Analyse d'impact relative a la protection des donnees (AIPD)

Article 35 du Reglement (UE) 2016/679 (RGPD)
Traitement : Geolocalisation GPS des participants — Modes outdoor et tactique
Responsable : Wilder Labs — Plateforme LiveQuest / TrailQuest / WildQuest
Date : mars 2026 · Version 1.0

1. Description du traitement

1.1 Nature du traitement

Collecte et traitement en temps reel des coordonnees GPS (latitude, longitude) des participants lors d'evenements outdoor (TrailQuest) et de missions tactiques (WildQuest). Les donnees sont utilisees pour :

Guider les participants vers les etapes du parcours (boussole, carte)
Declencher la validation automatique des etapes par proximite GPS (rayon 50m)
Afficher la position des equipes sur le classement en direct
Generer une heatmap de frequentation (anonymisee apres 7 jours)
Declencher la collecte des bonus par proximite (rayon 30m)

1.2 Portee du traitement

Element	Description
Personnes concernees	Participants aux evenements outdoor et missions WildQuest (estimation : 100-10 000 personnes/mois)
Donnees collectees	Latitude, longitude, horodatage (precision ~5-10m selon GPS du device)
Frequence	Mise a jour toutes les 30 secondes pendant la duree de l'evenement (1-4h en moyenne)
Volume	~120-480 points GPS par participant par evenement
Duree de conservation	7 jours apres fin de l'evenement (purge automatique quotidienne)
Localisation stockage	France (OVH SAS, Roubaix)
Sous-traitants	Aucun — donnees GPS traitees exclusivement sur les serveurs LiveQuest

1.3 Base legale

Consentement explicite (Art. 6.1.a RGPD) — Le participant donne son consentement de deux manieres :

Acceptation des CGU et de la politique de confidentialite avant inscription a l'evenement (case RGPD horodatee)
Autorisation de geolocalisation via l'API du navigateur (popup natif du systeme d'exploitation)

Le participant peut refuser la geolocalisation a tout moment via les parametres de son navigateur. En mode indoor (ClueQuest), aucune geolocalisation n'est utilisee.

2. Necessite et proportionnalite

2.1 Necessite du traitement

La geolocalisation est strictement necessaire au fonctionnement du mode outdoor :

Sans GPS, les participants ne peuvent pas etre guides vers les etapes
La validation par proximite est le mecanisme principal de progression
Le classement en direct repose sur la position des equipes

Alternative evaluee : validation manuelle par QR code uniquement. Rejetee car inadaptee aux parcours en plein air (pas de support physique en pleine nature).

2.2 Proportionnalite

Principe	Mesure	Conformite
Minimisation	Seules lat/lng + horodatage sont collectees (pas d'altitude, vitesse, heading)	Conforme
Limitation finalite	GPS utilise uniquement pour la progression du jeu, pas de profilage	Conforme
Limitation conservation	Purge automatique 7 jours (le plus court possible pour permettre le recours)	Conforme
Exactitude	Precision GPS du device (~5-10m), pas d'augmentation artificielle	Conforme

3. Evaluation des risques

Risque	Gravite	Probabilite	Niveau	Mesures d'attenuation
Surveillance des deplacements d'un participant	Elevee	Faible	Moyen	Conservation 7j max · Acces restreint au QuestMaker de l'evenement · Pas de partage avec tiers
Fuite de donnees GPS (attaque serveur)	Elevee	Faible	Moyen	HTTPS obligatoire · Serveur France (OVH) · Backups chiffres · Rate limiting · JWT 8h
Re-identification via croisement GPS + nom equipe	Moyenne	Moyenne	Moyen	Nom equipe = pseudonyme (pas de nom reel requis) · Purge 7j · Pas de lien avec email
Utilisation detournee par le QuestMaker	Moyenne	Faible	Faible	QuestMaker voit uniquement la derniere position · CGU interdisent la surveillance · Donnees purgees 7j
Collecte de GPS de mineurs (<15 ans)	Elevee	Faible	Moyen	Age minimum 15 ans (CGU) · Consentement parental requis <15 ans · Pas de collecte d'age
Acces non autorise aux positions (API)	Moyenne	Faible	Faible	Endpoints positions proteges par UUID (non devinable) · Rate limiting 30 req/min · Pas d'endpoint listant toutes les positions

4. Mesures de securite

4.1 Mesures techniques

Chiffrement en transit : HTTPS/TLS obligatoire (Let's Encrypt wildcard, HSTS)
Authentification : UUID unique par equipe (128 bits, non devinable)
Rate limiting : 30 requetes/min par IP sur les endpoints equipe
Purge automatique : Positions GPS supprimees apres 7 jours (cron quotidien)
Isolation : Multi-tenant — chaque evenement est isole, un QuestMaker ne voit que ses propres equipes
Hebergement : Serveurs OVH SAS, Roubaix/Gravelines, France
Sauvegardes : Toutes les 10 minutes + copie offsite quotidienne
Monitoring : Alertes automatiques si anomalie serveur

4.2 Mesures organisationnelles

Consentement double : CGU/RGPD + autorisation navigateur
Information claire : Politique de confidentialite detaillant le traitement GPS (section dediee)
Droit d'opposition : Le participant peut couper le GPS a tout moment via les parametres navigateur
Droit de suppression : Endpoint /rgpd/delete/:uuid supprime toutes les positions GPS
Droit d'acces : Endpoint /rgpd/export/:uuid inclut les positions GPS dans l'export
Formation : Les QuestMakers sont informes via le guide d'aide de leurs obligations (CGU section 5)

4.3 Mesures specifiques WildQuest (missions tactiques)

Positions GPS des joueurs visibles uniquement par le Game Master pendant la mission
Chat de mission supprime a la fin de la mission
Donnees GPS des joueurs purgees 7 jours apres la fin de la mission
Les roles et camps ne revelent aucune donnee personnelle

5. Droits des personnes

Droit	Implementation	Delai
Acces (Art. 15)	GET /rgpd/export/:uuid — export JSON incluant toutes les positions GPS	Immediat (self-service)
Effacement (Art. 17)	DELETE /rgpd/delete/:uuid — supprime equipes_positions + toutes donnees liees	Immediat (self-service)
Opposition (Art. 21)	Couper la geolocalisation dans les parametres du navigateur a tout moment	Immediat
Portabilite (Art. 20)	Export JSON structuree avec lat/lng/timestamp	Immediat
Limitation (Art. 18)	Contact par email — traitement suspendu le temps de la verification	30 jours max

6. Conclusion

Le traitement de geolocalisation GPS dans le cadre des evenements outdoor (TrailQuest) et tactiques (WildQuest) presente un risque residuel moyen apres application des mesures d'attenuation.

Les mesures suivantes reduisent le risque a un niveau acceptable :

Conservation minimale (7 jours)
Consentement explicite double (CGU + navigateur)
Pas de transfert hors UE
Droits exercables immediatement (self-service)
Isolation multi-tenant stricte

Decision : Le traitement peut etre poursuivi sous les conditions decrites ci-dessus. Revision prevue en mars 2027 ou en cas de modification substantielle du traitement.

7. Historique des revisions

Version	Date	Modification
1.0	Mars 2026	Creation initiale