Politique de confidentialité : collecte, usage et protection des données

La protection des données personnelles est un sujet qui dépasse largement le cadre d’une simple formalité réglementaire. Pour une plateforme qui gère à la fois des informations d’identification, des données financières et des historiques d’activité, la transparence sur les pratiques de traitement constitue un élément central de la relation de confiance avec ses utilisateurs. Cette page détaille de manière structurée les engagements pris par Lucky8 en matière de protection des données, les finalités du traitement, les droits qui s’appliquent à chaque utilisateur et les démarches concrètes pour les exercer.

Le document s’inscrit dans le cadre du Règlement Général sur la Protection des Données (RGPD), applicable à l’ensemble des utilisateurs résidant dans l’Union européenne. Les principes exposés s’appliquent toutefois à l’ensemble des comptes ouverts sur la plateforme, indépendamment du pays de résidence du titulaire, dans une logique d’harmonisation des standards de protection à l’échelle internationale.

Engagement en matière de protection des données

L’approche retenue repose sur quatre principes structurants. Le premier est la minimisation : seules les données strictement nécessaires aux finalités définies sont collectées, sans constitution de fichiers étendus à des fins commerciales secondaires. Le deuxième est la finalité : chaque type de donnée correspond à un usage précis, identifié à l’avance et communiqué à l’utilisateur. Le troisième est la durée limitée de conservation, calée sur les obligations légales applicables au secteur, sans rétention indéfinie au-delà de ce qui est nécessaire. Le quatrième est la sécurité technique, traduite par un chiffrement systématique des échanges et un cloisonnement strict des bases de données sensibles.

Ces principes ne se limitent pas à une déclaration d’intention : ils encadrent les pratiques opérationnelles au quotidien et conditionnent les choix techniques effectués à chaque étape de la relation. Lorsqu’une nouvelle fonctionnalité est développée, son impact sur le traitement des données est évalué en amont selon une logique de Privacy by Design, intégrée dans la phase de conception plutôt qu’ajoutée a posteriori.

Qui est le responsable du traitement

Le responsable du traitement des données collectées sur la plateforme est la société WCG B.V., enregistrée à Curaçao et titulaire de la licence délivrée par la Curaçao Gaming Authority. Cette entité juridique est seule habilitée à définir les finalités et les moyens du traitement, et elle est responsable de la conformité aux obligations applicables, qu’il s’agisse du cadre local de Curaçao ou des règles internationales comme le RGPD européen.

Pour toute question relative au traitement de vos données, à l’exercice de vos droits ou à un signalement particulier, l’adresse de contact dédiée à la confidentialité est disponible dans la section dédiée du site, accessible également via le formulaire de contact général ou par e-mail au service client. Le délai de réponse standard sur les demandes de protection des données s’aligne sur les exigences du RGPD, soit un premier retour dans le mois suivant la réception de la demande.

Données collectées et finalités du traitement

La collecte de données s’organise autour de plusieurs catégories distinctes, chacune correspondant à une finalité précise et à une base légale clairement identifiée. Le tableau ci-dessous synthétise les principales informations collectées, le motif pour lequel elles sont traitées et le fondement juridique qui justifie ce traitement. Cette présentation structurée facilite la compréhension des pratiques et permet à chaque utilisateur de vérifier ce qui s’applique à sa situation.

Catégorie de données Finalité du traitement Base légale
Identité (nom, prénom, date de naissance) Création du compte, vérification d’âge, KYC Exécution du contrat et obligation légale
Coordonnées (e-mail, adresse, téléphone) Communication, notifications, support client Exécution du contrat
Identifiants de connexion Authentification et sécurité du compte Exécution du contrat
Documents KYC Vérification d’identité, lutte anti-blanchiment Obligation légale
Données financières (paiements, transactions) Traitement des dépôts et retraits, comptabilité Exécution du contrat et obligation légale
Historique de jeu Suivi de l’activité, programme VIP, jeu responsable Exécution du contrat
Données techniques (IP, navigateur, appareil) Sécurité, prévention de la fraude, statistiques Intérêt légitime
Préférences et consentements Personnalisation des communications Consentement
Échanges avec le support Traitement des demandes, amélioration du service Exécution du contrat
Données comportementales Détection de comportements à risque, prévention Intérêt légitime et obligation légale

Aucune donnée sensible au sens de l’article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle) n’est collectée ni traitée dans le cadre de la relation. Ces catégories restent en dehors du périmètre de l’activité.

Durée de conservation des données

La durée de conservation des informations varie selon la nature des données et les obligations légales applicables. Cette modulation est volontaire et empêche toute conservation indifférenciée des informations au-delà de ce qui est strictement nécessaire à chaque finalité.

Les données d’identité et de KYC sont conservées pendant toute la durée de vie du compte, puis pour une période complémentaire de cinq à dix ans après sa fermeture, en application des obligations de traçabilité financière et de lutte anti-blanchiment imposées au secteur. Cette rétention prolongée concerne uniquement les pièces strictement nécessaires à justifier les transactions effectuées, et non l’ensemble du dossier opérationnel. Les données techniques et de connexion sont conservées sur des durées plus courtes, généralement de quelques mois à deux ans, en fonction de leur usage (sécurité, prévention de la fraude, statistiques anonymisées). Les échanges avec le support sont conservés pendant la durée nécessaire à leur exploitation, qui correspond généralement à la résolution du dossier concerné, augmentée d’une période de référence pour permettre les éventuels rapprochements ultérieurs.

Une fois ces durées dépassées, les données concernées sont soit supprimées définitivement, soit anonymisées de manière irréversible pour ne plus permettre l’identification du titulaire initial. Cette anonymisation, lorsqu’elle est mise en œuvre, transforme la donnée en une information statistique qui sort du périmètre des données à caractère personnel et n’est plus soumise aux obligations correspondantes.

Vos droits sur vos données personnelles

Le cadre du RGPD reconnaît à chaque utilisateur une série de droits opposables au responsable du traitement. Ces droits ne sont pas théoriques : ils peuvent être exercés concrètement par toute demande adressée par le canal dédié, et le responsable du traitement est tenu d’y répondre dans des délais encadrés. Les principaux droits applicables sont les suivants.

  • Droit d’accès — obtenir confirmation que des données vous concernant sont traitées et accéder à l’ensemble des informations détenues, ainsi qu’aux finalités, catégories, destinataires et durées de conservation associées.
  • Droit de rectification — demander la correction de données inexactes ou la complétion de données incomplètes, en particulier sur les informations personnelles déclaratives susceptibles d’évoluer dans le temps.
  • Droit à l’effacement — demander la suppression de vos données dans les cas prévus par la réglementation, sous réserve des obligations légales qui imposent une conservation prolongée pour certaines catégories.
  • Droit à la limitation du traitement — obtenir le gel temporaire du traitement de vos données dans certaines situations particulières, par exemple en cas de contestation de leur exactitude.
  • Droit à la portabilité — recevoir les données que vous avez fournies dans un format structuré et lisible par machine, et les transmettre à un autre responsable de traitement si vous le souhaitez.
  • Droit d’opposition — vous opposer au traitement de vos données pour des motifs tenant à votre situation particulière, en particulier pour les traitements fondés sur l’intérêt légitime.
  • Droit de retirer son consentement — pour les traitements fondés sur le consentement (newsletters, communications promotionnelles), le retirer à tout moment sans avoir à motiver la décision.
  • Droit de définir le sort de vos données après le décès — donner des instructions générales ou particulières sur la conservation, la suppression ou la communication des données après la disparition du titulaire du compte.

Comment exercer vos droits : procédure

L’exercice des droits décrits ci-dessus suit une procédure standardisée, conçue pour rester accessible sans formalité excessive tout en garantissant l’identification fiable du demandeur. Les étapes ci-dessous décrivent le parcours type pour une demande de protection des données.

  1. Identifier précisément le droit invoqué et le périmètre de la demande (accès à l’ensemble des données, rectification d’un élément précis, suppression d’une catégorie spécifique).
  2. Préparer les éléments d’identification nécessaires : adresse e-mail du compte, nom complet du titulaire, et éventuellement copie d’une pièce d’identité pour confirmer la légitimité de la demande.
  3. Transmettre la demande par e-mail à l’adresse dédiée à la confidentialité, indiquée dans la rubrique correspondante du site, ou via le formulaire de contact en sélectionnant la catégorie « Protection des données ».
  4. Formuler la requête de manière structurée en indiquant clairement le droit invoqué, l’objet précis de la demande et toute information utile à son traitement.
  5. Conserver une trace de l’envoi en sauvegardant la copie de l’e-mail transmis ou la confirmation de soumission du formulaire.
  6. Attendre l’accusé de réception qui confirme la prise en compte de la demande et indique le numéro de suivi attribué.
  7. Recevoir la réponse motivée dans un délai d’un mois à compter de la réception, prolongeable de deux mois supplémentaires en cas de complexité particulière, sous réserve d’information préalable du demandeur.

En cas de désaccord sur la réponse apportée ou en l’absence de retour dans les délais prévus, un recours est ouvert auprès de l’autorité de contrôle compétente. Pour les utilisateurs résidant en France, cette autorité est la Commission Nationale de l’Informatique et des Libertés (CNIL), joignable directement sur son site officiel. D’autres autorités équivalentes existent dans chaque État membre de l’Union européenne.

Cookies et traceurs : gestion et désactivation

Le site utilise des cookies et des technologies similaires pour assurer son bon fonctionnement, mesurer l’audience et personnaliser l’expérience des utilisateurs. Trois grandes catégories structurent ces traceurs, et chacune répond à une logique différente en matière de consentement.

Les cookies strictement nécessaires permettent le fonctionnement de base du site : maintien d’une session de connexion, mémorisation des préférences de langue, sécurisation des formulaires. Sans ces cookies, le site ne fonctionnerait pas correctement, et leur dépôt ne requiert pas de consentement préalable, conformément aux dérogations prévues par la réglementation. Les cookies de mesure d’audience anonymisée permettent de compter le nombre de visiteurs, d’identifier les pages les plus consultées et d’améliorer l’expérience globale. Configurés en mode strictement anonyme, ils peuvent dans certains cas être exemptés de consentement préalable. Les cookies de personnalisation et de marketing sont déposés uniquement après recueil du consentement explicite de l’utilisateur, via la bannière de gestion des cookies présentée à la première visite et accessible à tout moment depuis le pied de page du site.

La gestion des préférences de cookies reste modifiable à tout moment depuis le panneau de configuration accessible dans le pied de page. Chaque catégorie peut être activée ou désactivée indépendamment des autres, et les choix sont mémorisés pour les visites suivantes. La suppression complète des cookies déjà déposés peut également être effectuée directement depuis les paramètres du navigateur utilisé (Chrome, Safari, Firefox, Edge), avec des procédures détaillées dans l’aide en ligne de chaque éditeur.

Sécurité technique et organisationnelle

La protection des données repose sur un ensemble de mesures techniques et organisationnelles dimensionnées par rapport aux risques identifiés. Sur le plan technique, l’ensemble des échanges entre le navigateur de l’utilisateur et les serveurs de la plateforme transite par un chiffrement SSL/TLS en 128 bits, équivalent à celui utilisé par les établissements bancaires. Les bases de données sensibles, en particulier celles qui contiennent les pièces justificatives KYC, sont isolées dans un environnement séparé, accessible uniquement via des contrôles d’accès stricts et faisant l’objet d’une journalisation systématique.

Sur le plan organisationnel, l’accès aux données est limité aux seuls collaborateurs dont les missions le justifient, selon le principe du moindre privilège. Chaque accès donne lieu à une traçabilité interne pour permettre des audits réguliers et la détection d’éventuels usages anormaux. Les collaborateurs concernés sont soumis à des obligations de confidentialité contractuelles et bénéficient d’une formation régulière sur les bonnes pratiques en matière de protection des données. En complément, des tests de sécurité périodiques et des évaluations indépendantes sont conduits pour identifier les vulnérabilités potentielles et y remédier dans des délais maîtrisés.

Transferts en dehors de l’Union européenne

Certaines opérations techniques peuvent impliquer le transfert ponctuel de données vers des prestataires situés en dehors de l’Union européenne, par exemple pour l’hébergement, les services de paiement ou le support technique. Lorsque de tels transferts ont lieu, ils sont encadrés par des garanties appropriées prévues par le RGPD, notamment des clauses contractuelles types validées par la Commission européenne ou des décisions d’adéquation reconnaissant un niveau de protection équivalent dans le pays destinataire.

Les utilisateurs concernés peuvent obtenir, sur demande, la liste détaillée des transferts effectifs vers des pays tiers, l’identité des destinataires et les garanties applicables à chaque transfert. Cette transparence s’inscrit dans le cadre des obligations d’information prévues par les articles 13 et 14 du RGPD.

Sous-traitants et partenaires

Le traitement des données implique l’intervention de plusieurs sous-traitants spécialisés, chacun encadré par un contrat précis qui définit ses responsabilités et ses obligations. Les principaux types de sous-traitants concernés sont les hébergeurs techniques, les prestataires de paiement (établissements bancaires, opérateurs d’e-wallets, plateformes de cryptomonnaies), les fournisseurs de jeux (NetEnt, Play’n GO, Pragmatic Play, Evolution Gaming, Yggdrasil et autres studios partenaires), les services de communication par e-mail et les outils de support client.

Chacun de ces sous-traitants intervient strictement dans le périmètre défini par son contrat et ne peut utiliser les données qu’aux finalités prévues. Aucun transfert à des tiers commerciaux à des fins de prospection externe n’est effectué sans le consentement explicite de l’utilisateur.

Modification de la politique de confidentialité

La présente politique peut faire l’objet de modifications pour tenir compte d’évolutions réglementaires, de nouvelles fonctionnalités introduites sur la plateforme ou d’ajustements dans les pratiques internes. Toute modification substantielle est portée à la connaissance des utilisateurs par notification dans l’espace personnel et, le cas échéant, par e-mail aux titulaires de comptes actifs. La date de dernière mise à jour est indiquée en haut de la page, ce qui permet à chacun de vérifier la version en vigueur au moment de sa consultation.

Les utilisateurs sont invités à consulter régulièrement cette page pour rester informés des conditions actuelles de traitement de leurs données. La poursuite de l’utilisation de la plateforme après une modification vaut acceptation de la nouvelle version, sous réserve des droits applicables en cas de changement substantiel des finalités du traitement.

Contact pour les questions de confidentialité

Pour toute question relative au traitement de vos données, à l’exercice de vos droits ou à un signalement particulier, le canal de référence reste l’adresse e-mail dédiée à la confidentialité, communiquée dans la rubrique correspondante du site. Le formulaire de contact général reste également utilisable en sélectionnant la catégorie « Protection des données », qui dirige automatiquement la demande vers l’équipe compétente.

Pour les demandes urgentes ou complexes, un échange préalable par chat en direct avec le service client peut aider à clarifier la nature de la demande avant son envoi formel par e-mail. Cette double approche permet de gagner du temps sur les sujets simples tout en préservant une trace écrite pour les demandes substantielles qui méritent un suivi structuré.

Foire aux questions sur la confidentialité

Qui peut accéder à mes données sur Lucky8 ?

L’accès aux données est limité aux collaborateurs dont les missions le justifient, selon le principe du moindre privilège. Les sous-traitants techniques (hébergeurs, prestataires de paiement, fournisseurs de jeux) interviennent strictement dans le périmètre défini par leur contrat, sans usage des données en dehors des finalités prévues. Aucun transfert à des tiers commerciaux à des fins de prospection externe n’est effectué sans consentement explicite.

Mes données sont-elles utilisées pour de la publicité ciblée ?

Les données ne sont pas cédées à des tiers commerciaux pour de la publicité ciblée externe. Les communications promotionnelles internes à la plateforme (offres, codes promo, programme VIP) sont envoyées uniquement aux utilisateurs ayant donné leur consentement, qui peut être retiré à tout moment depuis les paramètres du compte ou par lien de désabonnement présent dans chaque e-mail.

Combien de temps mes données sont-elles conservées ?

La durée varie selon la nature des données. Les informations d’identité et de KYC sont conservées pendant la durée du compte et pour cinq à dix ans après sa fermeture, en application des obligations de traçabilité financière. Les données techniques sont conservées sur des durées plus courtes, généralement de quelques mois à deux ans. Au-delà, les données sont supprimées ou anonymisées de manière irréversible.

Comment supprimer mon compte et mes données ?

La demande de clôture de compte s’effectue auprès du support client. Avant la fermeture effective, le solde restant doit être retiré et les éventuelles conditions de mise en cours sur des bonus actifs doivent être finalisées. Les données strictement nécessaires aux obligations légales (traçabilité financière, lutte anti-blanchiment) sont conservées pendant la durée légale applicable, puis supprimées ou anonymisées de manière irréversible.

Comment désactiver les cookies non essentiels ?

Le panneau de gestion des cookies, accessible à tout moment depuis le pied de page du site, permet d’activer ou de désactiver indépendamment chaque catégorie. Les paramètres du navigateur (Chrome, Safari, Firefox, Edge) offrent également des options pour bloquer ou supprimer les cookies déjà déposés, avec des procédures détaillées dans l’aide en ligne de chaque éditeur.

Vers quelle autorité me tourner en cas de désaccord ?

Pour les utilisateurs résidant en France, la Commission Nationale de l’Informatique et des Libertés (CNIL) constitue l’autorité de contrôle compétente, joignable directement sur son site officiel. Chaque État membre de l’Union européenne dispose d’une autorité équivalente. Un recours est ouvert auprès de cette autorité en cas de désaccord sur la réponse apportée à une demande ou en l’absence de retour dans les délais prévus par le RGPD.