POLITIQUE DE CONFIDENTIALITÉ

Dernière mise à jour : 02/06/2026
Kambio protège vos données personnelles et votre vie privée conformément aux règles européennes et françaises les plus strictes en vigueur et applicables en la matière. En France, les données personnelles sont notamment protégées par la loi n° 78-17 du 6 janvier 1978, la loi n° 2004-801 du 6 août 2004, l’article L. 226-13 du Code pénal. Ces protections ont été renforcées et complétées par le règlement général de protection des données (RGPD), entré en application le 25 mai 2018 qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne.
La présente politique de confidentialité décrit comment Kambio (ci-après « nous ») collecte, utilise et protège les données personnelles des utilisateurs des applications Ma Petite Planète (ci-après « l’Application »).
Le responsable du traitement des données est :
  • Société : SASU Kambio
  • Adresse : 19 avenue Hoche, Paris, Ile-de-France 75008, France
  • Contact : christian@mapetiteplanete.org

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits conformément au RGPD, vous pouvez nous contacter à cette adresse.

1. Données collectées – Application Ma Petite Planète

Les données personnelles saisies par l’utilisateur lors de la création de son compte sur l’application Ma Petite Planète sont les suivantes : prénom, nom, adresse électronique, mot de passe, alias, pays, code postal, tranche d’âge

  • Prénom : information utilisée dans l’app (seuls les joueurs de la ligue peuvent le voir)
  • Nom : utilisé à titre informatif (peut faciliter la recherche d’une personne en cas de bug par exemple)
  • Adresse email : utilisé pour l’authentification, à titre informatif (pour les communications relatives au fonctionnement du service et, lorsque cela est applicable, pour l’envoi d’informations ou de newsletters sur la base de votre consentement)
  • Pseudo/Alias : information utilisée dans l’app et le classement général de l’édition
  • Tranche d’âge : utilisé pour des stats et une mention particulière pour les utilisateurs mineurs et de moins de 15 ans
  • Pays de résidence : utilisé pour des stats et la cartographie des joueurs
  • Code postal : utilisé pour des stats et la cartographie des joueurs

Les données de localisation (pays et code postal) sont utilisées à des fins statistiques et de visualisation agrégée des participants. Elles ne permettent pas de localiser précisément un utilisateur.

 

Des données personnelles facultatives peuvent aussi être renseignées/modifiées sur la page « mon compte » : image de profil, consentement pour recevoir les alertes concernant votre ligue, langue utilisée dans l’app.

  • Image de profil (facultatif) : information utilisée dans l’app, seul les joueurs de la ligue peuvent le voir
  • Secteur d’activité (facultatif et uniquement pour le grand public) : utilisé pour améliorer le contenu du jeu
  • Canal d’acquisition (facultatif et uniquement pour le grand public) : utilisé pour des stats et l’analyse interne
  • Consentement pour recevoir les alertes concernant votre ligue (facultatif)
  • Langue utilisée dans l’app : information utilisée dans l’app (par défaut, dans la langue du téléphone.)
  • Numéro de téléphone (uniquement pour les structures qui ont choisi de le demander et facultatif, et obligatoire si on veut jouer en ligue ouverte) : utilisé pour ajouter les personnes à la conversation de ligue par MPP ou les porteurs de projet

Opération Mission MPP en collaboration avec On est Prêt

Dans le cadre de l’opération Mission MPP menée en collaboration avec On est Prêt au cours de l’édition Hiver 2025, les utilisateurs participants à cette opération (via une invitation des créateurs de contenus partenaires, On est Prêt ou Ma Petite Planète) consentent expressément au partage de leurs mails à On est Prêt et acceptent d’être recontactés par On est Prêt dans le cadre de futures campagnes et événements portés par On est Prêt.

Ce partage repose exclusivement sur le consentement explicite des utilisateurs concernés et ne s’applique pas aux autres utilisateurs de l’Application.

 

2. Données liées au challenge

Des données personnelles liées au challenge sont également collectées : défis validés, ligues associées

  • Défis validés (titre, date) : information récupérée, utile pour le jeu et la production de statistiques. Un score est calculé à partir des défis validés. Ce score attribué aux participants dans l’application a exclusivement une finalité de gamification et de suivi de progression dans les défis proposés. Il est calculé de manière transparente sur la base des actions réalisées et des défis validés par l’utilisateur, selon des règles explicites accessibles dans l’application. Ce score est associé uniquement à un alias choisi par le participant et ne comporte aucune donnée directement identifiante (telle que nom, prénom ou adresse électronique) dans les classements visibles par les autres utilisateurs. Les classements affichés dans l’Application ne contiennent aucune donnée d’identité réelle (nom, prénom, email). Ils sont basés uniquement sur des pseudonymes et des informations de ligue. Il ne repose sur aucune analyse de personnalité, aucun suivi comportemental externe ni aucune évaluation individuelle au sens du profilage. En conséquence, ce mécanisme ne constitue pas une activité de profilage et n’est pas utilisé pour prendre des décisions automatisées produisant des effets juridiques ou des effets significatifs similaires à l’égard des participants. Le système est utilisé uniquement à des fins ludiques, de participation et d’animation communautaire.
  • Ligue associée (ambassadeur ou non, avec qui on joue, dans le cas d’une entreprise, le nom peut être ou non le nom de l’entreprise)

Les données collectées sont donc nécessaires pour :

  • Créer et gérer votre compte
  • Vous contacter suite à l’une de vos sollicitations ou dans le cadre de l’administration du site et des services proposés
  • Vous informer sur les services proposés sur le Site, notamment le classement général et les statistiques de l’édition
  • Envoyer des emails en lien avec le service proposé (vous pouvez vous désabonner à tout moment via le lien présent en bas de chaque email)
  • Identifier les utilisations abusives du Site

Anti-triche et sécurité

Les traitements mis en œuvre ne font l’objet d’aucune décision automatisée produisant des effets juridiques significatifs.
Un système automatisé de détection des comportements suspects (anti-triche) peut signaler des anomalies. Toutefois, toute décision de retrait du classement fait l’objet d’une vérification humaine.

L’utilisateur peut contester toute décision en contactant christian@mapetiteplanete.org.

 

Types de données traitées

Dans le cadre de l’utilisation de l’Application, les données suivantes peuvent être traitées :

  • Données de compte : adresse e-mail, identifiant, [nom d’utilisateur, etc.].
  • Données d’usage : progression dans les défis, contributions aux objectifs, [autres données applicatives].
  • Données de santé et de fitness : nombre de pas (step count), lorsque vous activez cette fonctionnalité (voir la section 3)

Ces données sont strictement limitées à ce qui est nécessaire au fonctionnement du service.

3. Données de comptage de pas (données de santé)

Cette section décrit spécifiquement notre utilisation des données de santé et de fitness, conformément aux exigences de Google Play et de Health Connect.
Dans la grande majorité des cas, aucune donnée de santé n’est collectée ni traitée par l’Application.
Dans le cadre des défis « compteur de pas » du challenge Ma Petite Planète, nous proposons aux utilisateurs la possibilité — avec leur consentement explicite — de collecter le nombre de pas enregistré par leur téléphone. Ces données sont classifiées comme données de santé au sens de la réglementation applicable en matière de protection des données.
Donnée accédée : nombre de pas (step count).
Source : ces données sont lues via Health Connect (Android), et Apple Health (iOS). L’accès à ces données n’est possible qu’après autorisation explicite de l’utilisateur dans l’Application.
Finalité : le nombre de pas est utilisé dans le cadre d’une fonctionnalité optionnelle de défis collectifs sur le thème de l’écologie. Vos pas contribuent automatiquement à un objectif de groupe, vous évitant d’avoir à les saisir manuellement. Cette fonctionnalité est strictement optionnelle et n’est pas requise pour utiliser l’Application.


Mode de collecte : Les données de pas sont accessibles via la plateforme de santé dédiée de votre appareil — Google Health Connect sur Android, ou Apple Santé sur iOS. L’application demande l’accès uniquement lorsque vous choisissez de participer à un défi compteur de pas, et uniquement après que vous ayez accordé votre autorisation explicite.
Traitement et transit : lorsque vous participez à un défi collectif, votre nombre de pas est transmis de manière sécurisée à nos serveurs afin de calculer le total agrégé du groupe.
Partage : Les données de pas individuelles ne sont jamais visibles par d’autres utilisateurs. Aucun utilisateur ne peut accéder aux pas d’un autre utilisateur. Seuls des résultats agrégés et anonymisés au niveau de la ligue peuvent être affichés dans l’Application. Kambio ne partage aucune donnée de santé avec des annonceurs, régies publicitaires, courtiers en données (“data brokers”) ou partenaires marketing.Vos données de santé et de fitness ne sont en aucun cas utilisées à des fins :

  • de publicité ou de marketing ;
  • de détermination d’éligibilité à un emploi ;
  • de détermination d’éligibilité à une assurance ;
  • de partage social non autorisé.


Utilisation : Ces données sont utilisées exclusivement pour afficher votre progression personnelle et la progression collective de votre ligue dans le cadre du défi. Elles ne sont utilisées à aucune autre fin.


Conservation : Les données de pas sont supprimées quand le consentement explicite des données n’est pas renouvelé ou sur demande.


Révocation du consentement : Vous pouvez retirer votre consentement à tout moment en révoquant l’accès de l’application aux données de santé dans les paramètres de votre appareil (Google Health Connect ou Apple Santé), ou en nous contactant à l’adresse christian@mapetiteplanete.org. Une fois le consentement retiré, l’Application cesse immédiatement tout accès aux données de pas. Aucune nouvelle collecte n’est effectuée après révocation. Vous pouvez contribuer au challenge collectif de manière manuelle.

Données sensibles : Les données de santé et de fitness ne sont traitées que dans le cadre strict de la fonctionnalité de comptage de pas et uniquement sur la base du consentement explicite de l’utilisateur.

Garantie de non utilisation commerciale : Les données de santé collectées ne sont jamais utilisées à des fins commerciales indirectes, d’analyse comportementale externe ou de monétisation.

 

Utilisation interdite :
Les données de santé et de fitness ne sont en aucun cas utilisées pour :
  • la publicité ;
  • le marketing ;
  • le profilage publicitaire ;
  • la revente de données ;
  • l’évaluation d’emploi ;
  • l’évaluation d’assurance ;
  • toute prise de décision automatisée à impact significatif ;
  • toute utilisation externe au fonctionnement de l’Application.

4. Gestion et utilisation des données personnelles

Kambio protège vos données personnelles et votre vie privée conformément aux règles européennes et françaises les plus strictes en vigueur et applicables en la matière. En France, les données personnelles sont notamment protégées par la loi n° 78-17 du 6 janvier 1978, la loi n° 2004-801 du 6 août 2004, l’article L. 226-13 du Code pénal. Ces protections ont été renforcées et complétées par le règlement général de protection des données (RGPD), entré en application le 25 mai 2018 qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne.

Le responsable du traitement des données personnelles collectées dans le cadre des services Kambio est la structure Kambio.
Pour toute question relative à la protection des données personnelles ou pour exercer vos droits, vous pouvez contacter le DPO (Délégué à la Protection des Données) : Christian Nallatamby – christian@mapetiteplanete.org.

Les données collectées sont conservées pendant la durée nécessaire à la fourniture du service et à la gestion du compte utilisateur.

Elles peuvent ensuite être archivées ou supprimées conformément aux obligations légales applicables. En l’absence d’activité prolongée, certaines données peuvent être supprimées après une durée maximale de cinq (5) ans.

Les traitements de données personnelles mis en œuvre par Kambio reposent principalement sur l’exécution du contrat liant l’utilisateur à Ma Petite Planète (article 6.1.b du RGPD), nécessaire à la fourniture du service (création et gestion du compte, participation au challenge, classement, communication interne).
Certains traitements peuvent également reposer sur le respect d’obligations légales ou, le cas échéant, sur le consentement explicite de l’utilisateur lorsqu’il est requis.

5. Hébergement et sous-traitants

Les données personnelles sont hébergées exclusivement au sein de l’Union européenne.

Kambio fait appel aux sous-traitants suivants :
Supabase : hébergement de la base de données et infrastructure technique (serveurs situés dans l’Union européenne). Supabase s’appuie sur des standards de sécurité reconnus incluant la conformité RGPD, la certification SOC 2 Type II et des infrastructures certifiées ISO 27001.
OVHcloud : hébergement de la webapp (serveurs situés dans l’Union européenne).
Apple App Store et Google Play Store : distribution de l’application mobile (ces plateformes agissent en tant que responsables de traitement indépendants pour les données qu’elles collectent directement dans le cadre de leurs services et selon leurs propres politiques de confidentialité).

Ces prestataires sont tenus contractuellement de protéger vos données et de ne les traiter que selon nos instructions. Vos droits Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

  • droit d’accès à vos données ;
  • droit de rectification ;
  • droit à l’effacement (« droit à l’oubli ») ;
  • droit à la portabilité ;
  • droit d’opposition et de limitation du traitement ;
  • droit de retirer votre consentement à tout moment.

Pour exercer ces droits, contactez-nous à : christian@mapetiteplanete.org
Vous disposez également du droit d’introduire une réclamation auprès de la CNIL (www.cnil.fr).

6. Sécurité des données

Kambio met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité et l’intégrité des données personnelles, notamment :

  • Hébergement sécurisé au sein de l’Union européenne
  • Chiffrement des données en transit via protocole HTTPS/TLS
  • Chiffrement des données au repos
  • Mots de passe protégés par des mécanismes de hachage sécurisés
  • Sauvegardes régulières des bases de données
  • Gestion interne des accès aux environnements de production
  • Surveillance continue des vulnérabilités par notre prestataire d’hébergement (Supabase)
  • Règles de sécurité sur l’ensemble des tables de notre base de données (Row Level Security – RLS lorsque applicable)
  • Tests des développements en environnement de préproduction (staging) avant déploiement en production.

Tous les comptes administrateurs sont protégés par une authentification multifacteur (2FA). Les accès aux données sont strictement limités selon le principe du moindre privilège et attribués uniquement aux personnes habilitées.

Les environnements de production, de test et de développement sont strictement séparés afin de limiter les risques d’exposition des données.

En cas de violation de données personnelles, Kambio dispose d’une procédure de gestion des incidents. Elle est alertée par son prestataire technique et procède à une analyse de la situation. Lorsque la réglementation l’exige, l’autorité compétente et les personnes concernées sont notifiées dans les délais légaux.

7. Droits des utilisateurs

En application de la loi » Informatique et Libertés » du 6 janvier 1978 modifiée, les participants disposent d’un droit d’accès, de modification, de rectification et de suppression des données les concernant auprès de l’Organisateur de ce jeu. Pour cela, il suffit d’envoyer un email à christian@mapetiteplanete.org en précisant votre demande.

Conformément au RGPD, vous disposez également :

  • Du droit à la limitation du traitement dans les cas prévus par l’article 18 du RGPD ;
  • Du droit d’opposition lorsque le traitement repose sur l’intérêt légitime ;
  • Du droit à la portabilité des données lorsque le traitement repose sur le contrat ou le consentement ;
  • Du droit d’introduire une réclamation auprès de la CNIL (www.cnil.fr).

Exactitude et mise à jour des données

Kambio met en œuvre des mesures raisonnables afin de garantir que les données personnelles soient exactes et, lorsque cela est nécessaire, tenues à jour.

Les utilisateurs peuvent modifier certaines informations directement depuis leur espace personnel. En complément, toute demande de rectification peut être adressée à l’adresse indiquée ci-dessus.

Les demandes d’exercice des droits sont traitées dans un délai maximal d’un mois, conformément à l’article 12 du RGPD.

Communication aux sous-traitants

Lorsque des données personnelles ont été transmises à des sous-traitants, toute demande de rectification, suppression ou limitation du traitement est mise en œuvre auprès de ces derniers lorsque cela est applicable.

Kambio déclenche directement les opérations nécessaires auprès de son prestataire d’hébergement et obtient confirmation de la prise en compte de la demande.

Accessibilité de la politique de confidentialité

La présente politique de confidentialité est accessible :

  • Depuis le site internet de Ma Petite Planète, notamment via le pied de page ;
  • Avant la création d’un compte, via un lien direct figurant sur l’écran d’inscription ;
  • En version adaptée aux supports mobiles.

Elle est rédigée de manière claire, compréhensible et aisément accessible, conformément à l’article 12 du RGPD.

Les utilisateurs sont informés des traitements de leurs données personnelles et de leurs droits au moment de la collecte des données, ou au plus tard lors de la création de leur compte.

Aucune information personnelle de l’utilisateur du site Ma Petite Planète n’est publiée à l’insu de l’utilisateur, échangée, transférée, cédée ou vendue sur un support quelconque à des tiers, sans l’accord explicite de celui-ci.

Le site n’est pas déclaré à la CNIL car il n’exploite pas les données personnelles comme indiqué sur cette page.

Conformément au RGPD, aucune déclaration préalable à la CNIL n’est requise. Kambio tient un registre interne des activités de traitement conformément à l’article 30 du RGPD.

Les bases de données sont protégées par les dispositions de la loi du 1er juillet 1998 transposant la directive 96/9 du 11 mars 1996 relative à la protection juridique des bases de données.