← Accueil

Politique de confidentialité

Dernière mise à jour : 3 juin 2026 · Site : https://questia.fr

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées dans le cadre de Questia est l'éditeur du service, tel qu'identifié dans les mentions légales.

  • Dénomination : Swameta
  • Adresse : 15 rue Charles Riom, 44400 Rezé
  • Contact (données personnelles) : contact@questia.fr
  • Délégué à la protection des données (DPO) : contact@questia.fr

2. Données collectées

Nous traitons notamment :

  • Compte et authentification : identifiant technique, adresse e-mail et données fournies lors de l'inscription ou de la connexion (via notre prestataire d'authentification Clerk).
  • Profil de jeu : préférences d'onboarding (axes explorateur / prudence, personnalité déclarée), progression (jour, phase, XP, badges), historique de quêtes, paramètres de rappels et de boutique (thèmes, solde de monnaie virtuelle, etc.).
  • Questionnaire de raffinement (optionnel) : réponses aux questions pour adapter le ton des missions, avec date de consentement lorsque applicable.
  • Données de localisation — trois niveaux distincts selon ce que tu autorises :
    • Géolocalisation par adresse IP (passive, non demandée explicitement) : ville ou région approximative utilisée pour adapter la météo et le contexte des quêtes. Base légale : intérêt légitime.
    • GPS / localisation précise — premier plan (foreground) : coordonnées GPS transmises si tu accordes l'accès à ta position dans l'app ou le navigateur, pour suggérer un lieu public pertinent. Base légale : consentement. Révocable à tout moment dans les paramètres de l'appareil.
    • Localisation en arrière-plan (background) : l'application mobile ne collecte pas ta position lorsqu'elle est en arrière-plan. Si cette fonctionnalité était introduite à l'avenir, un consentement explicite séparé serait recueilli.
  • Notifications : jetons d'appareil pour les rappels push (mobile), si tu les actives.
  • Paiements : références de transaction via notre prestataire de paiement (Stripe) ; nous ne stockons pas ton numéro de carte bancaire complet.
  • Données techniques : journaux et métadonnées nécessaires à la sécurité et au bon fonctionnement du service (adresse IP, horodatage, erreurs), dans les limites du strict nécessaire.

3. Finalités et bases légales

  • Exécution du contrat : fournir les quêtes, la progression, la boutique et le compte.
  • Intérêt légitime : sécurité, lutte contre la fraude, amélioration du produit, statistiques agrégées.
  • Consentement : lorsque requis (ex. questionnaire de raffinement, certaines notifications marketing si proposées), retirable à tout moment sans affecter la licéité des traitements antérieurs.
  • Obligations légales : conservation de pièces comptables ou réponses aux autorités lorsque la loi l'impose.

4. Contenu généré par intelligence artificielle et profilage

Certaines missions et textes affichés sont produits par des modèles d'IA (OpenAI API) à partir de ton profil, de ton historique de quêtes et du contexte du jour (météo, lieu). Ce contenu est une suggestion ludique : il peut parfois être inadapté ou imprécis ; tu restes seul·e responsable de tes choix dans la vie réelle. Questia ne fournit pas de conseil médical, psychologique ou juridique.

Profilage automatisé (art. 22 RGPD) : le moteur de Questia analyse tes réponses d'onboarding, ton historique de quêtes et tes comportements pour inférer des tendances (phase de parcours, intensité préférée, affinités). Cette analyse influence les missions proposées. Elle ne produit pas de décision juridique ou significative te concernant ; elle sert uniquement à personnaliser l'expérience de jeu. Tu peux consulter le détail du fonctionnement sur la page Comment sont générées tes quêtes. En vertu de l'article 21 du RGPD, tu as le droit de t'opposer à ce profilage à tout moment en supprimant ton profil ou en contactant le support — dans ce cas, les quêtes proposées seront génériques.

Utilisation des données pour l'entraînement des modèles IA : tes données personnelles (profil, historique, comportements) ne sont pas transmises à OpenAI à des fins d'entraînement de modèles. Questia utilise l'API OpenAI dans le cadre de l'accord de traitement des données (DPA) d'OpenAI, qui exclut l'utilisation des données API pour l'amélioration des modèles, sauf opt-in explicite de notre part (ce qui n'est pas le cas).

Nous appliquons des garde-fous dans les prompts (interdiction de contenus dangereux ou illégaux, limitation des conseils de santé, pas de collecte de données sensibles via les missions). Ces mesures réduisent les risques mais ne garantissent pas un résultat parfait : signale tout contenu problématique via le support.

Pour le cadre d'usage (ludique, non médical) : voir aussi la page Bien-être et limites.

5. Sous-traitants et transferts hors UE

Nous faisons appel à des sous-traitants pour opérer le service. Les prestataires situés hors de l'Espace économique européen (EEE) sont encadrés par des garanties appropriées au sens de l'article 46 du RGPD (clauses contractuelles types de la Commission européenne — SCCs — ou décision d'adéquation).

PrestataireRôlePaysGaranties
OpenAI LLCGénération des quêtes et textes (API)États-UnisSCCs (Data Processing Agreement OpenAI)
Clerk Inc.Authentification et gestion des comptesÉtats-UnisSCCs (DPA Clerk)
Stripe Inc.Traitement des paiementsÉtats-UnisSCCs (DPA Stripe) — certifié PCI DSS
Vercel Inc.Hébergement du site et de l'APIÉtats-UnisSCCs (DPA Vercel)
PostHog Inc.Analyse du produit (opt-in uniquement)États-UnisSCCs (DPA PostHog)
Google LLCAnalytics (GA4 / GTM) — si consentementÉtats-UnisSCCs (DPA Google) — IP anonymisée
Meta PlatformsPublicité / Remarketing — si consentementÉtats-UnisSCCs (DPA Meta)

Tu peux demander une copie des garanties en vigueur en contactant notre service aux données personnelles (adresse en section 1).

6. Durée de conservation

Les données sont conservées selon les durées suivantes :

  • Données de compte et de profil de jeu (e-mail, progression, historique de quêtes, préférences) : conservées pendant toute la durée d'activité du compte, puis supprimées ou anonymisées dans un délai de 30 jours suivant la demande de suppression du compte, sauf exception technique ou obligation légale.
  • Données comptables et pièces justificatives de paiement (références de transaction Stripe) : conservées 10 ans à compter de la date de transaction, conformément aux obligations légales de conservation comptable (art. L123-22 du Code de commerce).
  • Journaux techniques (logs d'accès, erreurs, horodatages de sécurité) : 90 jours glissants, puis suppression automatique.
  • Consentements enregistrés (cookies, raffinement de profil) : 3 ans à compter de l'enregistrement, conformément aux recommandations de la CNIL.
  • Jetons push (notifications) : supprimés dès la révocation de l'autorisation ou la clôture du compte, et au plus tard 6 mois après le dernier usage actif.

À l'expiration de ces durées, les données sont supprimées de manière irréversible ou anonymisées. Ces durées peuvent être allongées si une obligation légale, réglementaire ou judiciaire l'impose.

7. Tes droits (RGPD)

Tu disposes notamment des droits suivants : accès, rectification, effacement, limitation, opposition, portabilité, et retrait du consentement lorsqu'il sert de base. Tu peux introduire une réclamation auprès de l'autorité de protection des données (en France : la CNIL).

Export des données : depuis la page Profil de l'application web connectée, tu peux télécharger un fichier JSON regroupant les informations principales liées à ton compte.

Suppression du compte : la même page permet de demander la suppression définitive de ton compte et des données de jeu associées. La suppression du compte d'authentification est également effectuée côté prestataire (Clerk), sous réserve de contraintes techniques exceptionnelles (dans ce cas, contacte le support).

8. Cookies et traceurs

Le site utilise des cookies ou stockages locaux. Un bandeau t'est présenté lors de ta première visite pour recueillir ton choix sur les traceurs non essentiels. Conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL, aucun cookie non essentiel n'est déposé avant ton accord explicite.

CatégorieFinalitéBase légaleExemples
EssentielsSession, authentification, préférences de langue, sécuritéIntérêt légitime / Exécution du contrat (art. 6.1.b et 6.1.f RGPD)Clerk session, stockage local préférences
AnalytiquesMesure d'audience, amélioration du produitConsentement (art. 6.1.a RGPD)Google Analytics 4, Google Tag Manager, PostHog
PublicitairesPublicité ciblée, remarketingConsentement (art. 6.1.a RGPD)Meta Pixel, tags configurés dans GTM

Tes choix sont enregistrés localement dans ton navigateur. Tu peux les modifier à tout moment en effaçant les données du site ou en contactant le support.

9. Mineurs

L'accès au service est soumis aux conditions d'âge suivantes, conformément à la réglementation applicable :

  • Site web questia.fr : réservé aux personnes âgées d'au moins 15 ans, conformément à l'article 7-1 de la loi Informatique et Libertés (transposant l'article 8 du RGPD en droit français), qui fixe à 15 ans l'âge de consentement numérique pour les services de la société de l'information.
  • Application mobile (App Store / Google Play) : réservée aux personnes âgées d'au moins 13 ans, conformément aux règles des plateformes de distribution (Apple App Store, Google Play) et aux exigences du Children's Online Privacy Protection Act (COPPA) applicables aux stores.

Dans tous les cas, si tu as moins de 18 ans, l'accord d'un parent ou tuteur légal est recommandé avant utilisation. Si tu es parent et penses qu'un enfant nous a transmis des données sans ton accord, contacte-nous à l'adresse indiquée en section 1 pour en obtenir la suppression.

10. Modifications

Cette politique peut être mise à jour. La date en tête de page indique la dernière révision. En cas de changement majeur, nous pourrons t'en informer par un message dans l'app ou par e-mail.

Documents associés

Politique de confidentialité | Questia