Les Serments

Section A | Mentions légales

A.1 | Préambule et cadre légal

Conformément à l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la Confiance dans l'économie numérique (LCEN), il est précisé aux utilisateurs du site Ta'iara Gate l'identité des intervenants.

Le site applique :

• La loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » (dans sa version applicable en Polynésie française) ;
• Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD), applicable en Polynésie française ;
• Les dispositions législatives et réglementaires spécifiques en vigueur en Polynésie française.

Le site est régi par le droit applicable en Polynésie française. Tout litige relève de la compétence exclusive des juridictions de Papeete, sauf disposition impérative contraire.

A.2 | Éditeur

Ta'iara SARL
Immatriculation : Répertoire des entreprises de Polynésie française - N° Tahiti F46876
RCS : Registre du Commerce et des Sociétés de Papeete - N° TPI 23 299
SIREN : 924 586 621
SIRET : 924 586 621 00014
Siège social : Mahina - Tahiti - Polynésie française
Adresse postale : BP 7529 - 98719 Taravao - Tahiti - Polynésie française
Contact : contact[at]taiara.net

A.3 | Hébergeur et DPO

Hébergeur :
o2Switch (serveurs physiques stockant les données du site web)
SIRET 510 909 807 00032
Chemin des Partiaux - 63000 Clermont-Ferrand - France
Téléphone : +33 4 44 44 60 40

Délégué à la protection des données (DPO) :
Monsieur Jean-Jacques VANGRAMBEREN
RGPD Tahiti - Enseigne de Boss Pacific SAS
BP 111774 - Mahina - Polynésie française
contact[at]bosspacific.com

Section B | Présentation de la plateforme

B.1 | Nature des services

Ta'iara exploite une plateforme numérique Web2.5 : une plateforme web classique enrichie de fonctionnalités blockchain (technologie de stockage et de transmission d'informations sécurisée, fonctionnant sans organe central de contrôle). Elle intègre :

• l'authentification par portefeuille numérique (Wallet) et, en complément, des méthodes alternatives de connexion (email avec mot de passe vérifié par code, Sign in with Google) ;
• les NFTs (jetons numériques non fongibles enregistrés sur la blockchain Ethereum) servant de titres de propriété numérique uniques ;
• les smart contracts (programmes autonomes exécutant automatiquement les transactions selon des règles prédéfinies) ;
• le stockage décentralisé IPFS (système de fichiers distribué) pour les médias des NFTs forgés.

Ta'iara agit exclusivement en qualité d'opérateur technique de plateforme.

B.2 | Espaces et niveaux d'accès

La plateforme est organisée autour de plusieurs espaces, chacun soumis à des conditions d'accès spécifiques :

Espaces publics (accessibles à tous les visiteurs) :

• l'Emporium : espace de présentation des NFTs en vente (consultation uniquement pour les visiteurs non connectés) ;
• les profils publics des artisans et les aperçus de leurs contenus numériques ;
• les pages d'information et pages légales.

Espaces réservés aux utilisateurs connectés (connexion wallet, ou connexion via email lié, ou Sign in with Google) :

• le Sanctuaire : espace personnel comprenant le tableau de bord, la Forge (création et vente de NFTs), les Reliques (inventaire et importation de NFTs externes), les Parchemins (journal d'activité), l'Observatoire (suivi d'artisans), les Missions, et la gestion du profil ;
• les Oracles : espace dédié au jeu des Boosters mystérieux (déployé sur la blockchain Ethereum, 100 % gagnant) et aux évènements saisonniers (Calendrier de l'avent, gratuit) ;
• la Transmutation : conversion encadrée de Reliques en nouvelles Reliques selon des recettes définies par Ta'iara ;
• la Station de Change : conversion de NFTs Tīteti en Runes ;
• l'Agora : suggestions communautaires, votes et commentaires, dont l'accès est conditionné à la détention d'un NFT spécifique vérifié on-chain ;
• les Paramètres : gestion du profil, des méthodes de connexion (wallet, email, Google), des préférences de notifications et de l'export RGPD ;
• les fonctionnalités d'achat sur l'Emporium et dans les profils artisans (paiement on-chain par signature de transaction wallet).

Espaces réservés aux artisans (connexion wallet + détention du NFT « Pass Artisan ») :

• l'Atelier : publication et vente de contenus numériques exclusifs (images, vidéos, documents PDF), soumis à modération préalable ;
• les statistiques d'audience sur les déblocages de contenus ;
• la gestion de la cagnotte artisan (solde accumulé au cours du mois, affiché dans l'Atelier) et le versement automatique du solde en USDC sur le wallet de l'artisan à la fin de chaque mois.

Espaces réservés aux détenteurs VIP (connexion wallet + détention du NFT « Pass Sanctum ») :

• le Sanctum : espace de ventes privées éphémères.

Fonctionnalités d'administration (wallets autorisés par Ta'iara uniquement) :

• Modération des contenus de l'Atelier ;
• Scanner de détenteurs NFTs ;
• Envoi groupé de NFTs (Multi-Send) ;
• Gestion des ventes VIP et de la configuration de la plateforme.

B.3 | Modèle économique

Ta'iara perçoit une commission sur les transactions réalisées via la plateforme. Les modalités, taux et conditions applicables sont précisés dans les Conditions Générales et peuvent être modifiés conformément à celles-ci.

Ventes réglées en cryptomonnaie via smart contract. Lorsque les contenus ou NFTs sont réglés directement en cryptomonnaie (ETH, USDC, USDT), les paiements sont exécutés via un smart contract déployé sur la blockchain Ethereum. La répartition entre la part revenant au vendeur et la commission de Ta'iara est exécutée automatiquement. Ta'iara ne détient à aucun moment les actifs numériques des utilisateurs et ne conserve aucune clé privée.

Ventes réglées via NFTs « Tīteti ». Ta'iara émet des NFTs spécifiques appelés « Tīteti », vendus exclusivement contre du stablecoin USDC (indexé sur le dollar) pour une valeur équivalente d'environ 300 XPF au moment de l'achat. Chaque NFT Tīteti peut être converti en crédits d'usage internes (Runes) via la Station de Change du Sanctuaire, selon un taux fixe d'une (1) Rune pour un (1) Tīteti. Les crédits associés aux Tīteti :

• ne constituent pas une monnaie électronique ;
• ne constituent pas un actif numérique réglementé ;
• ne sont pas convertibles en monnaie ayant cours légal ;
• ne constituent pas un instrument de paiement transférable ;
• ne peuvent être cédés ou échangés entre utilisateurs ;
• ne sont utilisables que sur la plateforme Ta'iara Gate, pour le déblocage de contenus numériques publiés par les artisans de l'Atelier et pour la participation aux jeux des Oracles (ex : ouverture de Boosters mystérieux).

Lorsqu'un contenu est acquis via un crédit issu d'un Tīteti, Ta'iara s'engage contractuellement à verser mensuellement à l'artisan la part qui lui revient en USDC sur son wallet, selon les modalités prévues dans les Conditions Générales. Ce versement constitue l'exécution d'une obligation contractuelle interne et ne constitue pas un service autonome de change, d'intermédiation financière ou de transmission d'ordres.

B.4 | Absence de qualification d'activité réglementée

Ta'iara agit exclusivement en tant qu'opérateur technique de plateforme. Son activité ne constitue pas un service sur actifs numériques soumis à une réglementation spécifique ou à un agrément préalable sur le territoire de la Polynésie française. Ta'iara :

• n'assure pas la conservation d'actifs numériques pour compte de tiers ;
• ne propose pas de service d'achat ou de vente d'actifs numériques contre monnaie ayant cours légal ;
• n'exploite pas de plateforme de négociation d'actifs numériques ;
• ne reçoit ni ne transmet d'ordres sur actifs numériques à titre professionnel.

Nature des NFTs. Les NFTs émis sont des objets numériques uniques non fongibles. Ils ne constituent ni des instruments financiers, ni des titres financiers, ni des crypto-actifs régulés. Aucun rendement, aucune promesse de plus-value ni droit financier n'est attaché aux NFTs proposés sur la plateforme.

Section C | Politique de confidentialité (RGPD)

C.1 | Responsable du traitement

Ta'iara SARL, dont les coordonnées figurent à l'article 1.2, est responsable du traitement des données personnelles collectées via le site.

C.2 | Données collectées par rôle

Les données collectées varient selon le niveau d'accès de l'utilisateur à la plateforme :

Pour tous les visiteurs (sans connexion wallet) :

• Adresse IP ;
• Données statistiques anonymisées de navigation (Matomo).

Pour les utilisateurs connectés (connexion wallet, email ou Google) - en plus des données ci-dessus :

• Adresse publique du portefeuille numérique (wallet) - identifiant unique on-chain ;
• Note importante sur l'adresse wallet. L'adresse publique du wallet constitue une donnée à caractère personnel au sens du RGPD dès lors qu'elle peut être rattachée à une personne physique identifiable, notamment par croisement avec d'autres données collectées par Ta'iara (pseudonyme, email lié, identifiant Google, compte Facebook ou Instagram). Les droits RGPD décrits à l'article 2.10 s'appliquent à toutes les données associées à cette adresse sur les serveurs de Ta'iara. En revanche, les données inscrites sur la blockchain elle-même sont immuables (voir article 2.7).
• Adresse email de connexion (optionnelle) et empreinte cryptographique du mot de passe (hashage bcrypt via password_hash(PASSWORD_DEFAULT) - le mot de passe en clair n'est jamais stocké) ;
• Identifiant unique Google (« sub » fourni par Google OAuth) en cas de liaison du compte Google - aucune donnée Google supplémentaire n'est conservée ;
• Codes de vérification email (à usage unique, durée de vie 30 minutes, hashés en SHA-256, jamais stockés en clair) émis lors d'une demande de liaison email ou de modification d'email ;
• Jeton de session serveur (token cryptographique de 256 bits) et date d'expiration ;
• Logs de connexion (dates, heures, user-agent) ;
• Données de profil renseignées volontairement : pseudonyme (20 caractères max), image de profil (avatar), date de naissance, genre, pays de résidence, langue principale ;
• Données de comptes sociaux liés (renseignées volontairement) : identifiant Facebook, identifiant Instagram ;
• Historique des transactions on-chain (hash de transaction, montants, contrats, token IDs) ;
• Solde de crédits internes (Runes) et historique des conversions Tīteti → Runes ;
• Historique des achats et ventes de NFTs ;
• Historique des offres émises et reçues ;
• Journal d'activité complet (actions, dates, types, montants de Mana) consultable depuis les Parchemins ;
• Points d'expérience (Mana), niveau, rang, missions complétées, séries de connexion ;
• Participations au Calendrier de l'avent (pendant la période d'activité du jeu en décembre) : date et heure de participation, résultat du tirage, lots attribués (adresse wallet de réception pour les NFTs offerts) ;
• Liste des artisans suivis ;
• Suggestions soumises à l'Agora, votes et commentaires ;
• Notifications internes reçues ;
• Données de notifications push (endpoint du service de notification du navigateur, clés cryptographiques p256dh et auth) - collectées uniquement avec le consentement de l'utilisateur.

Pour les artisans (connexion wallet + Pass Artisan) - en plus des données ci-dessus :

• Fichiers uploadés (images, vidéos, pdf) et leurs métadonnées (titre, description, prix, type de fichier, devise) ;
• Statut de modération des contenus (en attente, approuvé, refusé) ;
• Demandes de partage sur les réseaux sociaux ;
• Cagnotte artisan (solde accumulé sur le mois en cours, total historique versé) et historique des versements mensuels en USDC (dates, montants, hash de transaction).

Données collectées ponctuellement :

• Données analytiques lors du déblocage de contenus de l'Atelier : type d'appareil, navigateur, langue du navigateur, pays (déterminé par l'adresse IP, sans conservation de la ville précise), fuseau horaire, résolution d'écran, heure locale, jour de la semaine, tranche d'âge et genre de l'acheteur (si renseignés dans le profil). Ces données sont agrégées et anonymisées avant transmission à l'artisan, de sorte qu'elles ne permettent en aucun cas l'identification individuelle de l'acheteur. La collecte et le partage de ces données statistiques sont conditionnés au consentement explicite de l'utilisateur, recueilli lors de sa première connexion wallet et modifiable à tout moment depuis les réglages du compte (Rituels du Sanctuaire).

C.2 bis | Données collectées via les formulaires

En complément des données collectées par rôle (article C.2), la plateforme propose plusieurs formulaires de contact et d'inscription dont les données sont traitées séparément :

Formulaire de contact général (page Contacter Ta'iara) :

• Nom et prénom ;
• Adresse e-mail ;
• Catégorie de la demande (sécurité du compte, connexion / wallet, marketplace, atelier, partenariat, presse / médias, suggestion / feedback, autre) ;
• Sujet libre ;
• Message ;
• Pièce jointe optionnelle (formats acceptés : JPG, PNG, PDF ; taille maximale : 5 Mo) ;
• Adresse publique du wallet, automatiquement attachée si l'utilisateur est connecté lors de l'envoi ;
• Horodatage du consentement RGPD.

La pièce jointe est transmise en pièce jointe d'e-mail aux destinataires internes (contact[at]taiara.net et adresses des membres de l'équipe), puis supprimée du serveur immédiatement après l'envoi. Aucun fichier n'est conservé durablement sur l'hébergement.

Formulaire Ta'iara Digital Cleanup Réemploi (page de participation au don de matériel informatique) :

• Type de contributeur (Particulier, Entreprise, Organisme, Association, Fondation, Collectivité, Établissement scolaire ou supérieur, Ministère) ;
• Nom de l'organisme (le cas échéant) ;
• Secteur(s) professionnel(s), sélection multiple parmi une liste prédéfinie ;
• Prénom et nom ;
• Adresse e-mail ;
• Numéro de téléphone (facultatif) ;
• Adresse postale (BP et commune) ;
• Adresse géographique destinée à la récupération physique du matériel donné ;
• Liste du matériel proposé au réemploi (type d'équipement et quantité, jusqu'à cinq entrées) ;
• Pièces jointes multiples (photos du matériel, inventaire) ;
• Commentaire libre (180 caractères maximum) ;
• Horodatage du consentement RGPD.

Formulaire de participation à un événement :

• Adresse publique du wallet du participant ;
• Code secret optionnel (le cas échéant, fourni aux participants présents sur place) ;
• Identifiant et slug de l'événement (PICS2-2026 par exemple) ;
• Horodatage de la participation et du consentement RGPD.

Ce formulaire permet de réclamer un ou plusieurs NFT distribués pendant la durée d'un événement (par exemple le Pass Éphémère et la Clé Ta'iara lors du PICS2). L'adresse du wallet est utilisée pour identifier le destinataire du NFT lors du transfert on-chain, puis conservée à des fins de traçabilité et de prévention des doublons. Aucune donnée nominative n'est demandée par ce formulaire.

Formulaire Espace Partenaire Ta'iara-PRO (modale accessible aux détenteurs d'un NFT spécifique) :

• Nom et prénom du contact ;
• Numéro de téléphone (facultatif) ;
• Adresse e-mail ;
• Raison sociale de l'entreprise ;
• Numéro Tahiti (identifiant fiscal Polynésie française) ;
• Présentation rapide de l'entreprise (facultatif) ;
• Images optionnelles (logo, bannière) ;
• Adresse publique du wallet, vérifiée on-chain pour valider la détention du NFT donnant accès au formulaire ;
• Horodatage du consentement RGPD.

Ce formulaire est conditionné à la détention préalable d'un NFT spécifique vérifié sur la blockchain Ethereum. Les données saisies sont transmises à l'équipe Ta'iara-PRO pour création du compte entreprise sur la plateforme dédiée.

Traitement des données reçues par e-mail :

Les soumissions des trois formulaires ci-dessus (Contact général, Digital Cleanup Réemploi, Espace Partenaire Ta'iara-PRO) sont transmises par e-mail aux membres de l'équipe Ta'iara désignés selon le formulaire concerné. Les e-mails sont reçus et consultés depuis les boîtes professionnelles des destinataires, hébergées chez le prestataire o2Switch (Union européenne, certifié RGPD).

Ces e-mails sont utilisés exclusivement pour le traitement de la demande de l'utilisateur :

• Réponse aux questions ou demandes d'assistance (formulaire Contact) ;
• Organisation logistique de la collecte du matériel donné (formulaire Digital Cleanup Réemploi) ;
• Création et activation du compte entreprise sur la plateforme Ta'iara-PRO (formulaire Espace Partenaire).

Aucune utilisation à des fins commerciales, publicitaires, de profilage ou de revente n'est effectuée. Les échanges sont archivés dans les boîtes mail des destinataires conformément aux durées de conservation précisées à l'article C.8, puis supprimés. Les utilisateurs peuvent à tout moment demander l'effacement de leurs échanges en exerçant leur droit d'opposition ou d'effacement décrits à l'article C.10.

C.3 | Traitements NON effectués

Ta'iara s'engage à NE PAS effectuer les traitements suivants :

• Ta'iara ne conserve jamais les clés privées des portefeuilles numériques des utilisateurs ;
• Ta'iara ne vend, ne loue et ne cède jamais les données personnelles des utilisateurs à des tiers à des fins commerciales ou publicitaires ;
• Ta'iara ne pratique aucun profilage à des fins de publicité ciblée ;
• Ta'iara ne prend aucune décision automatisée produisant des effets juridiques sur les utilisateurs au sens de l'article 22 du RGPD ;
• Ta'iara ne revendique aucun droit de propriété intellectuelle sur les contenus publiés par les artisans (voir article 7.3 des CGU) ;
• Ta'iara n'utilise pas les données personnelles des utilisateurs pour entraîner des modèles d'intelligence artificielle ;
• Ta'iara ne collecte aucune donnée personnelle des visiteurs non connectés, à l'exception de l'adresse IP et des données statistiques anonymisées.

C.4 | Prestataires techniques

La plateforme s'appuie sur les prestataires techniques suivants :

• o2Switch (hébergement des serveurs physiques de la plateforme, basé en France, certifié RGPD) ;
• Alchemy (infrastructure permettant l'interaction avec la blockchain Ethereum : vérification de propriété des NFTs, lecture de contrats) ;
• Cloudinary (plateforme d'hébergement et d'optimisation des fichiers vidéo de l'Atelier ; les images, avatars et PDF sont hébergés directement sur les serveurs o2Switch de Ta'iara) ;
• Pinata (service permettant de « clouer » les fichiers sur le réseau IPFS pour assurer leur pérennité sur le stockage décentralisé) ;
• IPFS (InterPlanetary File System : réseau décentralisé de partage de fichiers, alternative au web classique) ;
• Google OAuth 2.0 (service d'authentification fédérée pour la fonctionnalité « Sign in with Google » ; uniquement si l'utilisateur choisit de lier son compte Google à son compte Ta'iara) ;
• Service SMTP o2Switch (envoi des emails transactionnels : codes de vérification email, notifications) ;
• Services de notifications push des navigateurs (Mozilla Push Service, Apple Push Notification Service, Microsoft WNS, Google FCM) - uniquement si l'utilisateur consent aux notifications push ;
• Matomo (analyse statistique auto-hébergée, sans transfert de données vers des tiers).

Note technique sur les NFTs forgés : Pinata assure la persistance des données sur IPFS pour les NFTs forgés depuis la Forge.

C.5 | Bases légales des traitements

Conformément à l'article 6 du RGPD, les traitements reposent sur les bases légales suivantes :

Article 6 §1 b - Exécution du contrat :

• Gestion de la session utilisateur (authentification wallet, jeton de session) ;
• Création et gestion du profil (pseudonyme, avatar) ;
• Transactions NFTs via la Forge et l'Emporium (forge, mise en vente, achat, transfert, offres) ;
• Gestion des crédits internes via la Station de Change (Tīteti → Runes, solde, conversions) ;
• Publication, modération et vente de contenus via l'Atelier ;
• Reversement en USDC des gains aux artisans ;
• Déblocage de contenus par les acheteurs ;
• Notifications internes liées aux transactions ;
• Gestion des participations au Calendrier de l'avent évènementiel (tirages, attribution des NFTs offerts, transfert blockchain vers le wallet gagnant) ;
• Création de l'espace entreprise Ta'iara-PRO via le formulaire Espace Partenaire (initiation de la relation contractuelle B2B) ;
• Inscription et distribution de NFT lors d'événements (formulaire
  Shortcode incomplet : slug manquant.
  ) : exécution de la promesse de remise du NFT annoncée pendant l'événement.

Article 6 §1 f - Intérêt légitime :

• Sécurisation et prévention de la fraude (vérification de cohérence wallet/session, anti-replay des transactions, rate limiting) ;
• Conservation des logs d'activité (Parchemins) pour la traçabilité et la résolution de litiges ;
• Système de gamification (Mana, rangs, Missions) pour encourager l'engagement ;
• Système social (suivi d'artisans via l'Observatoire) pour faciliter la découverte de contenus ;
• Agora (suggestions, votes, commentaires) pour l'amélioration de la plateforme ;
• Sauvegardes automatiques quotidiennes des données pour assurer la continuité du service ;
• Traitement des demandes reçues via le formulaire de contact général (réponse à une sollicitation utilisateur) ;
• Réception et traitement des dons de matériel via le formulaire Ta'iara Digital Cleanup Réemploi (projet associatif de réemploi numérique).

Article 6 §1 c - Obligation légale :

• Conservation des données comptables et fiscales selon les durées légales applicables en Polynésie française.

Article 6 §1 a - Consentement :

• Cookies analytiques (Matomo) ;
• Notifications push (l'utilisateur doit autoriser explicitement la réception via son navigateur) ;
• Liaison de comptes sociaux (email, Facebook, Instagram) - renseignement volontaire ;
• Données de profil optionnelles (date de naissance, genre, pays, langue) - renseignement volontaire ;
• Collecte et partage de données analytiques lors du déblocage de contenus de l'Atelier, à destination de l'artisan créateur.

C.6 | Transferts internationaux

Certains prestataires techniques peuvent être situés hors Union européenne :

• Alchemy (États-Unis) - interaction blockchain ;
• Cloudinary (États-Unis) - hébergement vidéo pour l'Atelier ;
• Pinata (États-Unis) - épinglage IPFS pour les NFT forgés ;
• Google (États-Unis) - service d'authentification OAuth 2.0 (Sign in with Google), uniquement si l'utilisateur lie son compte Google ;
• Mozilla, Apple, Microsoft, Google - services de notifications push des navigateurs (uniquement si l'utilisateur consent aux notifications push) ;
• Réseau IPFS - décentralisé, nœuds situés dans le monde entier.

Les transferts vers les prestataires situés aux États-Unis s'appuient, lorsque disponibles, sur la certification au titre du Data Privacy Framework UE-États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023). Pour les prestataires non certifiés, les transferts sont encadrés par la mise en place de clauses contractuelles types (articles 46 à 49 du RGPD) complétées d'une analyse d'impact des transferts (TIA). Les utilisateurs peuvent solliciter auprès de Ta'iara la communication des garanties applicables à chaque transfert.

C.7 | Blockchain et données immuables

Les données inscrites sur une blockchain publique (adresses de wallet, historique de transactions, métadonnées de NFTs) sont par nature immuables et ne peuvent être modifiées ni supprimées. Le droit à l'effacement prévu à l'article 17 du RGPD s'applique uniquement aux données hébergées sur les serveurs de Ta'iara (profil, avatar, pseudonyme, contenus de l'Atelier, journal d'activité, notifications, données sociales, etc.).

Les utilisateurs sont expressément invités à ne pas inscrire de données personnelles identifiantes (noms, adresses physiques, numéros de téléphone) dans les métadonnées d'un NFT ou dans une transaction blockchain.

C.8 | Durées de conservation

• Données de session (jeton) : 7 jours, nettoyage automatique quotidien ;
• Données de profil (pseudonyme, avatar, date de naissance, genre, pays, langue) : durée d'activité du compte + 12 mois d'inactivité ;
• Email lié et empreinte du mot de passe (hash bcrypt) : durée d'activité du compte + 12 mois d'inactivité ;
• Identifiant Google (« sub » OAuth) : durée d'activité du compte + 12 mois d'inactivité, ou jusqu'à délaison manuelle par l'utilisateur ;
• Codes de vérification email (création/changement) : 30 minutes maximum, à usage unique, supprimés automatiquement après usage ou expiration ;
• Données de comptes sociaux liés : durée d'activité du compte + 12 mois d'inactivité ;
• Données transactionnelles et journal d'activité (Parchemins) : 5 ans à des fins probatoires, conformément aux délais de prescription applicables en matière commerciale et fiscale en Polynésie française ;
• Données de gamification (Mana, missions, rangs) : durée d'activité du compte + 12 mois d'inactivité ;
• Données sociales (abonnements, suggestions Agora) : durée d'activité du compte + 12 mois d'inactivité ;
• Contenus de l'Atelier : conservés tant que le contenu est publié, et au-delà tant qu'au moins un acheteur dispose d'un déblocage actif (afin de préserver son accès permanent) ; le retrait par l'artisan suspend les nouveaux déblocages mais n'efface pas le contenu (voir article 7.3 des CGU) ;
• Données de notifications push : tant que l'abonnement est actif (suppression automatique en cas d'expiration) ;
• Données analytiques de déblocage : 24 mois ;
• Données de participation au Calendrier de l'avent : pendant la durée de l'édition en cours, puis 12 mois à des fins de traçabilité des NFTs offerts ;
• Logs serveur : 12 mois ;
• Données comptables : durée légale applicable en Polynésie française ;
• Cache transient (missions) : 2 minutes ;
• Messages reçus via le formulaire de contact général : 3 ans à compter du dernier échange (recommandation CNIL en matière de gestion de la relation client et prospect) ;
• Pièces jointes du formulaire de contact général : aucune conservation serveur, suppression immédiate après envoi de l'e-mail aux destinataires internes ;
• Données collectées via le formulaire Ta'iara Digital Cleanup Réemploi : durée du projet en cours + 3 ans à des fins de traçabilité des dons de matériel et de reporting auprès des partenaires institutionnels ;
• Données collectées via le formulaire Espace Partenaire Ta'iara-PRO : durée du partenariat + 3 ans après cessation, conformément aux obligations comptables et probatoires applicables ;
• Données du formulaire de participation à un événement (
  Shortcode incomplet : slug manquant.
  ) : pendant la durée de l'événement, puis 12 mois à des fins de traçabilité des NFT distribués et de prévention des doublons.

C.9 | Sécurité des données

Ta'iara met en œuvre les mesures techniques et organisationnelles suivantes :

• Jetons de session générés par des algorithmes cryptographiquement sûrs ;
• Cookies de session en HttpOnly, Secure et SameSite=Lax ;
• Validation stricte du format des adresses wallet ;
• Vérification de cohérence entre la session active et le wallet déclaré à chaque requête transactionnelle ;
• Hashage des mots de passe via bcrypt (algorithme password_hash(PASSWORD_DEFAULT)) ; le mot de passe en clair n'est jamais stocké ni transmis en clair ;
• Codes de vérification email à usage unique, hashés en SHA-256, durée de vie de 30 minutes maximum ;
• Comparaison à temps constant (hash_equals) pour les vérifications de codes et secrets, afin de prévenir les attaques par chronométrage ;
• Mécanisme anti-replay sur les dépôts blockchain et sur les codes de vérification email ;
• Mécanisme anti-énumération sur les modifications d'email (les conflits ne révèlent pas si une adresse est déjà utilisée) ;
• Limitation du nombre de requêtes par minute par utilisateur (rate-limiting double : par adresse IP et par compte) ;
• Protection CSRF par jetons (nonces) sur tous les endpoints d'écriture ;
• Validation des types de fichiers uploadés dans l'Atelier (whitelist d'extensions autorisées : jpg, jpeg, png, gif, webp, pdf, mp4, webm) avec contrôle MIME serveur ;
• Contenus de l'Atelier stockés dans un répertoire protégé, servi exclusivement via un endpoint authentifié ;
• Chiffrement des notifications push (clés VAPID) ;
• Nettoyage automatique quotidien des sessions expirées et des codes de vérification expirés ;
• Sauvegardes automatiques quotidiennes des données de la plateforme.

C.10 | Droits des utilisateurs

Conformément aux articles 15 à 22 du RGPD, l'utilisateur dispose des droits suivants sur ses données personnelles hébergées par Ta'iara :

• Droit d'accès : obtenir la confirmation que des données le concernant sont traitées et en obtenir une copie ;
• Droit de rectification : faire corriger des données inexactes ou incomplètes ;
• Droit à l'effacement : demander la suppression de ses données (à l'exception des données inscrites sur la blockchain, qui sont immuables, et des données dont la conservation est imposée par la loi) ;
• Droit à la limitation du traitement ;
• Droit d'opposition au traitement fondé sur l'intérêt légitime ;
• Droit à la portabilité : recevoir ses données dans un format structuré et lisible par machine ;
• Droit de retirer son consentement à tout moment pour les traitements fondés sur le consentement (notifications push, cookies analytiques, données de profil optionnelles), sans que cela ne remette en cause la licéité du traitement effectué avant le retrait ;
• Droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) - www.cnil.fr.

Les demandes relatives à l'exercice de ces droits peuvent être adressées :

• par e-mail à contact[at]taiara.net (Ta'iara SARL, responsable du traitement) ;
• directement au Délégué à la protection des données (DPO) dont les coordonnées figurent à l'article 1.3.

Ta'iara s'engage à répondre dans un délai d'un mois conformément à l'article 12 du RGPD, prolongeable de deux mois pour les demandes complexes (l'utilisateur en sera alors informé dans le délai initial). L'utilisateur dispose également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr.

C.11 | Mineurs

L'accès aux fonctionnalités réservées aux utilisateurs connectés (connexion wallet) de Ta'iara Gate est strictement réservé aux personnes majeures (18 ans et plus). Lors de sa première connexion, l'utilisateur doit renseigner sa date de naissance dans son profil. Ta'iara se réserve le droit de suspendre immédiatement tout compte pour lequel un doute sérieux existe quant à la majorité de l'utilisateur, et d'en demander la confirmation par tout moyen approprié.

Cette restriction d'âge ne s'applique pas à la consultation des espaces publics (Emporium, profils d'artisans, pages d'information), qui restent accessibles sans connexion wallet.

C.12 | Gestion des Cookies

Lors de votre navigation sur la plateforme, des cookies (petits fichiers textes) peuvent être déposés sur votre terminal. Nous utilisons un gestionnaire de consentement in-house, développé par Ta'iara (aucun service tiers), accessible via le bouton « Cookies » en bas à gauche de chacune des pages. Il vous permet d'accepter, de refuser et de paramétrer vos préférences à tout moment.

Les cookies traités sur le site sont répartis dans deux catégories :

• Nécessaires (toujours actifs) : indispensables au fonctionnement de la plateforme (authentification, connexion wallet, sécurité). Sans eux, le site ne fonctionne pas. Ils ne stockent aucune donnée personnellement identifiable à des fins de traçage.
• Statistiques anonymes (soumis au consentement) : permettent de mesurer l'audience du site via Matomo Analytics, IP anonymisée, aucun partage avec un tiers. Désactivés tant que vous n'avez pas explicitement consenti.

Aucun cookie publicitaire ni de traçage tiers n'est déposé par Ta'iara Gate.

Liste détaillée des cookies utilisés :

Cookie	Domaine	Durée	Catégorie	Finalité
taiara_consent	taiaragate.net	1 an	Nécessaire	Mémorise vos préférences de consentement cookies. Émis par Ta'iara.
th_wallet_session	taiaragate.net	7 jours	Nécessaire	Jeton de session sécurisée Web3 (authentification wallet). Émis par Ta'iara, uniquement après connexion wallet.
th_agora_access	taiaragate.net	1 jour	Nécessaire	Atteste de l'éligibilité d'accès à l'Agora (détention du NFT requis). Émis par Ta'iara, uniquement aux détenteurs concernés.
o2s-chl	taiaragate.net	1 jour	Nécessaire	Protection contre les robots et accès malveillants (o2switch, hébergeur).
__cf_bm, __cfuvid	alchemy.com	1 heure / Session	Nécessaire	Sécurité Cloudflare pour les appels blockchain (Alchemy). Cookie tiers technique.
__cflb	w3s.link	1 jour	Nécessaire	Équilibrage de charge Cloudflare pour les ressources IPFS. Cookie tiers technique.
_pk_id.*	taiaragate.net	13 mois	Statistiques	Identifiant anonyme de visiteur Matomo. Émis uniquement après consentement.
_pk_ses.*	taiaragate.net	30 minutes	Statistiques	Identifiant de session courante Matomo. Émis uniquement après consentement.

À l'exception des cookies de la catégorie « Nécessaires », le dépôt de ces traceurs est conditionné à votre consentement explicite via le bandeau dédié, que vous pouvez modifier à tout moment via le bouton « Cookies » en bas à gauche de chaque page.

Stockage local (localStorage) : en complément des cookies, la plateforme utilise le stockage local de votre navigateur pour conserver certaines préférences et caches techniques. Ces entrées restent sur votre appareil et ne sont jamais transmises à un tiers.

Clé	Durée	Catégorie	Finalité
taiara_consent	1 an	Nécessaire	Sauvegarde locale de vos préférences de consentement (miroir du cookie, résistant aux suppressions tierces).
taiara_market_cache	60 secondes	Nécessaire	Cache temporaire des cours crypto affichés sur la page d'accueil (limite les appels à l'API CoinGecko).
elementor	Persistant	Nécessaire	Préférences locales de l'éditeur visuel Elementor (utilisé côté administrateur uniquement).

C.13 | Révisions et Modifications

Ta'iara se réserve le droit de modifier la présente politique à tout moment pour tenir compte des évolutions techniques, réglementaires ou fonctionnelles de la plateforme. La nouvelle version est publiée sur le site et s'applique dès sa mise en ligne.

En cas de modification substantielle, un bandeau d'information sera affiché sur la page d'accueil pour signaler la mise à jour. Il appartient à l'utilisateur de consulter régulièrement la présente politique pour prendre connaissance des évolutions.

Lorsqu'une modification affecte un traitement fondé sur le consentement (article 6 §1 a du RGPD), un nouveau consentement explicite sera sollicité auprès de l'utilisateur avant la poursuite du traitement concerné, conformément aux obligations européennes en matière de protection des données.