Politique de confidentialité

Version 1.0 (démo) — Dernière mise à jour : 9 juillet 2026

Version provisoire — Ce document est une version de travail destinée à être validée par un cabinet d'avocats.

La présente Politique de Confidentialité décrit comment NewsPass collecte, utilise, conserve et protège les données personnelles des utilisateurs du Service, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via le Service est :

NewsPass n'a pas désigné de Délégué à la Protection des Données (DPO), cette désignation n'étant pas obligatoire au regard de l'article 37 du RGPD compte tenu de la nature et de l'étendue actuelles des traitements. Toute question relative à la protection des données personnelles peut être adressée à : support@newspass.fr.

2. Données collectées et finalités

2.1 Données fournies directement par l'Utilisateur

Donnée Finalité Base légale Conservation
Adresse email Création et gestion du compte, authentification, communications transactionnelles, newsletter (si opt-in) Exécution du contrat (art. 6.1.b) ; consentement (art. 6.1.a) pour la newsletter 3 ans depuis la dernière connexion
Mot de passe (haché) Authentification Exécution du contrat Tant que le compte est actif
Préférences (consentements marketing, profilage) Respect des choix de l'Utilisateur Consentement Jusqu'à modification ou suppression du compte

2.2 Données collectées automatiquement

Donnée Finalité Base légale Conservation
Adresse IP, user-agent Sécurité, prévention de la fraude, journalisation technique Intérêt légitime — art. 6.1.f 12 mois
Identifiants de session (cookie newspass_session) Maintien de la session authentifiée Exécution du contrat Durée de session (max 30 j)
Logs d'erreur applicatifs Diagnostic, amélioration du Service Intérêt légitime 12 mois

2.3 Données liées aux transactions

Donnée Finalité Base légale Conservation
Historique des achats (Packs, Abonnement) Exécution du contrat, facturation Exécution du contrat ; obligation légale (art. L. 123-22 C. com.) 10 ans
Identifiant client Stripe (cus_…) Gestion de l'Abonnement Exécution du contrat Compte actif + 3 ans
Données complètes de carte bancaire Non collectées par NewsPass. Traitées exclusivement par Stripe (cf. §5)

2.4 Données liées à l'utilisation du Service

Donnée Finalité Base légale Conservation
Articles débloqués (id, date, coût en Crédits, journal) Lecture, historique pour l'Utilisateur, comptabilité partenaires Exécution du contrat 3 ans depuis la dernière connexion
Solde et transactions de Crédits Gestion du portefeuille Exécution du contrat 10 ans (cohérence comptable)

2.5 Empreintes pseudonymisées (« reader hashes »)

Pour permettre aux Partenaires de reconnaître leurs propres abonnés directs lors de la consultation du Service, NewsPass calcule, pour chaque Utilisateur et chaque Partenaire, une empreinte cryptographique (HMAC-SHA-256) de l'adresse email de l'Utilisateur, à l'aide d'un secret partagé propre à chaque Partenaire.

Cette empreinte :

  • est une donnée personnelle pseudonymisée au sens de l'article 4.5 du RGPD ;
  • ne permet pas, à elle seule, de retrouver l'adresse email d'origine sans la connaissance du secret partagé ;
  • est échangée avec le Partenaire uniquement lorsqu'il sollicite une vérification d'abonnement direct ;
  • n'est jamais accompagnée de l'adresse email en clair.

Finalité : permettre à l'Utilisateur, lorsqu'il est déjà abonné direct chez un Partenaire, d'accéder à l'Article sans consommer de Crédits.

Base légale : intérêt légitime (art. 6.1.f RGPD) — fluidité de l'expérience utilisateur et juste rémunération des Partenaires. Cet intérêt légitime a fait l'objet d'une analyse de balance avec les droits des Utilisateurs : l'absence d'identification directe possible côté Partenaire (sans le secret), l'absence de transmission d'email en clair, et le bénéfice direct pour l'Utilisateur (gratuité chez son journal d'abonnement) justifient le recours à cette base légale.

Durée de conservation : tant que le compte est actif et que le partenariat avec le Partenaire est en vigueur.

3. Cookies et traceurs

NewsPass utilise un nombre minimal de cookies, listés ci-dessous :

Cookie Finalité Type Durée Consentement
newspass_session Session authentifiée Strictement nécessaire 30 jours (sliding) Non (exempté)

NewsPass n'utilise pas de cookies tiers à des fins publicitaires, de mesure d'audience non exemptée ou de profilage. Aucun outil de tracking analytique externe (Google Analytics, etc.) n'est déployé à la date des présentes.

Si un outil de mesure d'audience était introduit ultérieurement, il s'agirait soit d'un outil exempté de consentement (configuration anonymisée selon les recommandations CNIL), soit son activation serait conditionnée à votre consentement explicite via une bannière dédiée.

4. Destinataires des données

Vos données personnelles sont destinées :

4.1 Aux services internes de NewsPass

Personnel autorisé en charge de l'exploitation du Service, du support client, de la facturation et de la sécurité, dans la limite stricte du besoin d'en connaître.

4.2 Aux sous-traitants

Conformément à l'article 28 du RGPD, NewsPass fait appel à des sous-traitants liés par des engagements contractuels assurant un niveau de protection conforme au RGPD :

Sous-traitant Rôle Données traitées Localisation
OVH SAS Hébergeur du Service et de la base de données Ensemble des données France (UE)
Stripe Payments Europe Ltd Prestataire de paiement Email, données de carte bancaire (collectées par Stripe), nom de facturation Irlande (UE) — transferts USA encadrés (cf. §6)
Brevo (Sendinblue SAS) Envoi des emails transactionnels Email, contenu de l'email France (UE)

NewsPass tient à jour la liste de ses sous-traitants. Toute modification substantielle est communiquée aux Utilisateurs.

4.3 Aux Partenaires éditeurs

Voir §2.5 pour les empreintes pseudonymisées. Aucune autre donnée personnelle n'est transmise aux Partenaires. En particulier, l'adresse email, le nom, et l'historique de lectures détaillé ne sont jamais communiqués aux Partenaires.

À titre de statistiques agrégées, NewsPass communique aux Partenaires des données non-personnelles (volume de déblocages, revenus reversés, etc.).

4.4 Aux autorités compétentes

Sur réquisition judiciaire ou administrative valide, NewsPass peut être amené à transmettre certaines données aux autorités compétentes, dans les limites strictes prévues par la loi.

5. Paiement et Stripe

Les paiements sont traités exclusivement par Stripe Payments Europe Ltd, prestataire conforme aux normes PCI-DSS niveau 1.

NewsPass ne collecte ni ne stocke les numéros de carte bancaire complets. Stripe agit en tant que responsable de traitement autonome pour la lutte anti-fraude et en tant que sous-traitant de NewsPass pour le traitement de la transaction.

La politique de confidentialité de Stripe est accessible à : stripe.com/fr/privacy.

6. Transferts de données hors Union européenne

Les données personnelles traitées par NewsPass sont principalement hébergées et traitées au sein de l'Union européenne (France pour OVH, Irlande pour Stripe).

Certains traitements techniques de Stripe (notamment la prévention de la fraude au niveau global) peuvent impliquer un transfert vers les États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne et, le cas échéant, par le Data Privacy Framework approuvé par la décision d'adéquation de la Commission européenne du 10 juillet 2023.

NewsPass n'effectue aucun transfert volontaire de données vers un pays tiers ne disposant pas d'un niveau de protection adéquat.

7. Sécurité

NewsPass met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement en transit : connexions HTTPS/TLS 1.2+ obligatoires pour toutes les communications.
  • Chiffrement au repos : base de données hébergée dans une infrastructure sécurisée (OVH).
  • Mots de passe : stockage sous forme hachée (bcrypt avec salt) ; vérification systématique contre les bases de mots de passe compromis (HaveIBeenPwned k-anonymity).
  • Cloisonnement : accès interne aux données personnelles strictement limité au personnel autorisé.
  • Journalisation : conservation des logs techniques pour détecter et investiguer les incidents.
  • Limitation des accès tiers : aucun accès direct des Partenaires aux bases de données NewsPass.

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, NewsPass notifiera la CNIL dans les 72 heures et, si nécessaire, vous en informera personnellement, conformément aux articles 33 et 34 du RGPD.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

8.1 Droit d'accès (art. 15)

Vous pouvez obtenir confirmation que des données vous concernant sont traitées et en obtenir une copie.

8.2 Droit de rectification (art. 16)

Vous pouvez demander la correction des données inexactes ou incomplètes vous concernant.

8.3 Droit à l'effacement (art. 17)

Vous pouvez demander l'effacement de vos données dans les cas prévus par le RGPD, notamment lorsqu'elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou lorsque vous retirez votre consentement.

Cette demande peut être limitée par les obligations légales pesant sur NewsPass (notamment la conservation des factures pendant 10 ans).

8.4 Droit à la limitation du traitement (art. 18)

Vous pouvez demander la suspension temporaire du traitement de vos données dans certaines situations.

8.5 Droit à la portabilité (art. 20)

Vous pouvez recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.

8.6 Droit d'opposition (art. 21)

Vous pouvez vous opposer, à tout moment et pour des raisons tenant à votre situation particulière, au traitement de vos données fondé sur l'intérêt légitime. Vous pouvez également vous opposer sans motif au traitement à des fins de prospection commerciale.

8.7 Droit de retrait du consentement

Lorsque le traitement repose sur votre consentement (newsletter, par exemple), vous pouvez le retirer à tout moment. Le retrait n'affecte pas la licéité des traitements effectués avant le retrait.

8.8 Directives post-mortem

Conformément à l'article 85 de la loi Informatique et Libertés, vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

8.9 Modalités d'exercice

Vous pouvez exercer ces droits :

  • en contactant support@newspass.fr, en précisant votre demande et en justifiant de votre identité si nécessaire (en cas de doute raisonnable sur l'identité du demandeur).

NewsPass s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande, susceptible d'être prolongé de deux (2) mois supplémentaires en cas de complexité, conformément à l'article 12.3 du RGPD.

8.10 Droit d'introduire une réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données ne respecte pas le RGPD, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • CNIL — 3 Place de Fontenoy, TSA 80715 — 75334 PARIS CEDEX 07
  • Téléphone : 01 53 73 22 22
  • Site : cnil.fr/fr/plaintes

9. Mineurs

Le Service est interdit aux personnes de moins de seize (16) ans. NewsPass ne collecte pas sciemment de données personnelles concernant des mineurs de moins de 16 ans. Si un parent ou tuteur a connaissance qu'un mineur de moins de 16 ans a fourni des données via le Service, il est invité à contacter support@newspass.fr pour demander leur effacement immédiat.

Pour les mineurs entre 16 et 18 ans, l'utilisation du Service implique une autorisation préalable du représentant légal.

10. Conservation des données

Les durées de conservation détaillées par catégorie de donnée sont indiquées au §2 de la présente Politique. À titre récapitulatif :

Catégorie Durée de conservation
Données de compte (email, mot de passe haché) 3 ans depuis la dernière connexion, puis effacement automatique
Données de connexion (logs techniques, IP) 12 mois
Données de transaction (factures, historique) 10 ans (obligation comptable — art. L. 123-22 C. com.)
Empreintes pseudonymisées (reader hashes) Tant que le compte est actif et le partenariat en vigueur
Cookies de session Maximum 30 jours (sliding)

À l'issue de ces durées, les données sont soit effacées définitivement, soit anonymisées de manière irréversible à des fins statistiques.

11. Modifications de la Politique de Confidentialité

NewsPass se réserve le droit de modifier la présente Politique. Toute modification substantielle sera notifiée aux Utilisateurs par email au moins trente (30) jours avant son entrée en vigueur. La version applicable à un instant donné est celle accessible sur le Service à cette date, et la date de mise à jour est indiquée en tête du document.

12. Contact

Pour toute question relative à la présente Politique ou à l'exercice de vos droits :

← Retour à l'accueil