Is Road to Headliner really free?

Yes, 100% free with no ads or pay-to-win mechanics. All players compete on equal footing. We believe the best game is one where skill and strategy determine success, not your wallet.

How long is a season?

Each season lasts 12 real-world weeks. After a season ends, there's a brief offseason period, then you start fresh with a new band while keeping your awards, prestige, and account history.

Can I play on mobile?

Road to Headliner is designed primarily for PC/desktop browsers. The interface works reasonably on tablets, but the complex management screens are best experienced on a larger screen. A dedicated mobile experience may come in the future.

Yes! You share the game world with other players in real-time. Compete on leaderboards, enter festival brackets, collaborate on features, and declare rivalries with other bands.

What is MT (Management Time)?

MT is your action currency — think of it as your manager's energy. It regenerates 1 per hour up to a maximum of 48. Every action like booking shows, rehearsing, or recording costs MT, so planning your time wisely is key to success.

Politique de confidentialité | En route vers la tête d’affiche

1. Qui nous sommes

Road to Headliner est un jeu de gestion de groupe multijoueur en ligne exploité par un développeur indépendant basé en Slovaquie, dans l'Union européenne. Nous sommes le responsable du traitement des données personnelles traitées via ce service en vertu du règlement (EU) 2016/679 (Règlement général sur la protection des données, « GDPR »). Nos serveurs de jeux et notre base de données sont hébergés par Hetzner Cloud à Falkenstein, en Allemagne (EU). Pour toutes les demandes de confidentialité, les demandes de personnes concernées ou les plaintes, contactez-nous à [email protected].

2. Quelles données nous collectons

Données du compte : adresse e-mail, nom d'affichage, mot de passe haché
Données de préférence : langue, fuseau horaire
Données techniques : adresse IP, agent utilisateur (navigateur), identifiants de session
Données du jeu : nom du groupe, actions du jeu, statistiques, scores de la saison
Données de communication : messages directs, messages de forum (contenu généré par les utilisateurs)
Données de sécurité : tentatives d'authentification, signaux de détection multi-comptes

3. Comment nous utilisons vos données

Fournir et exploiter le service de jeu
Sécurité, anti-triche et prévention de la fraude
Analyse de produits sans cookies via le cloud PostHog EU (mémoire uniquement, pas de cookies ni localStorage).
E-mails transactionnels (codes de vérification, réinitialisations de mot de passe, avertissements de sécurité) envoyés via notre serveur de messagerie auto-hébergé.

4. Bases juridiques du traitement (GDPR)

Exécution du contrat (Art. 6(1)(b)) : Gestion du compte, données de jeu, communications
Intérêt légitime (Art. 6(1)(f)) : Surveillance de la sécurité, anti-triche, analytique
Consentement (Art. 6(1)(a)) : Uniquement si des fonctionnalités futures spécifiques l’exigent

5. Conservation des données

Nous conservons les données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, conformément au principe de limitation de la conservation (Art. 5(1)(e) GDPR). Les périodes de conservation suivantes sont appliquées automatiquement via un nettoyage programmé quotidien :

Comptes actifs : données conservées tant que votre compte existe et est actif
Tentatives d'authentification : automatiquement supprimées après 90 jours
Sessions : maximum 30 jours, sessions expirées nettoyées quotidiennement
Journaux de requêtes et de sécurité : automatiquement élagués après 90 jours
Journaux d'audit de l'administrateur : conservés pendant 1 an pour des raisons de conformité réglementaire, puis supprimés
Notifications : notifications de lecture supprimées au bout de 90 jours, non lues au bout de 180 jours
Alertes de sécurité : alertes résolues supprimées après 180 jours, alertes ouvertes supprimées après 365 jours
Journaux du système de jeu : supprimés après 30 jours. Traces de calcul et enregistrements d'audit RNG : supprimés après 90 jours
Messages directs : messages lus supprimés après 180 jours, messages non lus supprimés après 365 jours
Journaux d'action des joueurs : supprimés après 30 jours
Instantanés d'état et instantanés hebdomadaires : supprimés après 365 jours
Rapports de joueurs : rapports résolus ou rejetés supprimés après 180 jours
Jetons de vérification et de réinitialisation de mot de passe expirés ou utilisés : supprimés après 7 jours
Comptes supprimés : données personnelles anonymisées immédiatement après la suppression du compte. Les records de jeu (classement des groupes, historique des classements) sont conservés sous forme pseudonymisée pour garantir l'intégrité de la compétition.
Sauvegardes : les données personnelles peuvent persister dans des sauvegardes cryptées jusqu'à 30 jours après leur suppression. Les sauvegardes sont chiffrées au repos, dont l'accès est contrôlé et automatiquement purgées dans la fenêtre de conservation. Il s'agit d'une limitation acceptée divulguée au considérant 65 GDPR.

6. Vos droits

En vertu du GDPR (articles 15 à 22), vous disposez des droits suivants concernant vos données personnelles. Pour exercer l'un de ces droits, envoyez un e-mail à [email protected] avec pour objet « Demande de personne concernée » et précisez le droit que vous souhaitez exercer. Nous vérifierons votre identité avant de traiter votre demande. Nous vous répondrons dans un délai de 30 jours (Art. 12(3) GDPR), extensible de 60 jours supplémentaires pour les demandes complexes, auquel cas nous vous informerons de la prolongation dans le délai initial de 30 jours.

Droit d'accès (Art. 15) : Demandez une copie de toutes les données personnelles que nous détenons à votre sujet. Vous pouvez également télécharger vos données au format JSON lisible par machine à tout moment via Paramètres > Exporter les données, ou en envoyant une requête GET à /api/v1/auth/data-export lorsque vous êtes connecté. L'exportation comprend les données de compte, les données de jeu, les messages, les publications du forum et l'historique des transactions.
Droit à l'effacement (Art. 17) : Demander la suppression définitive de votre compte et l'anonymisation de toutes les données personnelles. Vous pouvez le faire vous-même à tout moment via Paramètres > Supprimer le compte (nécessite une confirmation du mot de passe). Vos données personnelles sont immédiatement anonymisées. Les records de jeu (classements des groupes, entrées dans les classements) sont conservés sous forme pseudonymisée pour l'intégrité de la compétition. Remarque : les données anonymisées peuvent persister dans des sauvegardes cryptées jusqu'à 30 jours.
Droit de rectification (Art. 16) : Demander la correction de données personnelles inexactes. Vous pouvez mettre à jour les informations de votre profil via les paramètres de votre compte. Pour les données qui ne peuvent pas être modifiées via le UI (telles que votre adresse e-mail), contactez [email protected].
Droit à la portabilité des données (Art. 20) : Recevez vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (JSON). Utilisez la fonction d'exportation de données décrite ci-dessus ou demandez une copie par e-mail.
Droit d'opposition (Art. 21) : S'opposer au traitement basé sur notre intérêt légitime (Art. 6(1)(f)), y compris le profilage anti-triche et la surveillance de la sécurité. Envoyez un e-mail à [email protected] avec le traitement spécifique auquel vous vous opposez. Nous cesserons le traitement sauf si nous démontrons des motifs légitimes et impérieux qui prévalent sur vos intérêts.
Droit de restriction (Art. 18) : demander une limitation temporaire du traitement pendant que nous vérifions l'exactitude de vos données, évaluons votre objection ou déterminons si nos motifs légitimes prévalent sur les vôtres. Pendant la restriction, nous stockerons mais ne traiterons pas activement les données pertinentes. Envoyez un e-mail à [email protected] pour demander une restriction.
Droit de retirer votre consentement (Art. 7(3)) : Lorsque le traitement est basé sur votre consentement, vous pouvez le retirer à tout moment. La rétractation n'affecte pas la licéité du traitement effectué avant la rétractation. Actuellement, tout traitement est basé sur l’exécution du contrat ou un intérêt légitime, et non sur le consentement.
Droit de déposer une plainte (Art. 77) : Vous avez le droit de déposer une plainte auprès d’une autorité de contrôle. L'autorité compétente pour nos opérations est l'Urad na ochranu osobnych udajov Slovenskej republiky (Office pour la protection des données personnelles de la République slovaque), Hranicna 12, 820 07 Bratislava, Slovaquie (https://dataprotection.gov.sk). Vous pouvez également contacter l'autorité de contrôle de l'État membre EU de votre résidence habituelle ou de votre lieu de travail.

7. Partage de données et sous-traitants

Nous utilisons les sous-traitants suivants pour exploiter ce service. Chaque sous-traitant est engagé dans le cadre d'un accord de traitement de données (Art. 28 GDPR) et traite uniquement les données strictement nécessaires à sa finalité :

Hetzner Cloud (Hetzner Online GmbH, Allemagne) : hébergement d'infrastructure et stockage de sauvegarde crypté. Catégories de données : tous les contenus de la base de données (données de compte, données de jeu, communications). Emplacement : centre de données de Falkenstein, Allemagne – pas de transfert international. DPA : norme Hetzner DPA selon l'art. 28 GDPR (https://docs.hetzner.com/general/general-terms-and-conditions/data-privacy-faq/).
Cloudflare (Cloudflare, Inc., US avec nœuds périphériques EU) : CDN, protection DDoS et pare-feu d'application Web. Catégories de données : adresses IP, en-têtes de requête HTTP, URL de requête. Mécanisme de transfert : cadre de confidentialité des données EU-US (DPF, décision d'adéquation de l'article 45) et clauses contractuelles types (CCS, module 2 : du contrôleur au processeur, art. 46(2)(c)). DPA : client Cloudflare DPA (https://www.cloudflare.com/cloudflare-customer-dpa/).
Envoi d'e-mails transactionnels : les e-mails de vérification, les réinitialisations de mot de passe et les avis de sécurité sont actuellement envoyés via notre serveur SMTP/Postfix auto-hébergé sur la même infrastructure hébergée par Hetzner que l'application. Les adresses e-mail et les noms d'affichage sont traités uniquement pour la livraison des messages.
PostHog Cloud (région EU) : analyses de produits et analyses CTA du site public. Catégories de données : identifiants d'utilisateur pseudonymes, identifiants de bande, identifiants de saison, chemins de page et propriétés d'événement explicites. Le stockage client est désactivé (`persistence: memory`), donc aucun cookie analytique ou identifiant localStorage n'est créé par PostHog dans le navigateur. DPA : https://posthog.com/dpa.

Nous ne vendons, louons, n'échangeons ni ne partageons vos données personnelles avec des tiers à des fins de marketing, de publicité ou de profilage. Les données sont partagées uniquement avec les sous-traitants répertoriés ci-dessus, uniquement aux fins décrites.

8. Transferts internationaux de données

Vos données sont principalement stockées en Allemagne (Hetzner Cloud, centre de données Falkenstein). Cloudflare traite les données de requête HTTP au niveau des nœuds périphériques EU ; pour tout traitement non-EU, Cloudflare participe au cadre de confidentialité des données EU-US (DPF, décision d'adéquation de l'article 45) et fournit des clauses contractuelles types (CSC, module 2, art. 46(2)(c)) comme garantie supplémentaire. Les analyses de produits sont traitées via la région cloud EU de PostHog en mode mémoire sans cookie. La livraison de courrier électronique transactionnel utilise actuellement notre serveur SMTP/Postfix auto-hébergé sur l'infrastructure hébergée par Hetzner, de sorte qu'aucun processeur de courrier électronique tiers distinct n'est actif en production. Toutes les données en transit sont cryptées via TLS 1.2+. Aucune donnée personnelle n'est transférée vers des pays sans une décision d'adéquation EU ou des garanties appropriées (Art. 46 GDPR).

9. Mesures de sécurité

Chiffrement en transit (TLS 1.2+)
Mots de passe hachés avec Argon2id (algorithme de pointe)
Cookies de session HttpOnly avec protection CSRF
Contrôles d'accès basés sur les rôles et journalisation d'audit complète

10. Cookies et stockage local

Nous utilisons uniquement des cookies strictement nécessaires et fonctionnels tels que définis dans la directive ePrivacy (article 5 (3), directive 2002/58/EC). Aucun consentement n'est requis pour ces cookies car ils sont indispensables à la fourniture du service que vous avez demandé. Nous n'utilisons aucun cookie de suivi, publicitaire ou d'analyse tiers :

access_token (httpOnly, Secure, SameSite=Strict, 1 heure) : Cookie de session d'authentification. Strictement nécessaire pour maintenir votre session de connexion.
rafraîchir_token (httpOnly, Secure, SameSite=Strict, 30 jours) : cookie d'actualisation de session. Strictement nécessaire pour une ré-authentification transparente.
rth-lang (fonctionnel) : stocke votre préférence de langue. Cookie fonctionnel exempté en vertu de l'art ePrivacy. 5(3) car cela est nécessaire pour fournir le service dans la langue de votre choix.
__cf_bm (Cloudflare, tiers, durée de session) : Cookie de gestion des robots. Strictement nécessaire pour la protection et la sécurité DDoS.
Analytics : nous utilisons PostHog en mode mémoire uniquement pour l'analyse des produits et des sites publics. PostHog ne définit pas de cookies analytiques ni d'identifiants localStorage dans le navigateur dans cette configuration.
Stockage local : nous stockons les préférences non personnelles de UI (rejet de l'avis de cookie, progression du didacticiel, astuces UI) dans le stockage local de votre navigateur. Ceux-ci ne contiennent aucune donnée personnelle.

11. Vérification de la confidentialité et de l'âge des enfants

Road to Headliner exige que les utilisateurs soient âgés d'au moins 16 ans, conformément à l'art GDPR. 8 (conditions applicables au consentement d'un enfant en relation avec les services de la société de l'information). Lors de l'inscription, tous les utilisateurs doivent confirmer qu'ils ont au moins 16 ans en cochant une case de confirmation d'âge obligatoire. Cette confirmation est enregistrée comme preuve vérifiable. Nous ne collectons ni ne traitons sciemment les données personnelles des enfants de moins de 16 ans. Si nous apprenons qu'un utilisateur a moins de 16 ans, nous supprimerons rapidement son compte et toutes les données personnelles associées. Si vous pensez qu'une personne de moins de 16 ans a créé un compte, veuillez nous contacter à [email protected].

12. Anti-triche et profilage automatisé

Pour maintenir le fair-play, nous utilisons une corrélation automatisée basée sur IP pour détecter une utilisation potentielle multi-comptes. Ce système compare les adresses IP et les modèles de connexion entre les comptes. Les alertes de détection sont examinées par un administrateur humain avant qu'une action ne soit entreprise : aucun compte n'est automatiquement banni ou pénalisé sur la seule base d'une détection automatisée. Ce traitement est basé sur notre intérêt légitime à maintenir l'intégrité du jeu (Art. 6(1)(f) GDPR). Vous pouvez vous opposer à ce traitement en contactant [email protected].

13. Notification de violation de données

En cas de violation de données personnelles présentant un risque pour vos droits et libertés, nous en informerons l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance de la violation (Art. 33 GDPR). Si la violation est susceptible d'entraîner un risque élevé pour vous, nous vous en informerons également sans retard indu par e-mail ou par notification dans le jeu (Art. 34 GDPR).

14. Délégué à la protection des données et autorité de contrôle

En tant que responsable du traitement des données à petite échelle qui n'effectue pas de traitement à grande échelle de catégories particulières de données ni de surveillance systématique à grande échelle, nous sommes exemptés de l'obligation de désigner un délégué à la protection des données en vertu de l'art. 37(1) GDPR. Pour toutes les demandes de confidentialité, les demandes de personnes concernées ou les plaintes, contactez-nous directement à [email protected]. L'autorité de contrôle compétente pour ce service est l'Urad na ochranu osobnych udajov Slovenskej republiky (Office pour la protection des données personnelles de la République slovaque), Hranicna 12, 820 07 Bratislava, Slovaquie, site Internet : https://dataprotection.gov.sk.. Vous avez également le droit de déposer une plainte auprès de l'autorité de contrôle de l'État membre EU de votre résidence habituelle ou de votre lieu de travail (article 77). GDPR).

15. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Les changements importants seront communiqués via une notification dans le jeu ou par e-mail. L'utilisation continue du service après des modifications constitue l'acceptation de la politique mise à jour.

16. Contacter

Pour les demandes de confidentialité, les demandes d'accès aux données (SAR), les demandes de suppression de données, les demandes de rectification ou les plaintes, contactez-nous à l'adresse [email protected]. Veuillez inclure « Demande de la personne concernée » dans la ligne d'objet pour un traitement plus rapide. Notre objectif est d'accuser réception dans les 5 jours ouvrables et de répondre de manière substantielle à toutes les demandes des personnes concernées dans les 30 jours suivant leur réception (article 12, paragraphe 3, GDPR). Si une demande est complexe ou si nous recevons un volume élevé, nous pouvons prolonger le délai de réponse jusqu'à 60 jours, auquel cas nous vous informerons dans le délai initial de 30 jours.