← Retour à LiveQuest

Politique de Confidentialité

Protection de vos données personnelles conformément au RGPD (UE) 2016/679

Dernière mise à jour : 21 mars 2026

1. Identité du responsable de traitement

Le responsable du traitement des données personnelles collectées sur la plateforme LiveQuest est :

  • Éditeur : Wilder Labs (micro-entreprise)
  • Plateforme : LiveQuest (livequest.fr, trail.livequest.fr, clue.livequest.fr, wild.livequest.fr)
  • Adresse : Disponible sur demande à
  • Responsable du traitement : le gérant de Wilder Labs, joignable à .
  • Délégué à la protection des données (DPO) : aucun DPO n'est désigné au sens de l'article 37 du RGPD. Pour toute question relative à vos données personnelles, contactez le responsable du traitement à .

2. Données collectées et finalités

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service :

Catégorie Données collectées Base légale Durée de conservation
Participants (TeamQuesters / ClueQuesters) Nom d'équipe, position GPS (mode outdoor), scan QR codes (mode indoor), photos, scores, badges, streaks, progression Consentement (Art. 6.1.a RGPD) 30 jours (photos), 7 jours après la fin de l'événement (positions GPS), durée de l'événement (progression, scores, badges)
Joueurs WildQuest (mode tactique) Pseudo, camp, rôle et capacités, messages de chat d'équipe, positions GPS temps réel, événements de respawn et d'élimination, scan QR codes terrain, scores et statistiques de mission Consentement (Art. 6.1.a RGPD) Messages de chat : durée de la mission (purgés avec les données de mission). Positions GPS : 7 jours après la fin de la mission. Rôles, respawn, éliminations : durée de la mission.
Organisateurs (QuestMakers) Email, mot de passe hashé (bcrypt), branding, données d'événements Exécution du contrat (Art. 6.1.b RGPD) Durée du compte + 1 an après suppression (durée de prescription applicable en matière contractuelle)
Notifications push (Web Push) Endpoint de notification, clés de chiffrement VAPID (aucune donnée personnelle) Consentement (Art. 6.1.a RGPD) Durée du consentement (révocable à tout moment via les paramètres du navigateur)
Mesure d'audience (analytics) Adresse IP (anonymisée par hachage SHA-256 irréversible et rotation quotidienne), user-agent, résolution d'écran, pages visitées, durée de navigation. Aucun identifiant stable entre sessions. Intérêt légitime (Art. 6.1.f RGPD) 1 an (purge automatique). Les robots et bots sont exclus automatiquement. Aucun cookie tiers n'est utilisé. Les empreintes de session sont rotatives (quotidiennes) et ne permettent pas le suivi inter-sessions.
Logs de connexion Adresse IP, user-agent, horodatage Intérêt légitime / sécurité (Art. 6.1.f RGPD) 1 an
Oracle IA (création de contenu) Descriptions de lieux et photos de lieux publics fournis par le QuestMaker (aucune donnée personnelle) Exécution du contrat (Art. 6.1.b RGPD) Données non conservées par l'Éditeur après traitement. Voir politique Anthropic pour la conservation côté sous-traitant.
Prospects Nom, email, téléphone, structure, formule souhaitée, message Consentement (Art. 6.1.a RGPD) 3 ans après le dernier contact

Précision sur les données GPS et boussole (mode outdoor)

Les données de géolocalisation des participants sont collectées uniquement pendant la durée de l'événement, avec le consentement explicite du participant lors de l'ouverture de la page TeamQuesters. Ces données permettent le suivi en temps réel sur la carte, le calcul des itinéraires et l'affichage de la boussole. Elles sont conservées jusqu'à 7 jours après la fin de l'événement, puis purgées automatiquement. Les données d'orientation (boussole) ne sont pas enregistrées.

Précision sur le mode indoor (ClueQuest)

En mode indoor, aucune donnée de géolocalisation n'est collectée. La progression du participant est assurée par la lecture de QR codes physiques. Seule l'information de validation de chaque étape (horodatage du scan) est enregistrée.

Précision sur le mode tactique (WildQuest)

En mode tactique (wild.livequest.fr), les données suivantes sont collectées avec le consentement du joueur : pseudo, camp, rôle et capacités assignées, messages de chat d'équipe, positions GPS en temps réel, événements de respawn et d'élimination, scans de QR codes terrain. Les messages de chat sont conservés pendant la durée de la mission et purgés avec les données de mission. Les positions GPS sont conservées jusqu'à 7 jours après la fin de la mission, puis purgées automatiquement.

Précision sur les notifications push (Web Push)

Les notifications push utilisent le protocole Web Push avec chiffrement VAPID. L'inscription aux notifications est volontaire et requiert le consentement explicite du participant via son navigateur. Les données stockées (endpoint, clés de chiffrement) ne contiennent aucune information personnelle identifiable. Le participant peut retirer son consentement à tout moment via les paramètres de son navigateur.

Précision sur la mesure d'audience (analytics)

La Plateforme collecte des données de visite anonymisées à des fins d'amélioration du service. Cette collecte s'effectue sans aucun cookie tiers. Les données collectées incluent : adresse IP (anonymisée), user-agent, résolution d'écran, pages visitées et durée de navigation. Les robots et bots sont automatiquement exclus des statistiques. Les données sont purgées automatiquement après 1 an. Vous pouvez demander l'exclusion de cette collecte en écrivant à .

Précision sur la gamification

La Plateforme calcule automatiquement des scores, badges et streaks (séries de participations) à partir de la progression des participants. Ces données ne sont pas utilisées à des fins de profilage commercial et sont conservées pour la durée de l'événement.

Précision sur les photos

Les photos prises par les participants font l'objet d'un consentement explicite et horodaté avant toute capture. Elles sont automatiquement supprimées après 30 jours (configurable via PHOTO_TTL_DAYS). Les participants peuvent demander la suppression anticipée de leurs photos.

3. Sous-traitants

Les sous-traitants suivants peuvent avoir accès à certaines données dans le cadre du fonctionnement du service :

Sous-traitant Fonction Localisation Garanties
Cloudflare Inc. DNS (wildcard A records pour 3 domaines : livequest.fr, trailquest.fr, cluequest.fr) International Aucune donnée personnelle transmise (résolution DNS uniquement). Politique de confidentialité
OSRM Calcul d'itinéraires piétons Open source (serveurs publics) Aucune donnée personnelle transmise (coordonnées GPS uniquement)
CartoDB / OpenTopoMap / Esri Tuiles cartographiques International Aucune donnée personnelle transmise (requêtes de tuiles uniquement)
OVH SAS Hébergement des serveurs et des données France (Roubaix) Les données sont stockées exclusivement en France
Stripe Inc. Traitement des paiements par carte bancaire Irlande / États-Unis Certifié PCI DSS, traite les données de paiement conformément au RGPD. Politique de confidentialité
Brevo SAS Envoi d'emails transactionnels France / UE Les emails transitent par les serveurs de Brevo en France/UE
Anthropic PBC Assistance à la création de contenu (Oracle IA — modèle Claude). Génère des suggestions d'étapes et d'énigmes à partir de descriptions et photos de lieux. États-Unis Seules les descriptions de lieux et photos de lieux publics sont transmises (aucune donnée personnelle). Les données ne sont pas utilisées pour l'entraînement des modèles. Politique de confidentialité

Polices de caractères : La Plateforme utilise exclusivement des polices système (system fonts). Aucune police externe (Google Fonts ou autre) n'est chargée, ce qui signifie qu'aucune adresse IP n'est transmise à des tiers pour le chargement de polices.

4. Transferts hors Union Européenne

L'hébergement et le DNS sont assurés par OVH SAS (siège : Roubaix, France). Les données restent hébergées en France et sont soumises au RGPD.

Les seuls transferts hors UE concernent le service Stripe (paiements) et Anthropic (Oracle). Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne
  • Les mesures techniques supplémentaires (chiffrement en transit et au repos)

Le service d'assistance à la création de contenu (Oracle IA) est assuré par Anthropic PBC (siège : San Francisco, États-Unis). Seules les descriptions de lieux et les photos de lieux publics sont transmises — aucune donnée personnelle n'est envoyée. Les données ne sont pas utilisées pour l'entraînement des modèles (politique de confidentialité Anthropic). Le service DNS est assuré par Cloudflare Inc. ; aucune donnée personnelle n'est transmise via le DNS.

Les données principales (base de données, photos, comptes utilisateurs) sont hébergées exclusivement en France et ne font l'objet d'aucun transfert hors UE.

5. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (Art. 15) Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification (Art. 16) Corriger ou compléter vos données personnelles inexactes ou incomplètes.
Droit à l'effacement (Art. 17) Demander la suppression de vos données dans les conditions prévues par le RGPD.
Droit à la portabilité (Art. 20) Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
Droit d'opposition (Art. 21) Vous opposer au traitement de vos données pour des motifs légitimes.
Droit à la limitation (Art. 18) Demander la limitation du traitement de vos données dans certains cas.

Comment exercer vos droits

Vous pouvez exercer vos droits de deux manières :

  • En ligne : via la page /rgpd de la plateforme (export et suppression en self-service)
  • Par email : en écrivant à avec une copie d'une pièce d'identité

Nous nous engageons à répondre à votre demande dans un délai maximum de 30 jours.

6. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

  • Chiffrement HTTPS sur l'ensemble des communications (certificat SSL wildcard Let's Encrypt)
  • Mots de passe hashés avec l'algorithme bcrypt (irréversible)
  • Authentification à deux facteurs (2FA) disponible pour les comptes organisateurs (TOTP)
  • Rate limiting sur les endpoints d'authentification pour prévenir les attaques par force brute
  • Tokens JWT avec expiration à 8 heures
  • Hébergement en France sur infrastructure dédiée
  • Sauvegardes régulières de la base de données
  • Purge automatique des photos après 30 jours et des logs après 1 an

7. Cookies

La Plateforme utilise exclusivement le cookie tq_lang qui mémorise votre préférence de langue. Ce cookie :

  • Est un cookie de préférence utilisateur (catégorie "fonctionnel")
  • A une durée de vie de 1 an
  • Ne contient aucune donnée personnelle
  • N'est jamais transmis à des tiers

Aucun cookie de tracking, de publicité, d'analytics ou de réseaux sociaux n'est utilisé. La mesure d'audience est réalisée sans cookie tiers (voir section 2 — Mesure d'audience).

8. Profilage et décisions automatisées

La Plateforme ne procède à aucun profilage ni décision automatisée au sens de l'article 22 du RGPD. Le système de gamification (scores, badges, streaks) est un mécanisme de jeu transparent et ne constitue pas du profilage. L'Oracle IA génère du contenu à la demande du QuestMaker et ne prend aucune décision automatisée affectant les utilisateurs.

9. Analyse d'impact

Une analyse d'impact relative à la protection des données (AIPD) a été réalisée pour le traitement de géolocalisation, conformément à l'article 35 du RGPD. Le document complet est accessible sur /aipd-geolocalisation. Conclusion : risque résiduel moyen, traitement autorisé sous les conditions décrites (conservation 7 jours, consentement double, hébergement France).

10. Modifications de la politique

La présente politique de confidentialité peut être modifiée à tout moment. En cas de modification substantielle, les utilisateurs inscrits seront informés par email. La date de dernière mise à jour est indiquée en haut de cette page.

Nous vous invitons à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.

11. Contact

Pour toute question relative à la protection de vos données personnelles, contactez-nous :

  • Email :
  • Courrier : Wilder Labs — Protection des données (LiveQuest), adresse disponible sur demande par email

12. Protection des mineurs

Conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés, l'âge minimum pour consentir au traitement de données personnelles est fixé à 15 ans en France.

Les mineurs de moins de 15 ans ne peuvent participer à un événement sur la Plateforme qu'avec le consentement préalable de leur représentant légal. La collecte de données de géolocalisation (mode outdoor), de scans QR codes (mode indoor) et de photos pour les mineurs est soumise à ce consentement.

Si vous êtes un représentant légal et souhaitez exercer les droits de votre enfant (accès, rectification, suppression), contactez-nous via la page RGPD.

13. Autorité de contrôle

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

  • CNIL — Commission Nationale de l'Informatique et des Libertés
  • Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Site web : www.cnil.fr
  • Téléphone : 01 53 73 22 22
💬