How do I add a new language?

Create landing.xx.json inside i18n/messages and run the i18n scripts to align keys.

Can I replace the screenshot placeholders?

Yes. Drop assets inside public/ and update the Screenshots data to point to them.

Is the showcase tied to the app repo?

No, it’s a standalone Next.js project that shares the same styles and workflows.

Lowdout: the esport ecosystem. Companion, Weclimb, Manage.

This document is provided in French. In case of dispute, only the French text is binding.

Dernière mise à jour : 08/05/2026

La présente politique de confidentialité décrit la manière dont la société Lowdout collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs de l'écosystème Lowdout (sites lowdout.gg, account.lowdout.gg, app.lowdout.gg, application desktop Lowdout Companion, extension Chrome « Lowdout Review » et services associés).

Ce document complète, sans s'y substituer, l'article 8 « Données personnelles » des CGV et les articles 3, 7, 10 et 11 des CGU. Il est rédigé conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée.

1. Responsable de traitement

Le responsable de traitement est la société Lowdout, SASU au capital de 500 €, immatriculée au RCS de Paris sous le numéro 994 685 550, dont le siège social est situé au 60 rue François 1er, 75008 Paris.

Pour toute question relative à la présente politique ou à l'exercice de vos droits, vous pouvez contacter Lowdout par e-mail à privacy@lowdout.gg ou par courrier à l'adresse ci-dessus.

Lowdout n'est pas tenue de désigner un Délégué à la Protection des Données (DPO). Le directeur de la publication, Eliott Le Duc, est l'interlocuteur principal pour les questions de protection des données.

2. Données collectées

2.1 Données fournies par l'utilisateur

Compte : adresse e-mail, prénom, nom, pseudo, langue préférée, photo de profil (lorsqu'elle est renseignée via Google ou Discord).
Authentification : identifiant Google ou Discord (lorsque ces fournisseurs sont utilisés pour se connecter), code OTP à usage unique transmis par e-mail. Aucun mot de passe n'est stocké : la connexion par mot de passe est techniquement désactivée.
Discord : identifiant Discord et nom d'utilisateur, lorsque l'utilisateur choisit de lier son compte Discord pour les fonctionnalités du bot.
Organisation : nom d'équipe, slug, membres, rôles et invitations, dans le cadre de l'utilisation du produit Manage.
Contenu utilisateur : notes en direct, annotations tactiques, fichiers VOD importés, commentaires de review et tout contenu publié via les services (offres de scrim, etc.).

2.2 Données collectées automatiquement

Sessions appareil : identifiant d'appareil, nom d'appareil (ex. « Companion · DESKTOP-ABC ») et date de dernière activité, afin de permettre la révocation des sessions actives depuis account.lowdout.gg/security.
Jetons d'accès : jeton JWT court (1 h) et jeton de rafraîchissement à rotation, stockés côté serveur dans la table refresh_tokens. Sur l'application desktop, le jeton de rafraîchissement est stocké dans le Windows Credential Manager (chiffrement système).
Journaux API (cf. CGU article 10) : méthode HTTP, URL (sans paramètres), code de statut, identifiant utilisateur (si authentifié), adresse IP, agent utilisateur, durée de traitement et message d'erreur éventuel. Conservés 30 jours.
Mesure d'audience anonyme (cf. CGU article 11) : Umami, sans cookies, sans donnée identifiante, sans suivi inter-sites. Données agrégées (pages, référent, type d'appareil, type de navigateur, pays, durée de visite).

2.3 Données de paiement

Les paiements sont traités par notre prestataire Stripe. Les données de carte bancaire ne transitent jamais par les serveurs de Lowdout : elles sont collectées directement par Stripe via des composants sécurisés (Stripe Elements, Stripe Checkout). Lowdout conserve uniquement un identifiant client Stripe (stripeCustomerId) permettant de relier l'utilisateur à ses abonnements et à ses factures.

2.4 Données issues du jeu (application desktop)

L'application Lowdout Companion interagit en lecture seule avec le client local de Riot Games (LCU) et avec la base de données publique Data Dragon, afin de fournir les fonctionnalités d'overlay et d'enrichissement. Aucun mot de passe ni e-mail Riot n'est lu, transmis ou stocké. Seules les métadonnées de partie (identifiants de champion, horodatages, événements de jeu) nécessaires aux fonctionnalités « Live Notes » et « Match History » sont synchronisées vers les serveurs Lowdout (cf. CGU article 13).

3. Finalités et bases légales

Vos données sont traitées pour les finalités suivantes :

Fourniture du Service (création de compte, accès aux outils, gestion des abonnements, livraison des prestations). Base légale : exécution du contrat(article 6.1.b RGPD).
Facturation et obligations comptables. Base légale : obligation légale(article 6.1.c RGPD), notamment l'article L.123-22 du Code de commerce (conservation des pièces comptables 10 ans).
Sécurité, débogage et amélioration du service (journaux API, sessions appareil, mesure d'audience anonyme). Base légale : intérêt légitime (article 6.1.f RGPD) consistant à maintenir un service stable, sécurisé et continuellement amélioré.
Communications transactionnelles (e-mails de confirmation, factures, alertes de sécurité, expirations d'abonnement). Base légale : exécution du contrat.
Communications marketing (newsletters, annonces de produit). Base légale : consentement (article 6.1.a RGPD), recueilli préalablement et révocable à tout moment via le lien de désinscription présent dans chaque e-mail.
Réponse aux demandes utilisateurs et au support. Base légale : intérêt légitime.

4. Destinataires et sous-traitants

Vos données sont accessibles aux seuls salariés et prestataires de Lowdout ayant un besoin légitime d'y accéder dans le cadre de leurs missions. Aucun transfert ni cession à des tiers à des fins commerciales n'est effectué.

Les sous-traitants suivants interviennent dans la mise en œuvre du service. Chacun est lié par un contrat de sous-traitance (DPA) conforme à l'article 28 du RGPD ; les transferts hors UE sont encadrés par les clauses contractuelles types de la Commission européenne.

Sous-traitant	Finalité	Localisation
Vercel Inc.	Hébergement des sites et de l'API	USA / UE (régions Vercel)
Stripe Payments Europe Ltd	Traitement des paiements et facturation	Irlande / USA
Resend	Envoi des e-mails transactionnels (OTP, factures, alertes)	USA / UE
Google Ireland Ltd	Connexion via Google OAuth	Irlande / USA
Discord Inc.	Connexion via Discord OAuth, bot Discord	USA
Backblaze Inc.	Stockage des fichiers VOD et replays	UE (région B2 EU-Central)
BunnyWay d.o.o.	CDN de diffusion des VOD	Slovénie / UE
Pandascore	Données esport publiques (calendrier, équipes)	France / UE
Umami Software	Mesure d'audience anonyme sans cookies	UE

La liste à jour des sous-traitants peut être obtenue sur simple demande à privacy@lowdout.gg.

5. Durées de conservation

Données de compte (e-mail, identité, préférences) : pendant toute la durée de la relation contractuelle, puis archivage 5 ans à compter de la fin du contrat (prescription civile, cf. CGV article 8.5).
Pièces comptables et factures : 10 ans à compter de la clôture de l'exercice (article L.123-22 du Code de commerce).
Journaux API : 30 jours, suppression automatique (cf. CGU article 10).
Sessions appareil et jetons de rafraîchissement : durée alignée sur l'abonnement actif (jusqu'à 90 jours après expiration), supprimés à la révocation manuelle ou à la déconnexion.
Codes SSO à usage unique : 60 secondes maximum, supprimés après usage.
VODs et contenu utilisateur : tant que l'utilisateur ne les supprime pas. Suppression définitive sous 30 jours après suppression du compte.
Données marketing : 3 ans à compter du dernier contact pour les prospects, ou jusqu'au retrait du consentement.

6. Sécurité

Lowdout met en œuvre des mesures techniques et organisationnelles adaptées à la nature des données traitées :

chiffrement TLS de bout en bout pour tous les échanges réseau ;
cookies de session HttpOnly, SameSite=Lax, Secure en production ;
jetons de rafraîchissement liés à un identifiant d'appareil et révocables instantanément ;
stockage des jetons de l'application desktop dans le Windows Credential Manager ;
signatures HMAC-SHA256 sur les données critiques ;
vérification de l'empreinte SHA-256 des installeurs avant installation des mises à jour ;
contrôles d'accès stricts en interne et journalisation des actions sensibles ;
politique de mots de passe inutile : la connexion ne se fait que par OTP ou OAuth.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, Lowdout notifiera la CNIL dans un délai de 72 heures et, le cas échéant, les personnes concernées, conformément aux articles 33 et 34 du RGPD.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

Droit d'accès aux données vous concernant ;
Droit de rectification en cas de données inexactes ou incomplètes ;
Droit à l'effacement (« droit à l'oubli ») ;
Droit à la portabilité (export des données dans un format structuré et lisible par machine) ;
Droit à la limitation du traitement ;
Droit d'opposition au traitement fondé sur l'intérêt légitime ;
Droit de retirer votre consentement à tout moment, sans que ce retrait n'affecte la licéité du traitement antérieur ;
Droit de définir des directives post-mortem relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

Vous pouvez exercer ces droits :

directement depuis votre espace personnel sur account.lowdout.gg (mise à jour du profil, suppression du compte, gestion des appareils connectés) ;
par e-mail à privacy@lowdout.gg en justifiant de votre identité.

Lowdout s'engage à répondre à toute demande dans un délai d'un mois, prolongeable de deux mois en cas de complexité.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou en ligne sur www.cnil.fr/plaintes.

8. Cookies et traceurs

Lowdout utilise un nombre minimal de traceurs, dans le respect des recommandations de la CNIL :

Cookies strictement nécessaires au fonctionnement du service (cookie de session d'authentification, cookie de préférence de langue, cookie d'état OAuth). Ces cookies sont exemptés de consentement préalable au titre de l'article 82 de la loi Informatique et Libertés.
Mesure d'audience anonyme via Umami : aucun cookie n'est déposé, aucune donnée identifiante n'est collectée. Conformément aux recommandations de la CNIL, cette mesure est exemptée de consentement.

Aucun cookie publicitaire, aucun traceur tiers à des fins de profilage ou de retargeting n'est déposé sur les sites de Lowdout.

9. Mineurs

Les services Lowdout ne sont pas destinés aux enfants de moins de 15 ans. La création d'un compte par un mineur de moins de 15 ans nécessite le consentement préalable du titulaire de l'autorité parentale, conformément à l'article 7-1 de la loi Informatique et Libertés. Si vous avez connaissance d'un compte créé par un mineur sans ce consentement, contactez privacy@lowdout.gg : le compte sera supprimé sans délai.

10. Communications marketing

Lowdout peut adresser, par courrier électronique, des informations sur ses produits, ses lancements, l'ouverture de bêtas et ses offres commerciales. Ces communications sont strictement distinctes des emails dits « transactionnels » (sécurité, codes de connexion, factures, alertes de service) qui sont envoyés sans nécessiter de consentement spécifique.

Base légale : votre consentement explicite (article 6.1.a du RGPD), recueilli via une case décochée par défaut au moment de la création de compte ou ultérieurement depuis votre espace account.lowdout.gg/edit. Aucun email marketing ne vous est adressé sans votre opt-in préalable.

Données traitées : votre adresse email, votre prénom (pour la personnalisation), votre langue de préférence, votre statut d'abonnement aux différents produits Lowdout (pour la segmentation des envois). Aucun profilage avancé n'est réalisé.

Durée de conservation : votre consentement reste actif jusqu'à votre retrait, ou jusqu'à la suppression de votre compte. Une trace horodatée de chaque opt-in et opt-out est conservée 5 ans à des fins probatoires (preuve de consentement valide en cas de contrôle CNIL), puis supprimée.

Retrait du consentement : à tout moment et sans justification, en cliquant sur le lien « Se désinscrire » présent dans chaque email marketing, ou depuis account.lowdout.gg/account/edit. Le retrait est immédiat, sans confirmation supplémentaire requise.

Identification de l'expéditeur : conformément à l'article L.121-15-1 du Code de la consommation, chaque email marketing identifie clairement Lowdout comme expéditeur, fournit son adresse postale (60 rue François 1er, 75008 Paris, France) et un moyen de contact direct (contact@lowdout.gg).

11. Modifications

La présente politique peut être modifiée à tout moment pour refléter les évolutions du service ou de la réglementation. La date de dernière mise à jour figure en tête du document. Toute modification substantielle sera notifiée aux utilisateurs par e-mail ou par message dans l'application au moins 30 jours avant son entrée en vigueur.

Politique de confidentialité