Registre des traitements de donnees personnelles
Article 30 du Reglement (UE) 2016/679 (RGPD)
Responsable de traitement : Wilder Labs — Plateforme LiveQuest / TrailQuest / ClueQuest
Derniere mise a jour : mars 2026
Identification du responsable
| Champ | Valeur |
|---|
| Responsable | Wilder Labs — LiveQuest |
| Statut | Micro-entreprise (auto-entrepreneur) |
| Contact | Formulaire de contact |
| DPO | Non designe (micro-entreprise, pas d'activite de surveillance a grande echelle) |
| Hebergeur | OVH SAS — 2 rue Kellermann, 59100 Roubaix, France |
Traitements
1. Participation aux evenements (TeamQuesters / ClueQuesters)
| Finalite | Permettre aux participants de rejoindre un evenement, progresser dans les etapes, collecter des photos et participer au classement |
|---|
| Base legale | Consentement (Art. 6.1.a) — case RGPD cochee a l'inscription |
|---|
| Personnes concernees | Participants aux evenements (TeamQuesters outdoor, ClueQuesters indoor) |
|---|
| Donnees collectees | Nom d'equipe, circuit, progression (etape, reponses), coordonnees GPS (outdoor), photos, taille d'equipe, consentement RGPD horodate |
|---|
| Destinataires | Organisateur de l'evenement (QuestMaker), affichage classement public |
|---|
| Sous-traitants | OVH SAS (hebergement France) |
|---|
| Duree de conservation | Photos : 30 jours — Positions GPS : 7 jours — Progression : duree de l'evenement |
|---|
| Mesures de securite | HTTPS, rate limiting, purge automatique, consentement horodate |
|---|
2. WildQuest — Jeu tactique temps reel
| Finalite | Gestion des sessions de jeu tactique multijoueur (camps, roles, chat, positions) |
|---|
| Base legale | Consentement (Art. 6.1.a) |
|---|
| Personnes concernees | Joueurs WildQuest |
|---|
| Donnees collectees | Pseudo, camp, role, messages chat, coordonnees GPS, eliminations, respawns, scores |
|---|
| Destinataires | Game Master (organisateur), autres joueurs (classement) |
|---|
| Sous-traitants | OVH SAS (hebergement France) |
|---|
| Duree de conservation | Chat : duree de la mission — GPS : 7 jours — Scores : duree de la mission |
|---|
| Mesures de securite | HTTPS, WebSocket securise, purge automatique |
|---|
3. Comptes organisateurs (QuestMakers)
| Finalite | Creation et gestion de compte, acces au tableau de bord, gestion des evenements, facturation |
|---|
| Base legale | Execution du contrat (Art. 6.1.b) |
|---|
| Personnes concernees | Organisateurs (QuestMakers), associations, entreprises |
|---|
| Donnees collectees | Email, mot de passe (hash bcrypt), nom, plan, identifiants Stripe, branding (logo, couleurs), secret TOTP (optionnel) |
|---|
| Destinataires | Stripe (paiement), Brevo (emails transactionnels) |
|---|
| Sous-traitants | OVH SAS, Stripe Inc., Brevo SAS, Cloudflare (DNS) |
|---|
| Duree de conservation | Duree du compte + 1 an apres suppression |
|---|
| Mesures de securite | HTTPS, bcrypt (cout 12), 2FA TOTP, WebAuthn/Passkeys, JWT 8h, rate limiting, lockout |
|---|
4. Formulaires prospects
| Finalite | Collecte d'informations de contact de clients potentiels |
|---|
| Base legale | Consentement (Art. 6.1.a) — soumission volontaire du formulaire |
|---|
| Personnes concernees | Prospects, visiteurs des pages d'atterrissage |
|---|
| Donnees collectees | Nom, email, telephone (optionnel), structure, plan souhaite, message |
|---|
| Destinataires | Super admins (suivi commercial interne) |
|---|
| Sous-traitants | OVH SAS, Brevo SAS (notification email) |
|---|
| Duree de conservation | 3 ans (purge automatique) |
|---|
| Mesures de securite | HTTPS, rate limiting (10/h par IP), echappement HTML |
|---|
5. Mesure d'audience (analytics)
| Finalite | Comprendre le comportement des visiteurs, sources de trafic et usage de la plateforme |
|---|
| Base legale | Interet legitime (Art. 6.1.f) — amelioration du service |
|---|
| Personnes concernees | Visiteurs du site (anonymises) |
|---|
| Donnees collectees | IP anonymisee (hash SHA-256 irreversible + rotation quotidienne), user-agent, pages visitees, duree, ecran, langue, referrer, UTM. Aucun cookie tiers. |
|---|
| Destinataires | Aucun (stockage local uniquement) |
|---|
| Sous-traitants | OVH SAS |
|---|
| Duree de conservation | 1 an (purge automatique). Robots exclus automatiquement. |
|---|
| Mesures de securite | Anonymisation IP irreversible, fingerprint rotatif quotidien, exclusion bots, pas de tracking inter-sessions |
|---|
6. Logs de connexion
| Finalite | Securite, detection de fraude, audit des tentatives de connexion |
|---|
| Base legale | Interet legitime (Art. 6.1.f) — securite du systeme |
|---|
| Personnes concernees | Organisateurs, super admins |
|---|
| Donnees collectees | Type utilisateur, ID, email, adresse IP, user-agent, action (login_ok/fail, 2fa, logout), horodatage |
|---|
| Destinataires | Aucun (acces super admin uniquement) |
|---|
| Sous-traitants | OVH SAS |
|---|
| Duree de conservation | 1 an (purge automatique) |
|---|
| Mesures de securite | HTTPS, rate limiting, lockout apres echecs repetes |
|---|
7. Emails transactionnels
| Finalite | Envoi d'emails lies au service (bienvenue, reset mot de passe, notifications, alertes) |
|---|
| Base legale | Execution du contrat (Art. 6.1.b) |
|---|
| Personnes concernees | Organisateurs, participants, prospects |
|---|
| Donnees collectees | Email destinataire, sujet, contenu HTML, statut envoi |
|---|
| Destinataires | Brevo SAS (relais SMTP) |
|---|
| Sous-traitants | Brevo SAS (France/UE) |
|---|
| Duree de conservation | Logs email : indefinie (audit) |
|---|
| Mesures de securite | TLS vers Brevo, masquage email en console |
|---|
8. Oracle IA — Generation de contenu
| Finalite | Assister les QuestMakers dans la creation d'etapes, enigmes et indices via intelligence artificielle |
|---|
| Base legale | Execution du contrat (Art. 6.1.b) — fonctionnalite du service |
|---|
| Personnes concernees | Organisateurs (QuestMakers) utilisant l'Oracle |
|---|
| Donnees collectees | Resume du prompt (200 car. max), tokens utilises, horodatage. Photos/descriptions de lieux transmises a Anthropic (non conservees) |
|---|
| Destinataires | Anthropic PBC (USA) — Clauses Contractuelles Types (SCC) |
|---|
| Sous-traitants | Anthropic PBC (San Francisco, USA) |
|---|
| Duree de conservation | Logs d'usage : indefinie — Donnees transmises : non conservees par l'editeur |
|---|
| Mesures de securite | HTTPS, troncature prompt, rate limiting par plan, pas de donnees personnelles transmises |
|---|
| Transfert hors UE | Oui (USA) — encadre par SCC. Anthropic ne utilise pas les donnees pour l'entrainement de modeles. |
|---|
9. Notifications Web Push
| Finalite | Envoyer des messages Coach et notifications d'evenement en temps reel |
|---|
| Base legale | Consentement (Art. 6.1.a) — autorisation explicite du navigateur |
|---|
| Personnes concernees | Participants ayant accepte les notifications |
|---|
| Donnees collectees | Endpoint URL (genere par le navigateur), cles de chiffrement VAPID |
|---|
| Destinataires | Service push du navigateur (Apple, Google, Mozilla) |
|---|
| Sous-traitants | Fournisseur push du navigateur |
|---|
| Duree de conservation | Duree de l'abonnement (revocable via navigateur) |
|---|
| Mesures de securite | Chiffrement VAPID bout-en-bout, nettoyage auto des abonnements expires |
|---|
10. Gamification (scores, badges, streaks)
| Finalite | Calculer les scores, attribuer des badges, suivre les series de reussites et afficher le classement |
|---|
| Base legale | Execution du contrat (Art. 6.1.b) — partie integrante de l'evenement |
|---|
| Personnes concernees | Participants aux evenements |
|---|
| Donnees collectees | Scores, bonus, metriques par etape (tentatives, temps, indices), badges debloquees, series, notifications |
|---|
| Destinataires | Classement public de l'evenement, organisateur |
|---|
| Sous-traitants | OVH SAS |
|---|
| Duree de conservation | Duree de l'evenement |
|---|
| Mesures de securite | Rate limiting, validation des scores, transaction DB |
|---|
11. Paiements (Stripe)
| Finalite | Traitement des abonnements semestriels, facturation, gestion du portail client |
|---|
| Base legale | Execution du contrat (Art. 6.1.b) |
|---|
| Personnes concernees | Organisateurs avec plan payant |
|---|
| Donnees collectees | Identifiant client Stripe, identifiant abonnement, statut, historique factures. Donnees bancaires traitees exclusivement par Stripe (jamais stockees localement). |
|---|
| Destinataires | Stripe Inc. |
|---|
| Sous-traitants | Stripe Inc. (Irlande/USA) — PCI-DSS, SCC |
|---|
| Duree de conservation | Duree du contrat + obligations legales de conservation comptable |
|---|
| Mesures de securite | Stripe Checkout (heberge), verification signature webhook, pas de donnees bancaires en local |
|---|
| Transfert hors UE | Oui (USA) — encadre par SCC et certification PCI-DSS |
|---|
12. Photos des participants
| Finalite | Permettre la capture de photos pendant les etapes et l'affichage en galerie publique |
|---|
| Base legale | Consentement (Art. 6.1.a) — case a cocher horodatee avant capture |
|---|
| Personnes concernees | Participants prenant des photos |
|---|
| Donnees collectees | Image (base64), commentaire, consentement horodate, choix partage galerie |
|---|
| Destinataires | Galerie publique (si partageable), organisateur |
|---|
| Sous-traitants | OVH SAS |
|---|
| Duree de conservation | 30 jours (purge automatique configurable) |
|---|
| Mesures de securite | Consentement granulaire (capture vs partage), purge automatique, HTTPS |
|---|
13. Programme de parrainage (ambassadeurs)
| Finalite | Suivi des parrainages, gestion des codes referral et calcul des commissions |
|---|
| Base legale | Execution du contrat (Art. 6.1.b) |
|---|
| Personnes concernees | Ambassadeurs (organisateurs), filleuls |
|---|
| Donnees collectees | Code parrainage, ID ambassadeur, ID filleul, statut, recompense |
|---|
| Destinataires | Aucun (gestion interne) |
|---|
| Sous-traitants | OVH SAS |
|---|
| Duree de conservation | Indefinie (audit commissions) |
|---|
| Mesures de securite | Contrainte unicite, suivi statut anti-doublon |
|---|
14. Support et tickets
| Finalite | Collecter les rapports de bugs, demandes d'assistance et retours utilisateurs |
|---|
| Base legale | Consentement (Art. 6.1.a) — soumission volontaire |
|---|
| Personnes concernees | Utilisateurs soumettant un ticket |
|---|
| Donnees collectees | Nom, email (optionnel), sujet, message, capture d'ecran, URL de la page, user-agent |
|---|
| Destinataires | Super admins (support interne) |
|---|
| Sous-traitants | OVH SAS |
|---|
| Duree de conservation | Indefinie (historique support, suppression manuelle possible) |
|---|
| Mesures de securite | Rate limiting, validation taille fichier, HTTPS |
|---|
Sous-traitants
| Sous-traitant | Fonction | Localisation | Garanties |
|---|
| OVH SAS | Hebergement infrastructure et donnees | France (Roubaix) | RGPD UE |
| Stripe Inc. | Traitement des paiements | Irlande / USA | PCI-DSS, SCC |
| Brevo SAS | Relais SMTP (emails) | France / UE | RGPD UE |
| Anthropic PBC | Oracle IA (generation de contenu) | USA | SCC, pas d'entrainement |
| Cloudflare Inc. | DNS, protection DDoS | International | Resolution DNS uniquement |
| OSRM / CartoDB / Esri | Calcul itineraires, tuiles cartographiques | International | Donnees publiques uniquement |
Transferts hors UE
| Destinataire | Pays | Donnees | Garantie |
|---|
| Stripe Inc. | USA | Identifiants paiement | Clauses Contractuelles Types (SCC) |
| Anthropic PBC | USA | Descriptions lieux, photos publiques (non-PII) | SCC + engagement non-entrainement |