Politique de confidentialité
Dernière mise à jour : 7 avril 2026
1. Responsable du traitement
Le site Factae (www.factae.eu) est édité par l'équipe Factae. Pour toute question relative à vos données personnelles, contactez-nous via la page Contact du site.
2. Données collectées
Nous collectons les données suivantes : • Formulaire de contact : nom, email, sujet, message, adresse IP • Compte utilisateur (inscription désactivée actuellement) : email, mot de passe hashé • Navigation : pages visitées, durée, appareil (via Umami self-hosted, voir section 5) • Cookies techniques : authentification (JWT), préférences (langue, thème)
3. Finalité du traitement
Les données sont utilisées pour : • Répondre à vos messages de contact • Gérer votre compte utilisateur (quand l'inscription sera active) • Analyser la fréquentation du site pour l'améliorer • Assurer la sécurité du site (rate limiting, détection d'intrusions) Aucune donnée n'est vendue, louée ou transmise à des tiers à des fins commerciales.
4. Base légale
• Intérêt légitime : pour la sécurité du site, les statistiques internes (Umami) et la mesure d'audience anonymisée • Exécution contractuelle : pour la gestion de votre compte • Obligation légale : conservation des logs de connexion (LCEN)
5. Mesure d'audience (Umami self-hosted)
Nous utilisons Umami Analytics, un outil open source self-hosted (hébergé sur notre serveur Scaleway en France), pour analyser la fréquentation du site. Caractéristiques importantes : • Aucun cookie tiers, aucun cookie de tracking • Aucune donnée personnelle (pas de fingerprint, pas d'ID utilisateur) • Aucun transfert vers des tiers (Google, Meta, etc.) • Conforme RGPD natif, pas de consentement requis Données collectées (anonymes) : • Pages visitées et durée de consultation • Type d'appareil et navigateur • Pays approximatif (par IP, non stockée) • Source de trafic (referer) L'IP des visiteurs n'est jamais stockée — elle sert uniquement à dériver le pays puis est immédiatement effacée. Durée de conservation Umami : 30 jours pour les événements détaillés, indéfiniment pour les agrégats statistiques anonymes. Le code source d'Umami est public : https://github.com/umami-software/umami
6. Cookies
Cookies techniques (strictement nécessaires, pas de consentement requis) : • access_token / refresh_token : authentification (httpOnly, sameSite lax) • Préférences : langue (FR/EN), thème (clair/sombre) Aucun cookie analytique : nous utilisons Umami self-hosted qui ne pose AUCUN cookie. La mesure d'audience est totalement anonyme.
7. Durée de conservation
• Messages de contact : conservés tant que nécessaire pour traiter la demande, supprimables par l'administrateur • Comptes utilisateurs : conservés tant que le compte est actif, supprimés sur demande • Logs de sécurité : 12 mois • Cookies analytiques : 14 mois (Google Analytics) • Cookies d'authentification : access token 15 minutes, refresh token 7 jours
8. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants : • Droit d'accès : obtenir une copie de vos données personnelles • Droit de rectification : corriger des données inexactes • Droit à l'effacement : demander la suppression de vos données • Droit à la portabilité : recevoir vos données dans un format structuré • Droit d'opposition : vous opposer au traitement de vos données • Droit de limitation : restreindre le traitement de vos données Self-service disponible depuis la page Préférences (compte connecté) : • Bouton « Télécharger mes données » : export JSON immédiat (art. 20) • Bouton « Supprimer mon compte » : effacement immédiat après confirmation par mot de passe (art. 17) Pour les autres droits (rectification, opposition, limitation) ou si vous ne parvenez pas à vous connecter, contactez-nous via la page Contact. Nous répondrons dans un délai de 30 jours. Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr
9. Sécurité
Nous mettons en œuvre les mesures de sécurité suivantes : • Chiffrement HTTPS sur toutes les pages (TLS 1.2/1.3) • Mots de passe hashés avec bcrypt (jamais stockés en clair) • Cookies httpOnly et sameSite pour prévenir les attaques XSS/CSRF • Rate limiting pour prévenir les abus • Pare-feu (UFW) et protection DDoS (Cloudflare) • Accès serveur restreint par clé SSH uniquement
10. Sous-traitants
Factae recourt aux sous-traitants suivants, tous conformes RGPD : • Scaleway SAS (France) — hébergement (serveurs à Paris) • Google LLC (USA) — Google Analytics pour mesure d'audience anonymisée (Data Privacy Framework UE-US) • Cloudflare Inc. (USA) — CDN et protection DDoS • Anthropic PBC (USA) — synthèse IA des articles via l'API Claude Haiku. Seuls les contenus RSS publics d'articles de presse sont transmis (titre, résumé, URL). Aucune donnée personnelle d'utilisateur Factae n'est transmise à Anthropic. Data Privacy Framework UE-US. • ipwho.is (service de géolocalisation IP, USA) — utilisé côté serveur pour associer un pays/ville approximatif à une adresse IP dans les logs d'administration (statistiques anti-abus). Aucun cookie n'est déposé côté utilisateur. Seule l'adresse IP est transmise, sans autre donnée personnelle. Liste tenue à jour : consultable à tout moment sur cette page.
11. Transferts internationaux
Les données analytiques et CDN sont traitées par Google LLC et Cloudflare Inc. (États-Unis) dans le cadre du Data Privacy Framework UE-US. Les données de contact et de compte sont hébergées en France (Scaleway, Paris). La synthèse IA (Anthropic) traite uniquement des contenus publics d'articles, pas de données personnelles utilisateurs.
12. Indexation par les moteurs IA
Factae autorise l'indexation par les principaux moteurs IA conversationnels (ChatGPT, Claude, Perplexity, Google Gemini, etc.). Ces bots peuvent référencer Factae comme source dans leurs réponses aux utilisateurs, générant ainsi du trafic vers nos articles. Bots autorisés : Googlebot, GPTBot, ChatGPT-User, OAI-SearchBot, ClaudeBot, anthropic-ai, PerplexityBot, cohere-ai, Applebot-Extended, Google-Extended, Meta-ExternalAgent. Bots bloqués (nginx + robots.txt) : Bing, DuckDuckGo, Yandex, Baidu, Facebook/Twitter/LinkedIn previews, scrapers SEO (Ahrefs, SEMrush, MJ12), training-only sans referral (CCBot, Bytespider, Amazonbot). Note 1 : nous nous reservons le droit de revoir cette politique a tout moment, conformement a l'AI Act (UE 2024/1689) et a la directive (UE) 2019/790 (opt-out art. 4.3 utilisable si necessaire). Note 2 : Factae utilise l'API Anthropic pour synthétiser les articles, mais Anthropic s'engage contractuellement à ne pas utiliser les données des appels API payants pour entraîner ses modèles.
13. Modification
Nous nous réservons le droit de modifier cette politique à tout moment. La date de mise à jour en haut de page fait foi. En cas de modification substantielle, un avis sera affiché sur le site.