique publiée, localisée, avec versionalité
  • CMP avec logs de consentement/refus prouvables
  • DPA/SCC et registre public des sous-processeurs
  • DPIA/DTIA terminé pour les processus à risque
  • Retentation-jobs et procédures de suppression/anonymisation
  • SOP sur DSAR et incidents, les propriétaires formés
  • Métriques/KPI et audit annuel de la vie privée

TL; DR

Politique forte = objectifs et fondements clairs + inventaire et RoPA + consentement/cookies sous contrôle + transferts transfrontaliers sécurisés + registre des sous-processeurs + délais de conservation et de suppression clairs + DSAR d'entraînement/incidents. Cela réduit les risques juridiques et de réputation et renforce la confiance des joueurs.

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.