Version 2026-06-06 · En vigueur depuis le 06 juin 2026
La présente politique décrit comment nous traitons vos données personnelles lorsque vous utilisez Trova il Tesoro, conformément aux articles 13 et 14 du Règlement (UE) 2016/679 (RGPD). Nous expliquons quelles données nous collectons, à quelles fins et sur quelles bases juridiques, combien de temps nous les conservons et quels droits vous pouvez exercer.
Le responsable du traitement est indiqué au bas de cette page, avec les coordonnées pour toute demande en matière de protection des données. Vous pouvez vous adresser au responsable pour exercer vos droits ou pour toute précision sur cette politique.
Nous traitons : les données de compte (e-mail, nom d'utilisateur, nom, avatar, langue) ; les données de jeu (découvertes effectuées, achèvements, méthode de vérification) ; les données de géolocalisation (latitude, longitude et précision GPS relevées lors d'une étape activée) ; le selfie pris à chaque étape, conservé dans un espace privé ; les données de paiement (montants, statut, identifiants Stripe — aucune donnée de carte n'est stockée chez nous) ; les preuves des consentements donnés ; et les journaux de sécurité (identifiant utilisateur, événement, adresse IP, détails techniques).
Nous traitons vos données pour : créer et gérer votre compte ; fournir la chasse au trésor et vérifier les étapes (NFC, GPS et selfie) ; gérer les paiements et les obligations fiscales liées ; conserver la preuve des consentements donnés ; et assurer la sécurité du service et prévenir la fraude et les abus.
Nous ne procédons pas à du profilage à des fins de marketing au lancement. Si à l'avenir nous introduisons des finalités supplémentaires, nous vous en informerons au préalable.
Les données de compte, de selfie, de géolocalisation et de paiement sont traitées pour l'exécution du contrat de participation (art. 6.1.b RGPD). Les paiements sont également traités pour respecter des obligations légales de nature fiscale et comptable (art. 6.1.c RGPD).
La sécurité du service, les audits et la prévention de la fraude reposent sur notre intérêt légitime (art. 6.1.f RGPD) : l'intérêt poursuivi est de protéger la plateforme et ses utilisateurs contre les accès non autorisés, les altérations et les comportements frauduleux. La conservation de la preuve des consentements répond au principe de responsabilité (art. 5.2 et 7.1 RGPD).
Les données de paiement sont conservées pendant 10 ans à compter de la dernière inscription, en vertu des obligations civiles et fiscales (art. 2220 du Code civil italien). Les selfies sont conservés pour la durée du jeu et pendant une fenêtre d'environ 90 jours pour la gestion d'éventuelles contestations. Les données de jeu et de géolocalisation (découvertes) sont conservées environ 12 mois pour la gestion des contestations. Les journaux d'audit et de sécurité sont conservés environ 6 mois (prolongeables en cas de besoins anti-fraude motivés).
En cas de demande de suppression du compte, les données sont effacées sans retard injustifié, généralement sous environ 30 jours, sous réserve des obligations légales et des délais nécessaires à la défense d'un droit. Pour les données sans échéance fixe, nous indiquons les critères de détermination de la durée de conservation.
Vos données sont traitées par des prestataires agissant en tant que sous-traitants sur la base d'accords conformes à l'art. 28 RGPD : Supabase (base de données et stockage), Stripe (paiements) et Vercel (hébergement). Les données peuvent aussi être communiquées aux autorités fiscales ou judiciaires lorsque la loi l'exige. Nous ne vendons pas vos données à des tiers.
Certains prestataires (Supabase, Stripe, Vercel) peuvent traiter des données aux États-Unis. Ces transferts ont lieu avec des garanties adéquates, telles que la certification au Data Privacy Framework UE-États-Unis et/ou les Clauses contractuelles types de la Commission européenne (Déc. UE 2021/914). Vous pouvez en demander une copie en contactant le responsable.
Vous avez le droit d'accéder à vos données et d'en obtenir la rectification, l'effacement et la limitation du traitement, ainsi que le droit à la portabilité et le droit d'opposition, dans les limites prévues par le RGPD. Lorsque le traitement repose sur le consentement, vous pouvez le retirer à tout moment (art. 7.3 RGPD), sans porter atteinte à la licéité du traitement effectué avant le retrait. Pour exercer vos droits, vous pouvez contacter le responsable aux coordonnées ci-dessous.
Si vous estimez que le traitement de vos données enfreint la réglementation, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle. En Italie, l'autorité compétente est le Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Rome ; e-mail protocollo@gpdp.it ; e-mail certifié protocollo@pec.gpdp.it ; site www.garanteprivacy.it.
La fourniture des données de compte, du selfie, de la géolocalisation et de paiement est nécessaire pour participer aux chasses au trésor : le refus rend impossible la fourniture du service. Les autres données sont facultatives et leur refus n'affecte pas la participation.
Nous ne prenons pas de décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs à votre égard au sens de l'art. 22 RGPD : la proclamation du gagnant est toujours soumise à un contrôle humain du selfie et des preuves d'achèvement. Nous utilisons des contrôles anti-fraude automatiques (par exemple la cohérence du GPS et des temps) comme support, mais la décision finale reste humaine.
Certaines données de votre profil peuvent être visibles par les autres participants, par exemple le nom d'utilisateur et l'avatar, notamment dans les classements et les pages de jeu. L'e-mail, le nom réel et les coordonnées ne sont pas rendus publics.
Le selfie est une image photographique du visage, examinée exclusivement par un opérateur humain pour la seule comparaison visuelle nécessaire à la validation des découvertes et du gagnant. Aucune reconnaissance faciale automatique n'est effectuée, ni extraction de gabarits biométriques, ni détection du vivant (liveness).
La base juridique du traitement du selfie est l'exécution du contrat de participation (art. 6.1.b RGPD), le selfie étant nécessaire à la vérification du gagnant, cœur de la prestation. Une photo du visage soumise à la seule revue visuelle d'un opérateur ne constitue pas, en soi, une donnée biométrique. Pour une protection renforcée, lorsque cela est requis, nous recueillons séparément un consentement explicite spécifique pour ce traitement, révocable à tout moment.
La désignation d'un Délégué à la protection des données (DPO) au titre de l'art. 37 RGPD n'est pas obligatoire. Pour les questions de confidentialité, vous pouvez néanmoins nous écrire à l'adresse e-mail dédiée figurant dans nos coordonnées.
Pour toute demande concernant le traitement de vos données personnelles ou pour exercer vos droits, vous pouvez contacter le responsable aux coordonnées indiquées au bas de cette page.
Responsable du traitement
Davide Melis
Warsaw ORdynacka 14
P.IVA 000000000000
davide94melis@gmail.com · davide94melis@pec.it