Consentement (cookies) : mesure d'audience via cookies analytics (voir section 5)
Intérêt légitime : envoi d'emails d'information sur le service (actualités, nouvelles quêtes) aux titulaires d'un compte. Vous pouvez vous y opposer à tout moment, notamment via le lien de désinscription présent dans chaque email (art. 6.1.f et 21 RGPD)
Consentement (collectivités partenaires) : transmission de votre adresse email et de votre code postal aux collectivités territoriales partenaires qui financent les quêtes, afin de recevoir leurs actualités familles. Ce consentement est explicite, recueilli quête par quête, et la collectivité concernée est nommée au moment de votre choix (art. 6.1.a RGPD)
4. Partage des données
Vos données ne sont jamais vendues. Elles peuvent être partagées avec nos sous-traitants techniques :
Supabase (hébergement base de données) — serveurs Union européenne
Cloudflare (stockage médias) — réseau mondial, protégé par des clauses contractuelles types (SCCs)
Vercel (hébergement site web) — États-Unis, certifié EU-US Data Privacy Framework
PostHog (analytics) — serveurs Union européenne, uniquement si vous acceptez les cookies analytics
Sentry (monitoring des erreurs, application mobile) — États-Unis, certifié EU-US Data Privacy Framework
Expo / Google Firebase (notifications push) — États-Unis, certifié EU-US Data Privacy Framework (Google)
Resend (envoi d'emails) — États-Unis, transferts encadrés par des clauses contractuelles types (SCCs)
Collectivités territoriales partenaires : si vous y avez consenti au lancement d'une quête financée par une collectivité partenaire, nous lui transmettons votre adresse email et votre code postal pour qu'elle vous envoie ses actualités familles. Seuls les utilisateurs ayant donné leur consentement sont concernés. À la différence de nos sous-traitants, la collectivité traite ensuite ces données sous sa propre responsabilité : elle gère elle-même ses envois et leur désinscription.
5. Cookies
Le site web Tresorus utilise deux types de cookies :
Cookies strictement nécessaires : gestion de la session d'authentification (Supabase). Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas votre consentement.
Cookies analytics (PostHog) : mesure d'audience et amélioration du service. Ces cookies ne sont déposés qu'avec votre consentement préalable via le bandeau cookies. Vous pouvez modifier votre choix à tout moment :
6. Transferts internationaux
Certaines de vos données peuvent être transférées en dehors de l'Union européenne vers nos sous-traitants situés aux États-Unis. Ces transferts sont encadrés par :
Le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour Vercel, Sentry et Google/Firebase
Des clauses contractuelles types (SCCs) approuvées par la Commission européenne pour Cloudflare et Resend
Vos données principales (compte, progression, badges) sont hébergées par Supabase sur des serveurs situés dans l'Union européenne.
7. Durée de conservation
Données de compte : conservées tant que le compte est actif, puis supprimées après 5 ans d'inactivité
Données de géolocalisation : non conservées après la session de jeu
Cookies analytics : 13 mois maximum
Preuve du consentement au partage avec les collectivités partenaires : 5 ans après le retrait du consentement ou la suppression du compte, puis purgée
Historique d'envoi des emails d'information (adresse, sujet, statut) : conservé tant que le compte est actif, supprimé immédiatement en cas de suppression du compte
8. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
Accès : obtenir une copie de vos données
Rectification : corriger des données inexactes
Suppression : demander la suppression de vos données
Portabilité : récupérer vos données dans un format structuré
Opposition : vous opposer au traitement de vos données
Limitation : demander la limitation du traitement
Retrait du consentement : retirer votre consentement à tout moment (cookies, notifications, géolocalisation, partage avec les collectivités partenaires) sans affecter la licéité du traitement antérieur
Pour le partage avec les collectivités partenaires : vous pouvez retirer votre consentement à tout moment depuis l'écran « Mes communications » de votre profil dans l'application, ce qui stoppe les transferts futurs. Pour les emails déjà envoyés par une collectivité, utilisez le lien de désinscription présent dans ses emails.
Pour les emails d'information envoyés par Tresorus (actualités, nouvelles quêtes) : chaque email contient un lien de désinscription en un clic. Vous pouvez aussi exercer ce droit d'opposition en écrivant à contact@tresorus.fr.
Pour exercer ces droits, contactez-nous à contact@tresorus.fr. Nous répondrons dans un délai de 30 jours.
9. Le Grand Trophée des Alpes du Nord (vote)
Le Grand Trophée des Alpes du Nord est un jeu gratuit avec tirage au sort, par vote, pour votre destination ou station préférée de Savoie, Haute-Savoie et Isère. La destination tirée au sort — parmi celles réunissant au moins 1 % des voix, le tirage étant pondéré par les voix — est celle où Tresorus situera sa prochaine chasse au trésor : il ne s'agit ni d'un lot, ni d'un cadeau versé à une collectivité. Le vote est anonyme dans son contenu (nous ne le rattachons jamais à votre identité) et pseudonyme dans son contrôle technique (anti-doublon) ; nous ne le présentons jamais comme « 100 % anonyme ».
Données traitées : la destination ou station choisie, son type (commune ou station), la date du vote au jour près, et un identifiant technique d'appareil pseudonyme (empreinte HMAC-SHA256 calculée côté serveur avec une clé secrète jamais stockée, fondée sur un identifiant dédié au concours et distinct de la mesure d'audience) servant uniquement à éviter les doublons de vote.
Finalité : garantir l'intégrité du classement (un seul vote par appareil) et afficher un classement indicatif.
Base légale : intérêt légitime (art. 6.1.f RGPD) — fiabilité d'un classement public, avec une donnée minimisée et non identifiante.
Protection anti-abus : votre adresse IP est traitée de façon transitoire (limitation du nombre de votes sur une courte période), sans être conservée ni associée à votre vote.
Preuves de partage (comptes privés) : si vous nous envoyez volontairement une capture par message privé pour faire valoir votre partage, nous la visualisons uniquement le temps de la vérification, sans en conserver aucune copie.
Durée de conservation : les votes (avec l'identifiant d'appareil pseudonyme) sont conservés jusqu'à environ 3 mois après la fin du concours, puis l'identifiant est supprimé — les votes restants ne sont alors plus rattachables à un appareil.
Aucune géolocalisation n'est collectée pour le vote. Le compteur affiché dans l'application et sur le site est indicatif. Les modalités complètes figurent dans le règlement du concours.
10. Sondage Observatoire Tresorus 2026
L'Observatoire Tresorus 2026 des Familles est un sondage proposé aux utilisateurs de l'application. Il est entièrement facultatif et lancé volontairement par l'utilisateur depuis l'application.
Données collectées : codes de réponse anonymes (les 4 réponses sont des codes, aucun texte libre), canal d'invitation (entry_point : email, notification push ou profil), langue de l'application (locale), version de l'application (app_version). Aucune autre donnée personnelle n'est collectée.
Finalité statistique et commerciale : constituer un agrégat anonymisé des usages et préférences des familles utilisatrices, puis produire une étude agrégée — « Observatoire Tresorus 2026 des Familles » — présentée aux collectivités territoriales pour argumenter le financement de nouvelles quêtes. Aucune donnée individuelle n'est transmise aux collectivités : seules des statistiques agrégées et anonymisées leur sont communiquées.
Base légale : intérêt légitime (art. 6.1.f RGPD) pour le traitement de l'agrégat anonymisé ; consentement (art. 6.1.a RGPD) recueilli au moment où l'utilisateur décide volontairement de participer au sondage depuis l'application, la finalité statistique et commerciale étant affichée sur l'écran d'introduction avant toute participation.
Durée de conservation : les réponses sont conservées pendant 3 ans à compter de leur recueil, puis supprimées. Les réponses associées à un compte sont automatiquement supprimées lors de la suppression du compte (contrainte de clé étrangère avec suppression en cascade).
Vos droits : vous disposez des droits d'accès, de rectification, d'opposition et d'effacement. La suppression de votre compte entraîne la purge automatique de toutes vos réponses au sondage. Pour exercer vos droits, contactez-nous à contact@tresorus.fr.
11. Réclamation
Vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).