Politique de confidentialité

Dernière mise à jour : mars 2026

1. Responsable du traitement

HEXAI (SAS au capital de 10 000 EUR) — 203 Chemin des Vignobles, 74210 Doussard, France.

Contact : contact@tresorus.fr

2. Données collectées

Dans le cadre de l'utilisation de Tresorus, nous pouvons collecter :

  • Données de compte (en cas de création de compte) : adresse email, pseudo, code postal
  • Données de géolocalisation (consentement requis) : position GPS uniquement pendant le gameplay, traitée en temps réel et non stockée sur nos serveurs
  • Données de progression : parcours complétés, badges obtenus, scores
  • Données techniques : type d'appareil, système d'exploitation, version de l'application
  • Token de notification push (facultatif) : uniquement si vous activez les notifications

3. Finalités et bases légales

  • Exécution du contrat : fourniture du service de chasse au trésor (compte, progression, badges)
  • Consentement : géolocalisation GPS, notifications push
  • Consentement (cookies) : mesure d'audience via cookies analytics (voir section 5)

4. Partage des données

Vos données ne sont jamais vendues. Elles peuvent être partagées avec nos sous-traitants techniques :

  • Supabase (hébergement base de données) — serveurs Union européenne
  • Cloudflare (stockage médias) — réseau mondial, protégé par des clauses contractuelles types (SCCs)
  • Vercel (hébergement site web) — États-Unis, certifié EU-US Data Privacy Framework
  • PostHog (analytics) — serveurs Union européenne, uniquement si vous acceptez les cookies analytics
  • Sentry (monitoring des erreurs, application mobile) — États-Unis, certifié EU-US Data Privacy Framework
  • Expo / Google Firebase (notifications push) — États-Unis, certifié EU-US Data Privacy Framework (Google)

5. Cookies

Le site web Tresorus utilise deux types de cookies :

  • Cookies strictement nécessaires : gestion de la session d'authentification (Supabase). Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas votre consentement.
  • Cookies analytics (PostHog) : mesure d'audience et amélioration du service. Ces cookies ne sont déposés qu'avec votre consentement préalable via le bandeau cookies. Vous pouvez modifier votre choix à tout moment :

6. Transferts internationaux

Certaines de vos données peuvent être transférées en dehors de l'Union européenne vers nos sous-traitants situés aux États-Unis. Ces transferts sont encadrés par :

  • Le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour Vercel, Sentry et Google/Firebase
  • Des clauses contractuelles types (SCCs) approuvées par la Commission européenne pour Cloudflare

Vos données principales (compte, progression, badges) sont hébergées par Supabase sur des serveurs situés dans l'Union européenne.

7. Durée de conservation

  • Données de compte : conservées tant que le compte est actif, puis supprimées après 5 ans d'inactivité
  • Données de géolocalisation : non conservées après la session de jeu
  • Cookies analytics : 13 mois maximum

8. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

  • Accès : obtenir une copie de vos données
  • Rectification : corriger des données inexactes
  • Suppression : demander la suppression de vos données
  • Portabilité : récupérer vos données dans un format structuré
  • Opposition : vous opposer au traitement de vos données
  • Limitation : demander la limitation du traitement
  • Retrait du consentement : retirer votre consentement à tout moment (cookies, notifications, géolocalisation) sans affecter la licéité du traitement antérieur

Pour exercer ces droits, contactez-nous à contact@tresorus.fr. Nous répondrons dans un délai de 30 jours.

9. Réclamation

Vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).