Politique de confidentialité
Dernière mise à jour : 30 mai 2026
Sommaire
1. Responsable du traitement
Le responsable du traitement des données collectées et traitées via l'application RunQuest est :
Cédric Magnien (particulier)
Email : runquest.contact@gmail.com
L'adresse postale a été communiquée à l'hébergeur de l'application, conformément à l'article 6-III-2 LCEN. Voir les mentions légales pour plus de détails.
2. Données collectées
RunQuest collecte uniquement les données strictement nécessaires au fonctionnement du service. À ce jour, l'application n'utilise aucun outil d'analyse comportementale (analytics), ni aucun système de notifications push. Un outil de remontée d'erreurs et de rapports de plantage (Sentry) est utilisé pour assurer la fiabilité technique du service ; son périmètre est précisé en section 2.3.
2.1 Données de compte
Les données collectées dépendent de la méthode d'authentification choisie :
- Inscription par e-mail : prénom, nom, adresse e-mail et empreinte chiffrée du mot de passe (jamais stocké en clair).
- Sign in with Apple : identifiant Apple unique, prénom et nom transmis par Apple lors de la première connexion (facultatif), adresse e-mail réelle ou alias relais privé selon votre choix.
- Connexion avec Google : identifiant Google unique, prénom, nom, adresse e-mail et photo de profil transmis par Google.
- Connexion à Strava (étape facultative, déclenchée après la création du compte) : identifiant Strava (athlete ID), prénom, nom, photo de profil, ville, pays et adresse e-mail si Strava la transmet, ainsi que les jetons d'authentification (access token, refresh token) nécessaires à la synchronisation, stockés de manière sécurisée.
Vous pouvez compléter votre profil dans l'Application en ajoutant ou modifiant un pseudo (nom d'affichage public utilisé dans les classements, cf. section 2.4) et une photo de profil. La photo, lorsqu'elle est fournie, est stockée dans le service de stockage de fichiers de Supabase (région UE).
2.2 Données issues de vos activités sportives
Pour chaque activité sportive importée depuis Strava, nous collectons :
- Les métadonnées de l'activité : date, durée, distance, type d'activité, dénivelé, allure
- La trace GPS détaillée du parcours (séquence de coordonnées géographiques)
2.3 Données techniques et rapports d'erreurs
- Informations de session : jetons d'authentification stockés de manière chiffrée (Expo SecureStore / Keychain iOS / Keystore Android côté appareil, Supabase Vault côté serveur)
- Identifiant d'appareil (généré par le système) pour la gestion de session
- Journaux techniques côté serveur en cas d'erreur (logs Supabase, conservés 30 jours maximum)
- Rapports d'exception et de plantage remontés via Sentry, depuis l'application mobile et depuis les fonctions serveur. Ces rapports contiennent les éléments techniques nécessaires au diagnostic (message d'erreur, pile d'appels, plate-forme, version de l'application) et un identifiant interne d'utilisateur (UUID). Aucun contenu de session enregistré (« Session Replay ») n'est collecté et l'option sendDefaultPii est désactivée.
2.4 Données générées par le service
- Les cellules (carrés de 100 m × 100 m) traversées et débloquées par vos activités
- Les statistiques calculées sur la base de vos activités (total de carrés débloqués, progression par zone géographique, etc.)
- Votre participation aux classements par zone (commune, département, région, France) : pseudo affiché, nombre de carrés débloqués sur la période, position dans la zone. La participation est activée par défaut et peut être désactivée à tout moment depuis « Paramètres » > « Préférences » (voir section 9).
- Un indicateur d'éligibilité de chaque activité au classement, et le cas échéant la raison d'une exclusion automatique (anti-triche : vitesse irréaliste, téléportation détectée, etc.). Cet indicateur n'affecte que l'apparition de l'activité dans les classements ; l'activité reste visible sur votre carte personnelle.
Aucune donnée bancaire n'est collectée par l'application. La version actuelle (MVP) est entièrement gratuite et ne nécessite aucun moyen de paiement.
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Fournir le service de carte quadrillée et de progression personnelle | Exécution du contrat (Art. 6.1.b) |
| Synchroniser vos activités depuis Strava | Exécution du contrat (Art. 6.1.b) |
| Maintenir votre compte utilisateur | Exécution du contrat (Art. 6.1.b) |
| Afficher votre participation aux classements par zone (pseudo + nombre de carrés) | Exécution du contrat (Art. 6.1.b), désactivable à tout moment (opt-out) |
| Détecter automatiquement les activités non éligibles aux classements (anti-triche) | Intérêt légitime à préserver l'équité des classements (Art. 6.1.f) |
| Diagnostiquer les erreurs et les plantages de l'application (Sentry) | Intérêt légitime à maintenir un service fiable (Art. 6.1.f) |
| Maintenance technique, sécurité et lutte contre la fraude | Intérêt légitime (Art. 6.1.f) |
| Répondre à vos demandes (support, exercice des droits) | Obligation légale (Art. 6.1.c) |
4. Sous-traitants et destinataires
Vos données sont accessibles uniquement par l'éditeur (Cédric Magnien) et les sous-traitants techniques listés ci-dessous, qui agissent sur instructions et en conformité avec leurs propres obligations RGPD :
- Apple Inc. — Fournisseur d'identité Sign in with Apple, uniquement lorsque vous choisissez cette méthode de connexion.
- Google LLC — Fournisseur d'identité Google Sign-In, uniquement lorsque vous choisissez cette méthode de connexion.
- Strava, Inc. — Source des données sportives. La connexion à votre compte Strava s'effectue directement avec leurs serveurs via leur API officielle, dans les limites des autorisations OAuth accordées. Politique de confidentialité Strava
- Supabase, Inc. — Hébergement de la base de données, des fonctions serveur et du stockage des fichiers (photos de profil), sur infrastructure Amazon Web Services (AWS). Région d'hébergement : Union européenne (France). Politique de confidentialité Supabase
- Functional Software, Inc. (Sentry) — Remontée d'erreurs et rapports de plantage pour l'application mobile et les fonctions serveur. Hébergement de l'organisation RunQuest en région européenne (
de.sentry.io). Politique de confidentialité Sentry - Apple Distribution International Limited et Google Ireland Limited — Distribution de l'application mobile via l'App Store et Google Play.
- OpenStreetMap Foundation — Fonds cartographiques affichés dans l'application. Aucune donnée personnelle ne leur est transmise.
- GitHub, Inc. — Hébergement des présentes pages légales via GitHub Pages.
Vos données ne sont jamais vendues, louées ni cédées à des tiers à des fins commerciales ou publicitaires.
5. Transferts hors Union européenne
L'hébergement principal de vos données (base de données Supabase, stockage des photos de profil) est situé en France, au sein de l'Union européenne. L'organisation RunQuest sur Sentry est également hébergée en région européenne.
Toutefois, certaines opérations peuvent impliquer des sous-traitants dont la maison mère est située hors UE, en particulier :
- Apple Inc., Google LLC, Strava, Inc., Functional Software, Inc. (Sentry) — sociétés américaines
- Apple Distribution International Limited, Google Ireland Limited, GitHub, Inc. — services de distribution et d'hébergement
Ces transferts s'effectuent sur la base des garanties appropriées prévues par le RGPD (clauses contractuelles types, Data Privacy Framework lorsque applicable).
6. Durée de conservation
- Pendant l'utilisation du service : vos données sont conservées tant que votre compte est actif.
- Après suppression de compte : vos données sont conservées pendant 30 jours, puis définitivement effacées de nos bases. Cette durée permet de gérer les éventuelles demandes de récupération en cas de suppression accidentelle.
- Jetons Strava : conservés tant que la connexion Strava est active. Vous pouvez révoquer cet accès à tout moment depuis les paramètres de votre compte Strava.
7. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données :
- Chiffrement des communications via TLS (HTTPS)
- Stockage chiffré des jetons OAuth Strava (Supabase Vault côté serveur, Expo SecureStore / Keychain iOS / Keystore Android côté appareil)
- Politiques d'accès strictes côté base de données (Row Level Security)
- Sauvegardes régulières et supervision des incidents
- Hébergement chez des prestataires conformes aux standards de sécurité actuels
8. Vos droits
Conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès — obtenir la copie des données vous concernant
- Droit de rectification — corriger une donnée inexacte
- Droit à l'effacement — demander la suppression de vos données
- Droit à la limitation — demander la suspension d'un traitement
- Droit d'opposition — vous opposer à un traitement
- Droit à la portabilité — récupérer vos données dans un format structuré
- Droit de retirer votre consentement à tout moment, sans remettre en cause la licéité des traitements antérieurs
- Droit d'introduire une réclamation auprès de la CNIL (cnil.fr)
Pour exercer ces droits, contactez-nous à : runquest.contact@gmail.com
Une réponse vous sera apportée dans un délai maximum d'un mois à compter de la réception de votre demande.
9. Sensibilité des traces GPS et visibilité du profil
Une attention particulière est portée aux traces GPS. Ces données révèlent vos lieux fréquentés, votre domicile, votre lieu de travail, vos habitudes et horaires. Il s'agit de données particulièrement sensibles.
Nos engagements concernant ces données :
- Vos traces GPS et votre carte de territoire restent privées. Aucun autre utilisateur ne peut consulter vos traces, votre carte personnelle ni le détail de vos activités. Vos traces GPS ne sont jamais partagées avec des tiers à des fins commerciales et aucun affichage public n'est effectué sans votre consentement explicite.
- Fonctionnalité de partage d'image (opt-in). L'Application vous permet de générer un visuel stylisé représentant votre territoire ou une activité, pour le partager si vous le souhaitez sur les réseaux sociaux. Ce partage est exclusivement à votre initiative ; rien n'est publié automatiquement.
- Classements par zone (opt-out). Depuis la version 1.1.0, RunQuest propose des classements par zone géographique (commune, département, région, France). Y sont visibles, pour les autres utilisateurs participant au même classement : votre pseudo, le nombre de carrés débloqués sur la période et votre position dans la zone. Vos traces GPS, le détail de vos activités et la composition exacte de votre carte ne sont jamais exposés via les classements.
- Choix du pseudo. Vous pouvez définir un pseudo dans « Paramètres » > « Mon profil ». À défaut, le nom d'affichage de votre compte Strava (ou le prénom de votre compte Apple / Google si vous n'avez pas connecté Strava) est utilisé comme repli, afin que vous ne soyez pas désigné par un identifiant technique.
- Désactiver la participation. Vous pouvez à tout moment vous retirer des classements depuis « Paramètres » > « Préférences ». Dans ce cas, vous n'apparaissez plus dans les classements des autres utilisateurs et les classements ne s'affichent plus dans votre application.
10. Cookies et traceurs
L'application mobile n'utilise pas de cookies au sens du droit applicable au web. Les seuls identifiants techniques stockés localement sont les jetons d'authentification, indispensables au fonctionnement du service, et stockés de manière sécurisée (Expo SecureStore / Keychain iOS / Keystore Android).
Aucun outil de mesure d'audience tiers (Google Analytics, Firebase Analytics, etc.) n'est intégré dans la version actuelle.
11. Utilisateurs mineurs
L'application n'est pas destinée aux personnes de moins de 16 ans. L'éditeur ne collecte pas sciemment de données concernant des mineurs de moins de 16 ans sans le consentement de leurs responsables légaux. Si vous pensez qu'un mineur a créé un compte, contactez-nous à runquest.contact@gmail.com afin que nous procédions à la suppression des données concernées.
12. Modifications de la politique
La présente politique peut être amenée à évoluer, notamment pour refléter les évolutions du service ou de la réglementation. La date de dernière mise à jour figure en haut du document. En cas de modification substantielle, vous serez informé via l'application ou par email au moins 30 jours avant son entrée en vigueur.
13. Contact
Pour toute question relative à la présente politique ou au traitement de vos données :
Email : runquest.contact@gmail.com