Politique de confidentialité
1. Identité du responsable de traitement
La présente politique de confidentialité s'applique à l'application mobile KIWITT.
L'application KIWITT est éditée par LEPIALINK, micro-entreprise immatriculée sous le numéro SIREN 982 445 793, dont le siège social est situé à Nantes, France. L'application est notamment distribuée par l'intermédiaire des plateformes Apple App Store et Google Play Store.
Dans le cadre de l'exploitation de l'application KIWITT, LEPIALINK agit en qualité de responsable de traitement au sens de l'article 4(7) du Règlement (UE) 2016/679 (ci-après « RGPD ») pour l'ensemble des traitements décrits dans la présente politique.
Pour toute question relative à l'application ou à la présente politique, l'utilisateur peut contacter l'éditeur à l'adresse suivante : contact@kiwitt.fr.
Pour toute question relative à la protection des données personnelles ou à l'exercice des droits prévus par la réglementation applicable, l'utilisateur peut contacter : dpo@kiwitt.fr.
2. Objet et champ d'application
La présente politique de confidentialité a pour objet d'informer les utilisateurs de l'application mobile KIWITT (ci-après l'« Application ») sur les conditions dans lesquelles leurs données à caractère personnel sont collectées, utilisées, conservées et protégées dans le cadre de l'utilisation de l'Application.
Elle s'applique à l'ensemble des fonctionnalités proposées dans l'Application, et notamment :
- la création de compte et l'authentification ;
- la participation aux quiz, devinettes et parties multijoueur ;
- la création, génération, publication et partage de contenus ;
- les échanges conversationnels avec les fonctionnalités d'assistance ou de génération intégrées à l'Application ;
- l'utilisation facultative du microphone pour saisir certaines demandes à la voix ;
- l'utilisation facultative de la caméra pour le scan de QR ;
- la gestion des abonnements et achats intégrés ;
- l'affichage de publicités récompensées ;
- l'envoi de notifications push.
L'Application peut, selon les fonctionnalités proposées, offrir un mode invité ou un accès limité sans inscription. Dans ce cadre, certaines fonctionnalités peuvent rester accessibles sans création de compte, sous réserve des limitations techniques et fonctionnelles prévues dans l'Application. Lorsque l'utilisateur choisit ce mode, seules les données strictement nécessaires au fonctionnement technique du service sont susceptibles d'être traitées.
3. Données collectées et finalités
3.1 Données fournies directement par l'utilisateur
| Donnée | Finalité | Base légale | Caractère |
|---|---|---|---|
| Adresse e-mail | Création de compte, authentification, récupération de mot de passe | Exécution du contrat (art. 6.1.b RGPD) | Obligatoire pour la création d'un compte |
| Nom d'utilisateur (pseudonyme) | Identification dans l'Application, classements, interactions sociales | Exécution du contrat | Obligatoire pour la création d'un compte |
| Mot de passe | Authentification sécurisée | Exécution du contrat | Obligatoire pour la création d'un compte |
| Contenus saisis par l'utilisateur dans les espaces de création ou de conversation (messages, instructions, réponses, prompts) | Fonctionnement des fonctionnalités de jeu, de création, de génération et d'assistance conversationnelle | Exécution du contrat | Facultatif selon l'usage |
| Données vocales fournies volontairement par l'utilisateur via le microphone, dans les fonctionnalités qui le permettent | Permettre la saisie vocale à la place du texte, notamment lors du cadrage d'un quiz avant sa génération ou lors des échanges en cours de partie dans le mode KOISUIJ | Consentement / action volontaire de l'utilisateur au moment de l'utilisation de la fonctionnalité | Facultatif |
3.2 Données générées par l'utilisation de l'Application
| Donnée | Finalité | Base légale |
|---|---|---|
| Historique de jeu (réponses, scores, temps de réponse) | Fonctionnement du jeu, classements, statistiques personnelles | Exécution du contrat |
| Quiz créés (titre, description, catégorie, questions, image, paramètres de génération) | Fonctionnalité de création, génération, sauvegarde et publication de quiz | Exécution du contrat |
| Historique des échanges liés à la création ou au déroulement de certaines fonctionnalités conversationnelles | Permettre le bon fonctionnement de l'expérience, améliorer la cohérence des échanges et générer le contenu demandé par l'utilisateur | Exécution du contrat |
| Favoris et notes | Personnalisation de l'expérience utilisateur | Exécution du contrat |
| Solde de monnaie virtuelle (WittCoins) et transactions | Gestion de l'économie in-app | Exécution du contrat |
| Succès et récompenses débloqués | Système de progression et de récompenses | Exécution du contrat |
| Historique de notifications in-app | Suivi des événements de jeu | Exécution du contrat |
| Données d'abonnement (produit, dates, statut) | Gestion des abonnements premium | Exécution du contrat |
| Sessions de jeu multijoueur (participation, horodatages, identifiant de partie) | Fonctionnement du mode multijoueur en temps réel | Exécution du contrat |
| Données liées au scan de QR code de partie | Permettre l'identification et la jonction à une partie multijoueur via QR code | Exécution du contrat |
3.3 Données collectées avec consentement préalable ou autorisation de l'appareil
| Donnée | Finalité | Modalité de consentement |
|---|---|---|
| Jeton de notification push et plateforme (iOS/Android) | Envoi de notifications relatives aux événements de jeu, récompenses et actualités | Consentement explicite via la permission système, complété le cas échéant par le paramétrage in-app |
| Données publicitaires (identifiant de transaction, visualisation de publicité récompensée) | Vérification des récompenses publicitaires, limitation quotidienne, prévention de certains abus | Consentement via la plateforme de gestion du consentement (CMP), lorsque requis |
| Accès au microphone et données vocales associées | Permettre à l'utilisateur de parler à la place d'écrire dans les fonctionnalités concernées | Autorisation explicite du microphone par le système d'exploitation et action volontaire de l'utilisateur |
| Accès à la caméra pour le scan de QR code | Permettre le scan d'un QR code afin de rejoindre une partie multijoueur | Autorisation explicite de la caméra par le système d'exploitation, demandée au moment de l'usage |
3.4 Données techniques collectées automatiquement
| Donnée | Finalité | Base légale |
|---|---|---|
| Type de plateforme (iOS ou Android) | Adaptation technique de l'Application | Intérêt légitime (art. 6.1.f RGPD) |
| Jeton de session d'authentification | Maintien de la connexion | Exécution du contrat |
| Données techniques minimales de fonctionnement (horodatages, événements techniques, journaux de service) | Sécurité, bon fonctionnement, prévention des anomalies et maintenance | Intérêt légitime |
| Informations relatives aux permissions accordées ou refusées (notifications, caméra, microphone) | Gestion technique des fonctionnalités concernées et respect des choix de l'utilisateur | Intérêt légitime |
3.5 Données non collectées ou non utilisées à d'autres fins
Sauf mention contraire dans la présente politique, l'Application ne collecte pas ou n'utilise pas, à ce jour, les catégories de données suivantes pour ses fonctionnalités courantes :
- données de géolocalisation GPS ;
- contacts, calendrier ou fichiers personnels de l'appareil ;
- données biométriques ;
- données de santé.
L'Application peut solliciter l'accès :
- au microphone, uniquement lorsque l'utilisateur choisit d'utiliser la saisie vocale dans les fonctionnalités concernées ;
- à la caméra, uniquement pour permettre le scan de QR codes de parties multijoueur.
L'Application n'a pas pour finalité d'accéder à la photothèque de l'utilisateur ni de capter en continu du son ou de l'image en arrière-plan.
4. Données stockées localement sur l'appareil
Certaines données techniques ou de préférence peuvent être stockées localement sur l'appareil de l'utilisateur, notamment via les mécanismes de stockage local de l'Application, afin d'assurer son bon fonctionnement, la continuité de session et la personnalisation de l'expérience.
| Donnée | Finalité |
|---|---|
| Préférence de thème (clair / sombre / automatique) | Personnalisation de l'interface |
| Indicateur du mode invité | Mémorisation du choix de navigation sans compte |
| Indicateur de tutoriel complété | Éviter la ré-affichage du tutoriel d'accueil |
| Jeton de session / éléments techniques de persistance d'authentification | Maintien de la session entre les ouvertures de l'Application |
| Préférences techniques liées à certaines permissions ou usages locaux | Meilleure continuité d'expérience |
Ces données locales sont utilisées pour le fonctionnement de l'Application. Elles peuvent être supprimées lors de la désinstallation de l'Application ou lors d'une suppression des données locales par l'utilisateur ou par le système.
5. Sous-traitants et destinataires des données
Conformément à l'article 28 du RGPD, nous pouvons faire appel à des sous-traitants et prestataires techniques pour assurer le fonctionnement de l'Application, l'hébergement des données, certaines fonctionnalités d'authentification, les achats intégrés, la publicité récompensée, les notifications et certaines fonctionnalités de génération ou d'assistance conversationnelle. Des accords de traitement de données sont mis en place lorsque cela est requis.
5.1 Hébergement et infrastructure
| Sous-traitant | Données traitées | Finalité | Localisation |
|---|---|---|---|
| Supabase, Inc. | Données de compte, de profil, de jeu, de session, de contenu et autres données applicatives nécessaires au service | Backend, base de données, authentification, stockage de fichiers, fonctions serverless | Région du projet configurée par l'éditeur |
5.2 Authentification tierce
| Sous-traitant | Données traitées | Finalité |
|---|---|---|
| Google LLC (OAuth) | Adresse e-mail, identifiant Google et données strictement nécessaires à l'authentification | Authentification alternative via compte Google |
5.3 Achats intégrés et abonnements
| Sous-traitant | Données traitées | Finalité |
|---|---|---|
| RevenueCat, Inc. | Identifiant utilisateur, identifiant produit, dates d'achat/renouvellement/expiration, statut d'abonnement | Gestion des achats intégrés, validation des reçus, prévention de la fraude |
5.4 Publicité
| Sous-traitant | Données traitées | Finalité |
|---|---|---|
| Google LLC (AdMob) | Données nécessaires à l'affichage de publicités récompensées et à la vérification de certaines récompenses | Affichage de publicités récompensées, vérification côté serveur des récompenses, prévention de certains abus |
La collecte de données liée aux fonctionnalités publicitaires est soumise, lorsque la réglementation l'exige, à votre consentement préalable recueilli via la plateforme de gestion du consentement mise en œuvre dans l'Application.
5.5 Automatisation, orchestration et génération de contenu
| Sous-traitant | Données traitées | Finalité |
|---|---|---|
| n8n (instance hébergée) | Historique de conversation, contenus saisis par l'utilisateur, paramètres de génération, identifiants techniques utiles au traitement | Orchestration technique de certains flux, génération assistée de quiz, traitement de certaines interactions conversationnelles liées aux fonctionnalités de l'Application |
5.6 Notifications
| Sous-traitant | Données traitées | Finalité |
|---|---|---|
| Expo (EAS) | Jeton push, plateforme et données techniques nécessaires à l'acheminement | Acheminement des notifications push |
6. Transferts de données hors Union européenne
Certains de nos sous-traitants (RevenueCat, Google, Expo) sont établis aux États-Unis. Ces transferts sont encadrés par :
- le Data Privacy Framework (DPF) UE-États-Unis, pour les sous-traitants certifiés ;
- des clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914), intégrées aux accords de traitement de données.
Les données hébergées par Supabase sont stockées à Paris (UE) et ne font l'objet d'aucun transfert hors de l'Espace économique européen.
7. Durées de conservation
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte (e-mail, mot de passe, pseudonyme) | Jusqu'à la suppression du compte par l'utilisateur | Exécution du contrat |
| Données de profil | Jusqu'à la suppression du compte | Exécution du contrat |
| Historique de jeu (scores, réponses, classements) | Conservées sous forme anonymisée après suppression du compte | Intérêt légitime (intégrité des classements) |
| Quiz créés (contenu public) | Durée de publication du quiz ; quiz privés supprimés à la clôture du compte | Exécution du contrat |
| Données d'abonnement | Durée de la relation contractuelle + durée légale de conservation des factures (10 ans) | Obligation légale (art. L123-22 du Code de commerce) |
| Jetons de notification push | Jusqu'à la désinscription ou suppression du compte | Consentement |
| Transactions publicitaires | 1 an à compter de la transaction | Intérêt légitime (prévention de la fraude, déduplication) |
| Données locales (AsyncStorage) | Jusqu'à la désinstallation de l'Application | — |
| Journaux de connexion | 1 an | Obligation légale (art. 6 II de la LCEN) |
8. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD :
Mesures techniques
- Chiffrement des communications par protocole TLS (HTTPS)
- Hachage cryptographique des mots de passe (jamais stockés en clair)
- Authentification par flux PKCE (Proof Key for Code Exchange) pour les liens profonds OAuth
- Vérification cryptographique des récompenses publicitaires par signature ECDSA (courbe P-256)
- Gestion des sessions par jetons JWT avec expiration
- Politiques de sécurité au niveau des lignes (Row-Level Security) : chaque utilisateur ne peut accéder qu'à ses propres données
Mesures organisationnelles
- Clés sensibles (clé de service Supabase, secrets de webhook) stockées exclusivement côté serveur, jamais embarquées dans l'Application
- Principe du moindre privilège pour l'accès aux données
- Séparation des environnements (développement, pré-production, production)
9. Suppression du compte et droit à l'effacement
Conformément à l'article 17 du RGPD, vous pouvez demander la suppression de votre compte directement depuis l'Application (Menu > Compte utilisateur > Supprimer le compte). La suppression est traitée immédiatement et entraîne :
- Suppression définitive de vos quiz privés et de leurs images associées
- Anonymisation de votre profil (nom d'utilisateur remplacé par « utilisateur supprimé »)
- Suppression de votre compte d'authentification et de vos jetons de session
- Conservation anonymisée de vos données de participation historiques (scores, réponses), qui ne peuvent plus être rattachées à votre identité — nécessaire à l'intégrité des classements et statistiques agrégées
Les données soumises à des obligations légales de conservation (données de facturation, journaux de connexion) sont conservées conformément aux durées légales applicables, puis supprimées.
Vous pouvez également exercer ce droit par e-mail à l'adresse : dpo@kiwitt.fr
10. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Description | Modalité d'exercice |
|---|---|---|
| Accès (art. 15) | Obtenir la confirmation que vos données sont traitées et en recevoir une copie | E-mail ou formulaire in-app |
| Rectification (art. 16) | Corriger des données inexactes ou incomplètes | Directement dans l'Application (profil) ou par e-mail |
| Effacement (art. 17) | Demander la suppression de vos données | In-app (voir section 9) ou par e-mail |
| Limitation (art. 18) | Demander la suspension du traitement de vos données | Par e-mail |
| Portabilité (art. 20) | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine | Par e-mail |
| Opposition (art. 21) | Vous opposer au traitement fondé sur l'intérêt légitime | Par e-mail |
| Retrait du consentement (art. 7.3) | Retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur | In-app lorsque cela est possible, ou par e-mail |
Délai de réponse : vos demandes sont traitées dans un délai d'un mois à compter de leur réception. Ce délai peut être prolongé de deux mois en cas de complexité, auquel cas vous en serez informé.
Contact : dpo@kiwitt.fr
Réclamation : vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr/plaintes
- Par courrier : CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
11. Permissions de l'appareil
| Permission | Utilisation | Caractère |
|---|---|---|
| Caméra | Scanner des QR codes pour rejoindre des parties multijoueur | Facultative — demandée uniquement lors de l'accès à la fonctionnalité concernée |
| Microphone | Permettre à l'utilisateur d'enregistrer sa voix à la place d'une saisie clavier dans certaines fonctionnalités de l'Application, notamment lors du cadrage d'un quiz avant sa génération ou lors des échanges en cours de partie dans le mode KOISUIJ | Facultative — demandée uniquement lors de l'accès à la fonctionnalité concernée |
| Notifications | Recevoir des alertes sur les événements de jeu, récompenses et résultats | Facultative — consentement explicite requis |
Les permissions ne sont demandées qu'au moment où la fonctionnalité concernée est utilisée, et jamais de manière anticipée lors de l'installation ou du premier lancement de l'Application.
12. Gestion du consentement publicitaire
L'Application utilise la User Messaging Platform (UMP) de Google pour recueillir votre consentement concernant l'affichage de publicités, conformément au RGPD et au Digital Markets Act (Règlement (UE) 2022/1925).
- Le consentement est demandé avant toute collecte de données par les SDK publicitaires
- Vous pouvez modifier ou retirer votre consentement à tout moment depuis les paramètres de l'Application
- Le retrait du consentement est aussi simple que son octroi, conformément à l'article 7.3 du RGPD
- En l'absence de consentement, aucune publicité personnalisée n'est affichée
13. Protection des mineurs
L'Application n'est pas spécifiquement destinée aux enfants. Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés :
- Les utilisateurs de moins de 18 ans doivent obtenir le consentement d'un titulaire de l'autorité parentale avant toute inscription
- Les utilisateurs de moins de 15 ans ne sont pas autorisés à créer un compte
Si vous êtes parent ou tuteur et que vous estimez que votre enfant a créé un compte sans votre consentement, contactez-nous à contact@kiwitt.fr pour demander la suppression des données concernées.
14. Décision automatisée et profilage
L'Application n'effectue aucune prise de décision automatisée ni aucun profilage au sens de l'article 22 du RGPD ayant des effets juridiques ou significatifs sur les utilisateurs.
Certaines fonctionnalités de l'Application peuvent toutefois s'appuyer sur des traitements automatisés pour générer, structurer ou reformuler des contenus, notamment dans le cadre de la création de quiz ou des échanges conversationnels de certaines fonctionnalités. Ces traitements n'ont pas d'effet juridique ni d'effet significatif équivalent sur les utilisateurs.
15. Cookies et traceurs
L'Application mobile n'utilise pas de cookies au sens du navigateur web. Les données stockées localement (voir section 4) sont exclusivement des données de préférence, de session ou de fonctionnement technique, strictement nécessaires au fonctionnement de l'Application, et exemptées de consentement conformément aux règles applicables.
16. Modification de la présente politique
Toute modification substantielle de la présente politique sera portée à votre connaissance par notification in-app avant son entrée en vigueur. En cas de modification affectant les finalités de traitement ou introduisant de nouveaux destinataires, un nouveau consentement vous sera demandé lorsque la base légale applicable l'exige.
La version en vigueur est toujours accessible depuis les paramètres de l'Application.
17. Droit applicable et juridiction
La présente politique est régie par le droit français et le Règlement (UE) 2016/679 (RGPD). En cas de litige, et après tentative de résolution amiable, les tribunaux compétents sont ceux du ressort du siège social de l'éditeur.
18. Contact
Pour toute question relative à la protection de vos données personnelles :
E-mail : contact@kiwitt.fr