Déclaration de protection des données — RDM Bingo

Dernière mise à jour : 4 mai 2026 · Version 1.0

Cette traduction est fournie à titre informatif. En cas de divergence avec les versions allemande et française, la version anglaise fait foi.

1. Qui est responsable de vos données

Lib4RI — Bibliothèque des instituts de recherche du domaine des EPF (au service d'Eawag, Empa, PSI et WSL) est le responsable du traitement des données personnelles collectées via cette application.

Lib4RI est administrativement rattaché à Eawag, et l'application est hébergée sur l'infrastructure informatique d'Eawag en Suisse. Les questions de protection des données pour Lib4RI et Eawag sont traitées par le service de protection des données d'Eawag :

Pour des informations générales sur la protection des données chez Eawag, consultez eawag.ch/fr/protection-des-donnees.

2. Quelles données nous collectons, et pourquoi

Lorsque vous créez un compte RDM Bingo, vous nous fournissez :

• Votre nom — pour pouvoir vous identifier et (sauf si vous choisissez le mode anonyme, voir §3) vous afficher sur la page publique des gagnants en cas de victoire.
• Votre adresse électronique — pour pouvoir vous contacter en cas de victoire, afin d'organiser un prix ou un suivi.
• Un mot de passe — stocké uniquement sous forme de hachage bcrypt, pour vous permettre de vous reconnecter à votre carton.

Pendant que vous jouez, vous créez également :

• Les URLs que vous soumettez comme preuve pour chaque tâche bingo accomplie.
• Une brève description (3 à 1000 mots) de ce que vous avez fait pour chaque tâche.
• L'horodatage de votre inscription et, le cas échéant, de votre bingo.

Nous ne collectons aucune autre donnée personnelle via cette application. Nous ne collectons pas de données personnelles sensibles (santé, opinions politiques, convictions religieuses, données biométriques, etc.). Nous n'utilisons aucun outil de suivi, d'analyse ou de publicité.

3. Où vos données sont affichées

Il existe deux niveaux de visibilité :

• Données de compte (toujours privées). Votre nom réel, votre adresse électronique et le hachage de votre mot de passe ne sont visibles que par les collaborateurs autorisés de Lib4RI dans le cadre de l'organisation de l'activité. Ils ne sont jamais affichés publiquement.
• Page des gagnants (publique). Lorsque vous complétez un bingo et cliquez sur « Submit », une entrée est ajoutée à la page publique des gagnants. Par défaut, cette entrée affiche votre nom réel, le motif visuel de vos cases complétées et des liens cliquables vers les URLs que vous avez soumises comme preuve, ainsi que leurs descriptions au survol de la souris.

Vous pouvez vous soustraire à l'affichage public au moment de l'inscription en cochant la case « Display me anonymously ». Dans ce cas :

• La page des gagnants affiche un pseudonyme généré (par exemple « COOL CROCODILE ») au lieu de votre nom.
• Les URLs et descriptions que vous avez soumises ne sont pas affichées publiquement.
• Cliquer sur vos cases sur la page des gagnants n'a aucun effet.
• Votre nom réel et votre adresse électronique restent stockés en interne afin que nous puissions toujours vous contacter au sujet d'éventuels prix — mais ils ne sont pas publiés.

Vous pouvez également choisir de ne pas soumettre de bingo gagnant ; dans ce cas, rien concernant votre participation n'apparaît publiquement, quel que soit le réglage du mode anonyme.

4. Base légale du traitement

Lib4RI est un organe fédéral au sens de la loi fédérale suisse sur la protection des données (LPD). La base légale du traitement de vos données de compte et de vos contributions est la loi sur les EPF (art. 36c) en relation avec la LPD — les quatre instituts de recherche du domaine des EPF sont autorisés à traiter des données personnelles dans la mesure nécessaire à leurs activités de recherche, d'enseignement et aux services associés. La conduite de cette activité d'engagement entre dans ce mandat.

L'affichage public sur la page des gagnants n'a lieu que si vous choisissez de soumettre un bingo. Cet acte est explicite et facultatif de votre part, et n'est pas effectué sans votre intervention.

5. Combien de temps nous conservons vos données

La campagne RDM Bingo est prévue jusqu'au 1^er juillet 2026.

• Pendant la campagne, votre compte et vos contributions sont conservés tant que l'application est en service.
• Dans les 90 jours suivant la fin de la campagne, tous les comptes et contenus soumis sont supprimés de l'application en production et des sauvegardes.
• Exception — remise de prix. Si vous gagnez et qu'un prix vous est dû, nous conservons votre nom et votre adresse électronique (uniquement ces deux champs) jusqu'à la remise du prix, pour une durée maximale de six mois après la fin de la campagne. Après la remise effective du prix, ou au plus tard six mois après la fin de la campagne, cet enregistrement est également supprimé.
• Comptes inactifs. Même pendant la campagne active, les comptes qui ne se sont pas connectés depuis douze mois sont supprimés automatiquement.

Vous pouvez également demander une suppression anticipée de vos données — voir §8 ci-dessous.

6. Qui a accès à vos données

Au sein de Lib4RI, l'accès est réservé au personnel chargé de l'activité RDM Bingo, qui est tenu à une obligation de confidentialité.

L'application fonctionne sur l'infrastructure informatique d'Eawag à Dübendorf, en Suisse. Le personnel d'Eawag qui exploite cette infrastructure peut avoir accès au stockage de données chiffré dans le cadre de ses tâches habituelles d'hébergement et de sauvegarde. Il est soumis aux mêmes obligations de confidentialité que celles applicables à tous les services hébergés chez Eawag. Aucune donnée n'est traitée en dehors de la Suisse.

Nous ne faisons actuellement appel à aucun sous-traitant externe. L'application n'envoie aucun courriel par elle-même. Si nous devons vous contacter (par exemple pour organiser la remise d'un prix), le personnel de Lib4RI vous écrira individuellement depuis une adresse électronique Lib4RI.

Nous ne vendons ni ne louons vos données. Nous ne les partageons pas avec des tiers à des fins de marketing.

7. Comment nous protégeons vos données

• Toutes les données sont chiffrées au repos dans le fichier de données de l'application au moyen d'AES-256-GCM.
• Les connexions entre votre navigateur et notre serveur utilisent le chiffrement TLS (HTTPS), et le serveur définit l'en-tête Strict-Transport-Security pour imposer HTTPS lors des visites suivantes.
• Les mots de passe ne sont stockés que sous forme de hachages bcrypt; le mot de passe original ne quitte jamais votre navigateur sous une forme lisible et nous ne pouvons pas le restaurer.
• Les cookies de session sont HttpOnly, SameSite=Lax et (en production) Secure.
• L'interface d'administration nécessite un jeton porteur (Bearer Token) fourni séparément et n'est pas exposée publiquement.
• Les sauvegardes sont chiffrées selon le même schéma que les données en production.
• Le personnel de Lib4RI et d'Eawag suit régulièrement des formations à la protection des données.

Ces mesures suivent l'art. 8 LPD et l'ordonnance relative à la LPD, et sont conformes aux directives publiées par le Préposé fédéral à la protection des données et à la transparence (PFPDT).

8. Vos droits

En vertu de la LPD, vous avez le droit de :

• Consulter les données que nous détenons à votre sujet et en obtenir une copie.
• Faire rectifier les données inexactes.
• Faire supprimer vos données lorsqu'elles ne sont plus nécessaires aux finalités énoncées.
• Vous opposer au traitement.
• Recevoir vos données dans un format électronique courant (portabilité), le cas échéant.

Pour exercer l'un de ces droits, écrivez à datenschutz@eawag.ch. Nous répondons dans un délai de 30 jours. Nous pouvons vous demander de confirmer votre identité avant de donner suite à votre demande.

Si vous estimez que nous ne traitons pas vos données conformément à la loi, vous pouvez déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, CH-3003 Berne — edoeb.admin.ch.

9. Cookies et suivi

Cette application n'utilise qu'un seul cookie — un cookie de session (sid) strictement nécessaire pour vous maintenir connecté. Il est détruit lorsque vous vous déconnectez et ne contient qu'un identifiant de session opaque. Nous n'utilisons aucun outil d'analyse, de publicité ou de suivi tiers.

10. Accès international

Ce service est exploité depuis la Suisse et entièrement hébergé sur une infrastructure située en Suisse. Toute personne dans le monde peut s'inscrire ; si vous le faites depuis l'étranger, vos données sont transférées et traitées en Suisse, et le droit suisse régit notre manière de les traiter.

11. Modifications de cette déclaration

Si nous modifions cette déclaration d'une manière qui affecte le traitement de vos données, nous indiquons le changement en haut de cette page et incrémentons le numéro de version. La date « Dernière mise à jour » ci-dessus correspond toujours à la version en vigueur.