1. Préambule et responsable du traitement
Le présent site web (luciole.akateria.fr) et l'application mobile Luciole Quest sont édités par Tina Semashko, entrepreneur individuel sous l'enseigne AKATERIA WEB (SIRET 929 791 820 00012, code APE 62.01Z), sous la marque commerciale Akateria Studio.
Adresse du siège : 1 rue de Fontenay, 94300 Vincennes, France
Cette politique de confidentialité explique comment nous collectons, utilisons et protégeons vos données personnelles dans l'application Luciole Quest (ci-après « l'Application »).
Nous respectons le Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679), la loi française n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »), ainsi que les recommandations de la Commission Nationale de l'Informatique et des Libertés (CNIL) pour les applications destinées aux enfants.
L'Application est conçue dans le respect de l'intérêt supérieur de l'enfant, conformément aux recommandations de la CNIL et aux principes du RGPD.
Compte tenu de la nature et de l'échelle de notre activité, nous n'avons pas désigné de délégué à la protection des données (DPO), notre activité ne relevant d'aucun des cas de désignation obligatoire prévus à l'article 37 du RGPD.
Pour toute question relative à vos données personnelles, vous pouvez nous contacter à : contact@akateria.fr
2. Public visé et fonctionnement de l'Application
Luciole Quest est une application de chasse au trésor familiale conçue pour des enfants à partir de 5 ans, jouant sous la supervision d'un parent ou tuteur légal.
- Le parent (utilisateur âgé de 18 ans ou plus) crée un compte, configure les chasses au trésor (lieux, énigmes, photos), lance la partie, et reçoit les soumissions et demandes d'indices de l'enfant.
- L'enfant rejoint la partie via un code fourni par le parent. Il ne crée pas de compte personnel et ne fournit aucune donnée d'identification (email, mot de passe, etc.). Il choisit uniquement un pseudonyme pour s'afficher dans le jeu.
L'application est destinée à un usage en famille, sur l'appareil mobile du parent. L'enfant ne télécharge ni n'utilise l'application de manière autonome.
La création de compte est strictement réservée aux personnes majeures (18 ans ou plus). En s'inscrivant, le parent atteste être majeur et agir en qualité de représentant légal de l'enfant.
La fourniture de votre adresse email est nécessaire à la création de votre compte et à l'exécution du service (authentification, réinitialisation de mot de passe). À défaut, l'utilisation de l'Application n'est pas possible.
3. Données personnelles collectées
3.1 Données du parent (utilisateur authentifié)
| Donnée | Source | Stockage |
|---|---|---|
| Adresse email | Formulaire d'inscription | Supabase (Irlande) |
| Mot de passe (haché en bcrypt) | Formulaire d'inscription / réinitialisation | Supabase (Irlande) |
| Métadonnées d'authentification (date d'inscription, dernière connexion, confirmation email) | Automatique par Supabase Auth | Supabase (Irlande) |
| Contenu des chasses au trésor (titres, descriptions de lieux, énigmes générées, paramètres) | Saisie manuelle par le parent | Supabase (Irlande) |
| Photos de référence des lieux | Appareil photo / galerie du parent | Supabase Storage (Irlande, accès public — voir §10) |
| Photos d'indices pré-enregistrées | Appareil photo / galerie du parent | Supabase Storage (Irlande, accès public — voir §10) |
| Texte des indices envoyés en cours de partie | Saisie manuelle pendant la partie | Supabase (Irlande) |
| Commentaires de rejet sur les soumissions photo de l'enfant | Saisie manuelle pendant la partie | Supabase (Irlande) |
| Nom des équipes (mode course) | Saisie manuelle par le parent | Supabase (Irlande) |
| Préférence de langue d'interface (FR/EN/RU/UK) | Sélection dans l'application | Stockage local sur l'appareil (non synchronisé) |
3.2 Données de l'enfant (utilisateur non authentifié)
L'enfant ne fournit aucune donnée d'identification (pas d'email, pas de mot de passe, pas de date de naissance).
| Donnée | Source | Stockage |
|---|---|---|
| Pseudonyme (prénom ou surnom, libre, max 20 caractères) | Saisie par l'enfant ou le parent au moment de rejoindre une partie | Supabase (Irlande) |
| Photos de validation des lieux trouvés | Appareil photo de l'appareil mobile | Supabase Storage (Irlande, accès privé — URLs signées de courte durée) |
| Demandes d'indices et progression dans la partie | Action de l'enfant en cours de jeu | Supabase (Irlande) |
⚠️ Attention parents : le pseudonyme de l'enfant est saisi par vous ou votre enfant. Nous vous recommandons d'utiliser un surnom plutôt que le prénom complet pour limiter les données identifiantes.
3.3 Données techniques (collectées automatiquement)
| Donnée | Finalité | Stockage |
|---|---|---|
| Rapports de plantage (stack traces, fil d'exécution avant l'erreur) | Correction de bugs | Sentry (Allemagne), 30 à 90 jours selon notre formule |
| Adresse IP, identifiant utilisateur, locale | Contexte technique des plantages | Sentry (Allemagne) |
| Logs structurés de l'application | Débogage | Sentry (Allemagne) |
3.4 Données traitées par notre service de génération d'énigmes
Lorsque le parent demande la génération automatique d'une énigme à partir de la description d'un lieu, le texte de description saisi par le parent est transmis à l'API Mistral AI (sous-traitant français basé à Paris) pour produire l'énigme.
⚠️ Si le parent inclut le prénom de l'enfant ou des détails personnels dans la description du lieu (ex. : « Sous le lit de Sasha »), ces informations seront transmises à Mistral AI au moment de la génération. Nous recommandons d'éviter d'inclure des données personnelles identifiantes dans les descriptions de lieux.
4. Finalités et bases légales du traitement
| Donnée | Finalité | Base légale (RGPD) |
|---|---|---|
| Email + mot de passe du parent | Authentification, réinitialisation de mot de passe | Exécution du contrat (Art. 6.1.b) |
| Contenu des chasses (titres, descriptions, énigmes, photos) | Fonctionnement du jeu | Exécution du contrat (Art. 6.1.b) |
| Pseudonyme de l'enfant | Affichage dans le jeu, suivi de la progression | Exécution du contrat conclu avec le parent (Art. 6.1.b) — l'enfant ne disposant pas de compte ni de relation contractuelle directe, le traitement repose sur le contrat parent et s'inscrit dans l'exercice de l'autorité parentale |
| Photos de validation envoyées par l'enfant | Validation par le parent de la progression | Exécution du contrat conclu avec le parent (Art. 6.1.b) — même cadre que ci-dessus |
| Description de lieu transmise à Mistral AI | Génération automatique d'énigmes | Exécution du contrat (Art. 6.1.b) |
| Données techniques Sentry (plantages, logs) | Amélioration de la fiabilité de l'application | Intérêt légitime (Art. 6.1.f) — voir détail ci-dessous |
Test de mise en balance — intérêt légitime (Sentry). Cet intérêt légitime est mis en balance avec vos droits et libertés : les données collectées par Sentry sont strictement limitées à ce qui est nécessaire au diagnostic technique (traces d'exécution, contexte technique, identifiant utilisateur pour relier les événements). Aucune utilisation à des fins commerciales, marketing ou de profilage n'est faite. Vous pouvez vous opposer à ce traitement en nous contactant (voir §11).
5. Spécificités enfants (RGPD Art. 8 + recommandations CNIL)
Conformément à l'article 8 du RGPD et aux recommandations de la CNIL pour les applications destinées aux enfants :
- L'enfant ne crée pas de compte personnel. Il accède au jeu uniquement via un code fourni par son parent.
- Aucune donnée d'identification de l'enfant n'est collectée au-delà du pseudonyme qu'il choisit pour le jeu (et qui peut être un surnom inventé).
- L'Application ne permet aucune interaction de l'enfant avec des tiers. Aucune messagerie publique, aucun réseau social, aucune publicité, aucun achat intégré ne sont accessibles depuis l'interface enfant.
- Le parent est seul responsable du contenu et du déroulement de la partie. Les énigmes, photos et indices sont créés par lui.
- Aucune donnée n'est utilisée à des fins de prospection commerciale, de profilage ni de transmission à des tiers à des fins publicitaires.
- Le compte parent est protégé par mot de passe (≥8 caractères, complexité requise).
- Nous concevons l'Application en tenant compte de l'intérêt supérieur de l'enfant, en limitant strictement la collecte de données et en écartant toute interaction de l'enfant avec des tiers.
Cadre du traitement des données de l'enfant. L'Application étant conçue pour un usage familial supervisé, les traitements portant sur les données de l'enfant (pseudonyme, photos de validation, demandes d'indices) reposent sur l'exécution du contrat conclu avec le parent (Art. 6.1.b RGPD), dans le respect de l'autorité parentale et du principe de minimisation. Le parent, en tant que titulaire de l'autorité parentale, encadre l'usage de l'Application par l'enfant et nous autorise à mettre en œuvre les traitements strictement nécessaires au fonctionnement du jeu. En tant que parent ou tuteur légal, vous pouvez à tout moment exercer les droits de l'enfant en son nom (accès, suppression — voir §11).
Vérification de l'âge. L'Application ne met pas en œuvre de mécanisme technique de vérification de l'âge. La création de compte est réservée aux personnes majeures par déclaration de l'utilisateur lors de l'inscription, en cohérence avec notre modèle d'usage familial supervisé : l'enfant n'a pas de compte personnel et ne peut accéder au jeu qu'avec un code généré par le parent.
6. Sous-traitants (destinataires des données)
Pour fournir le service, nous faisons appel aux sous-traitants suivants :
| Sous-traitant | Rôle | Pays / Région | Conformité |
|---|---|---|---|
| Supabase Inc. | Authentification, base de données, stockage de fichiers, fonctions edge, temps réel | Irlande 🇮🇪 (région aws-1-eu-west-1) | DPA signé, hébergement UE |
| Sentry GmbH | Rapports de plantages, journaux applicatifs | Allemagne 🇩🇪 (région de.sentry.io) | DPA + clauses contractuelles types intégrées |
| Mistral AI | Génération automatique d'énigmes (LLM) | France 🇫🇷 (Paris) | DPA validé à l'inscription. Selon les conditions de la plateforme Mistral, les données envoyées via l'API ne sont pas utilisées pour l'entraînement des modèles. |
| Mailjet (Sinch) | Envoi d'emails transactionnels (réinitialisation de mot de passe, confirmations) | France 🇫🇷 (serveurs à Paris) | DPA signé, hébergement UE |
| OVHcloud | Enregistrement du nom de domaine, DNS, MX | France 🇫🇷 | DPA standard OVH |
| GitHub Pages (Microsoft Corporation) | Hébergement du site statique luciole.akateria.fr (présente politique, page de réinitialisation web, fichiers nécessaires aux Android App Links) | États-Unis 🇺🇸 | DPA + clauses contractuelles types (SCC) — voir §7 |
Aucun de ces sous-traitants n'est autorisé à utiliser vos données pour des finalités propres (publicité, ventes, profilage, etc.). Ils agissent uniquement sur nos instructions.
7. Transferts de données hors Union Européenne
La majorité de nos sous-traitants opèrent dans l'Union Européenne. Un seul transfert vers un pays tiers a lieu :
- GitHub Pages (Microsoft Corporation, États-Unis) : héberge notre site web statique
luciole.akateria.fr. Aucune donnée personnelle n'est intentionnellement transférée vers GitHub Pages dans le cadre du fonctionnement de l'Application. Toutefois, lors de la consultation du site web (présente politique, conditions d'utilisation, page de réinitialisation de mot de passe, fichiers techniquesassetlinks.jsonpour les liens d'application Android), certaines données techniques telles que l'adresse IP du visiteur peuvent être traitées par l'hébergeur conformément à ses propres conditions.
Le transfert vers GitHub/Microsoft est encadré par les clauses contractuelles types adoptées par la Commission Européenne (décision d'exécution 2021/914 du 4 juin 2021), ainsi que par l'engagement de Microsoft Corporation auprès du Data Privacy Framework (DPF) UE-États-Unis.
8. Durée de conservation
| Donnée | Durée de conservation |
|---|---|
| Compte parent (email, mot de passe, profil) | Jusqu'à la suppression du compte par le parent |
| Contenu des chasses (titres, lieux, énigmes, photos parent) | Jusqu'à suppression manuelle ou suppression du compte |
| Photos d'enfants (soumissions de validation) | Jusqu'à suppression de la partie ou suppression du compte parent |
| Données de pseudonyme et de progression de l'enfant | Jusqu'à suppression de la partie ou suppression du compte parent |
| Rapports de plantage Sentry | 30 à 90 jours selon notre formule en cours (rotation automatique par Sentry) |
| Logs d'envoi d'emails Mailjet | 30 jours environ (rotation automatique par Mailjet) |
| Sauvegardes Supabase | Aucune sauvegarde automatisée sur notre formule actuelle ; en cas de sauvegarde manuelle, durée maximale de 30 jours |
Délai de suppression sur demande. Lorsque vous demandez la suppression de votre compte, l'ensemble des données associées est supprimé de manière irréversible dans un délai maximum de 30 jours à compter de la réception de votre demande. Ce délai inclut la suppression dans les éventuelles sauvegardes manuelles.
Suppression exceptionnelle. Conformément au §10.2 de nos Conditions Générales d'Utilisation, l'Éditeur peut être amené à supprimer un Compte et ses données associées dans des situations exceptionnelles (incidents de sécurité majeurs, nécessité technique liée à la maintenance ou à l'évolution du Service). Dans la mesure du possible, vous serez informé par email au moins 30 jours avant la suppression effective.
9. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement en transit : toutes les communications avec nos serveurs (Supabase, Sentry, Mistral, Mailjet) utilisent HTTPS/TLS.
- Mots de passe : stockés sous forme hachée (bcrypt) par Supabase. Nous n'avons jamais accès au mot de passe en clair.
- Contrôle d'accès en base : les règles de sécurité au niveau des lignes (Row-Level Security) de Supabase garantissent qu'un parent n'accède qu'à ses propres données.
- Photos d'enfants : stockées dans un bucket privé, accessibles uniquement via des URLs signées de courte durée (1 heure) générées pour le parent propriétaire de la chasse.
- Authentification email : les emails que nous envoyons sont signés cryptographiquement (DKIM, DMARC, SPF) pour prévenir l'usurpation.
10. Photos téléversées par les parents
Information importante. Les photos que vous (le parent) téléversez comme références de lieu ou comme indices (à distinguer des photos de validation envoyées par l'enfant) sont stockées sur un espace où l'accès en lecture n'est pas protégé par authentification. Ces photos ne sont pas indexées par les moteurs de recherche et ne sont accessibles aux tiers que par l'usage d'identifiants uniques complexes (UUID) non devinables et non publiquement référencés. En pratique, leur découverte par hasard est extrêmement improbable.
Risque résiduel. Si l'URL exacte d'une photo venait à être diffusée (par exemple : copie d'écran partagée, capture vidéo, lien envoyé par messagerie), toute personne en possession de cette URL pourrait y accéder. Il existe donc un risque résiduel de diffusion non maîtrisée que nous tenons à porter à votre connaissance.
Recommandation. Il est recommandé d'éviter d'inclure dans ces photos des enfants identifiables, des visages, des documents, des adresses, ou toute autre information personnelle que vous ne souhaiteriez pas voir potentiellement diffusées.
Mesure de sauvegarde dans l'interface. L'Application affiche un avertissement clair sous chaque bouton de téléversement de photo par le parent, rappelant cette limitation et invitant à la prudence.
Photos de validation envoyées par l'enfant. Les photos téléversées par l'enfant en cours de partie (validation des lieux trouvés) ne sont pas concernées par cette limitation : elles sont stockées dans un espace privé, accessibles uniquement par le parent propriétaire de la chasse, via des URLs signées de courte durée (1 heure).
Évolution prévue. Cette limitation est due à la nécessité technique de rendre les photos d'indices visibles à l'enfant (qui n'est pas authentifié). Une amélioration de la protection des photos parent est planifiée dans une version future de l'Application.
11. Vos droits
Conformément au RGPD et à la loi française n° 78-17 du 6 janvier 1978 modifiée, vous disposez des droits suivants concernant vos données personnelles et celles de votre enfant :
- Droit d'accès (Art. 15 RGPD) : obtenir une copie des données que nous détenons sur vous et votre enfant.
- Droit de rectification (Art. 16 RGPD) : corriger des données inexactes (par exemple, votre adresse email).
- Droit à l'effacement / droit à l'oubli (Art. 17 RGPD) : supprimer votre compte et toutes les données associées.
- Droit à la limitation du traitement (Art. 18 RGPD) : suspendre temporairement le traitement de certaines données.
- Droit à la portabilité (Art. 20 RGPD) : recevoir vos données dans un format structuré et lisible par machine. Ce droit s'applique uniquement aux données que vous nous avez activement fournies et qui sont traitées de manière automatisée.
- Droit d'opposition (Art. 21 RGPD) : vous opposer à certains traitements fondés sur l'intérêt légitime (notamment Sentry).
- Droit de retirer votre consentement : à tout moment, sans affecter la licéité des traitements antérieurs.
- Directives post mortem (article 85 de la loi Informatique et Libertés) : vous disposez du droit de définir des directives relatives au sort de vos données à caractère personnel après votre décès, dans les conditions prévues par la loi. Pour toute question relative à l'exercice de ce droit, vous pouvez nous contacter à
contact@akateria.fr.
Pour exercer ces droits, contactez-nous à contact@akateria.fr depuis l'adresse email associée à votre compte. Nous répondrons dans un délai maximal d'un mois à compter de la réception de votre demande, prolongeable de deux mois en cas de demande complexe ou nombreuse (avec information préalable).
Vérification d'identité. Pour protéger la confidentialité de votre compte, nous pouvons vous demander une preuve d'identité avant de traiter votre demande, notamment en cas de doute sur son origine.
Droit de réclamation auprès de la CNIL. Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés : https://www.cnil.fr/fr/plaintes
12. Cookies et stockage local
L'application n'utilise pas de cookies (elle est native, pas web).
Sur votre appareil, l'application stocke localement :
- Votre session d'authentification (token chiffré, géré par Supabase, valide jusqu'à déconnexion)
- Votre préférence de langue d'interface (FR/EN/RU/UK)
Aucune de ces données n'est partagée avec des tiers. Elles sont effacées lorsque vous désinstallez l'application.
Le site web luciole.akateria.fr (page de réinitialisation de mot de passe) utilise uniquement le localStorage du navigateur pour mémoriser la langue choisie. Aucun cookie n'est posé.
13. Modifications de la présente politique
Cette politique de confidentialité peut être modifiée pour refléter des évolutions légales ou techniques.
- Toute modification sera publiée sur cette page, avec une mise à jour de la date en haut du document.
- Les modifications substantielles (nouveau type de données collectées, nouveau sous-traitant, changement de finalité) nécessiteront votre acceptation dans l'application au prochain démarrage.
La version actuelle est datée du 27 avril 2026.
14. Contact
Pour toute question, pour exercer vos droits ou pour une réclamation :
- Email :
contact@akateria.fr - Responsable du traitement : Tina Semashko, entrepreneur individuel
- Enseigne : AKATERIA WEB
- SIRET : 929 791 820 00012
- Code APE : 62.01Z (Programmation informatique)
- Adresse du siège : 1 rue de Fontenay, 94300 Vincennes, France
- DPO : non désigné (cf. §1)
Vous pouvez également déposer une réclamation auprès de la CNIL : https://www.cnil.fr/fr/plaintes