Confidentialité & cookies

Ashfall Connect est un service d'identité fédérée pour l'écosystème Ashfall Codex. Cette page liste précisément les données collectées, les cookies posés, et les bases légales au sens du RGPD (UE 2016/679).

Cookies posés

Aucun cookie analytique, tracker tiers ou outil publicitaire. Uniquement des cookies strictement nécessaires au fonctionnement du service :

  • .AspNetCore.Cookies — cookie de session après authentification (HttpOnly, Secure, SameSite=Lax). Durée : 7 jours, rotation au refresh. Permet de garder la session ouverte sans avoir à se réauthentifier à chaque page.
  • .AspNetCore.Correlation.* — cookie temporaire de protection CSRF du flow OAuth (créé puis supprimé pendant la redirection vers Discord/XIVAuth).
  • ashfall_cookie_ack (localStorage) — flag local indiquant que vous avez vu la bannière d'information cookie. Ne quitte jamais votre navigateur.

Au sens de l'article 82 LIL (transposition ePrivacy), les cookies strictement nécessaires ne nécessitent pas de consentement préalable mais doivent faire l'objet d'une information claire — c'est l'objet de cette page et de la bannière affichée à votre première visite.

Données collectées

Connect ne collecte que ce qui est strictement nécessaire à la fédération d'identité.

Via Discord OAuth (scope identify)

  • Identifiant Discord (snowflake) — clé d'identification primaire, immuable.
  • Pseudo Discord et hash d'avatar — pour l'affichage dans votre fiche compte.
  • Date de création du compte Discord — calculée localement à partir du snowflake (pas de requête additionnelle), utilisée pour le niveau de certification "Argent" (ancienneté ≥ 6 mois).

Aucun email, aucun message, aucun serveur Discord, aucune connexion à un autre service.

Via XIVAuth OAuth (scopes user et character)

  • Identifiant XIVAuth — clé d'identification primaire.
  • Personnage Final Fantasy XIV sélectionné : nom, monde, data center, identifiant Lodestone, URL d'avatar Lodestone.

Via la liaison UmbraSync

  • UID UmbraSync de votre compte plugin (clé d'identification UmbraSync).
  • Liste des personnages partageant votre clé secrète UmbraSync (nom, monde) — envoyée par le plugin uniquement après votre confirmation explicite via un code à 8 caractères.

Aucune clé secrète, aucun token, aucun mot de passe ne quitte le plugin. Un garde-fou de sécurité côté plugin vérifie qu'aucun pattern de hash ne s'est glissé dans le payload envoyé.

Côté infrastructure

  • Adresse IP — utilisée uniquement pour le rate-limiting et inscrite dans les logs d'audit (login, link, unlink) pour permettre la détection d'usurpation. Conservation : 90 jours.
  • User-Agent — inscrit dans le journal d'audit aux côtés de l'IP.

Bases légales (RGPD art. 6)

  • Authentification, fédération d'identité et fonctionnement du service : exécution du contrat (art. 6.1.b).
  • Logs d'audit, rate-limiting, prévention de la fraude : intérêts légitimes (art. 6.1.f) — sécurité du service.
  • Cookies strictement nécessaires : exécution du contrat et article 82 LIL (exemption de consentement).

Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès et portabilité de vos données (art. 15, 20).
  • Rectification (art. 16) — la plupart des champs sont éditables depuis votre fiche compte.
  • Effacement ("droit à l'oubli", art. 17) — la suppression de votre compte Discord ou XIVAuth d'origine entraîne la perte d'accès au compte Connect ; pour une suppression formelle des données, contactez-nous (cf. ci-dessous).
  • Opposition au traitement, limitation, retrait du consentement à tout moment.

Sous-traitants et tiers

  • Discord (Discord Inc., USA) — fournisseur OAuth.
  • XIVAuth (xivauth.net) — fournisseur OAuth pour la vérification Lodestone.
  • UmbraServer (auto-hébergé) — partage des UID UmbraSync de votre compte ; échange via secret partagé sur réseau Tailscale.

Aucun transfert vers d'autres tiers. Aucun fournisseur d'analyse, de publicité ou de tracking.

Sécurité

  • Cookies de session HttpOnly + Secure + SameSite=Lax.
  • Connexions HTTPS uniquement (Let's Encrypt).
  • Authentification inter-services par secret partagé (rotation indépendante par backend).
  • Rate-limiting sur les endpoints d'authentification et de liaison.
  • Aucun cookie tiers, aucun script externe en dehors des polices Google Fonts (cachées localement).

Contact

Pour toute demande relative à vos données (accès, rectification, suppression), ouvrez une issue sur le projet Ashfall Codex ou contactez l'administrateur du serveur UmbraSync auquel votre compte est rattaché.

Dernière mise à jour : 30 avril 2026.