Politique de confidentialité

Dernière mise à jour : juin 2026

1. Responsable du traitement

HEXAI (SAS au capital de 10 000 EUR) — 203 Chemin des Vignobles, 74210 Doussard, France.

Contact : contact@tresorus.fr

2. Données collectées

Dans le cadre de l'utilisation de Tresorus, nous pouvons collecter :

  • Données de compte (en cas de création de compte) : adresse email, pseudo, code postal
  • Données de géolocalisation (consentement requis) : position GPS uniquement pendant le gameplay, traitée en temps réel et non stockée sur nos serveurs
  • Données de progression : parcours complétés, badges obtenus, scores
  • Données techniques : type d'appareil, système d'exploitation, version de l'application
  • Token de notification push (facultatif) : uniquement si vous activez les notifications

3. Finalités et bases légales

  • Exécution du contrat : fourniture du service de chasse au trésor (compte, progression, badges)
  • Consentement : géolocalisation GPS, notifications push
  • Consentement (cookies) : mesure d'audience via cookies analytics (voir section 5)
  • Intérêt légitime : envoi d'emails d'information sur le service (actualités, nouvelles quêtes) aux titulaires d'un compte. Vous pouvez vous y opposer à tout moment, notamment via le lien de désinscription présent dans chaque email (art. 6.1.f et 21 RGPD)
  • Consentement (collectivités partenaires) : transmission de votre adresse email et de votre code postal aux collectivités territoriales partenaires qui financent les quêtes, afin de recevoir leurs actualités familles. Ce consentement est explicite, recueilli quête par quête, et la collectivité concernée est nommée au moment de votre choix (art. 6.1.a RGPD)

4. Partage des données

Vos données ne sont jamais vendues. Elles peuvent être partagées avec nos sous-traitants techniques :

  • Supabase (hébergement base de données) — serveurs Union européenne
  • Cloudflare (stockage médias) — réseau mondial, protégé par des clauses contractuelles types (SCCs)
  • Vercel (hébergement site web) — États-Unis, certifié EU-US Data Privacy Framework
  • PostHog (analytics) — serveurs Union européenne, uniquement si vous acceptez les cookies analytics
  • Sentry (monitoring des erreurs, application mobile) — États-Unis, certifié EU-US Data Privacy Framework
  • Expo / Google Firebase (notifications push) — États-Unis, certifié EU-US Data Privacy Framework (Google)
  • Resend (envoi d'emails) — États-Unis, transferts encadrés par des clauses contractuelles types (SCCs)

Collectivités territoriales partenaires : si vous y avez consenti au lancement d'une quête financée par une collectivité partenaire, nous lui transmettons votre adresse email et votre code postal pour qu'elle vous envoie ses actualités familles. Seuls les utilisateurs ayant donné leur consentement sont concernés. À la différence de nos sous-traitants, la collectivité traite ensuite ces données sous sa propre responsabilité : elle gère elle-même ses envois et leur désinscription.

5. Cookies

Le site web Tresorus utilise deux types de cookies :

  • Cookies strictement nécessaires : gestion de la session d'authentification (Supabase). Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas votre consentement.
  • Cookies analytics (PostHog) : mesure d'audience et amélioration du service. Ces cookies ne sont déposés qu'avec votre consentement préalable via le bandeau cookies. Vous pouvez modifier votre choix à tout moment :

6. Transferts internationaux

Certaines de vos données peuvent être transférées en dehors de l'Union européenne vers nos sous-traitants situés aux États-Unis. Ces transferts sont encadrés par :

  • Le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour Vercel, Sentry et Google/Firebase
  • Des clauses contractuelles types (SCCs) approuvées par la Commission européenne pour Cloudflare et Resend

Vos données principales (compte, progression, badges) sont hébergées par Supabase sur des serveurs situés dans l'Union européenne.

7. Durée de conservation

  • Données de compte : conservées tant que le compte est actif, puis supprimées après 5 ans d'inactivité
  • Données de géolocalisation : non conservées après la session de jeu
  • Cookies analytics : 13 mois maximum
  • Preuve du consentement au partage avec les collectivités partenaires : 5 ans après le retrait du consentement ou la suppression du compte, puis purgée
  • Historique d'envoi des emails d'information (adresse, sujet, statut) : conservé tant que le compte est actif, supprimé immédiatement en cas de suppression du compte

8. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

  • Accès : obtenir une copie de vos données
  • Rectification : corriger des données inexactes
  • Suppression : demander la suppression de vos données
  • Portabilité : récupérer vos données dans un format structuré
  • Opposition : vous opposer au traitement de vos données
  • Limitation : demander la limitation du traitement
  • Retrait du consentement : retirer votre consentement à tout moment (cookies, notifications, géolocalisation, partage avec les collectivités partenaires) sans affecter la licéité du traitement antérieur

Pour le partage avec les collectivités partenaires : vous pouvez retirer votre consentement à tout moment depuis l'écran « Mes communications » de votre profil dans l'application, ce qui stoppe les transferts futurs. Pour les emails déjà envoyés par une collectivité, utilisez le lien de désinscription présent dans ses emails.

Pour les emails d'information envoyés par Tresorus (actualités, nouvelles quêtes) : chaque email contient un lien de désinscription en un clic. Vous pouvez aussi exercer ce droit d'opposition en écrivant à contact@tresorus.fr.

Pour exercer ces droits, contactez-nous à contact@tresorus.fr. Nous répondrons dans un délai de 30 jours.

9. Réclamation

Vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).