Politique de confidentialité
Version 1.0 (démo) — Dernière mise à jour : 9 juillet 2026
La présente Politique de Confidentialité décrit comment NewsPass collecte, utilise, conserve et protège les données personnelles des utilisateurs du Service, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le Service est :
- , éditeur du service NewsPass
- Adresse :
- Contact : formulaire de contact
NewsPass n'a pas désigné de Délégué à la Protection des Données (DPO), cette désignation n'étant pas obligatoire au regard de l'article 37 du RGPD compte tenu de la nature et de l'étendue actuelles des traitements. Toute question relative à la protection des données personnelles peut être adressée à : support@newspass.fr.
2. Données collectées et finalités
2.1 Données fournies directement par l'Utilisateur
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Adresse email | Création et gestion du compte, authentification, communications transactionnelles, newsletter (si opt-in) | Exécution du contrat (art. 6.1.b) ; consentement (art. 6.1.a) pour la newsletter | 3 ans depuis la dernière connexion |
| Mot de passe (haché) | Authentification | Exécution du contrat | Tant que le compte est actif |
| Préférences (consentements marketing, profilage) | Respect des choix de l'Utilisateur | Consentement | Jusqu'à modification ou suppression du compte |
2.2 Données collectées automatiquement
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Adresse IP, user-agent | Sécurité, prévention de la fraude, journalisation technique | Intérêt légitime — art. 6.1.f | 12 mois |
Identifiants de session (cookie newspass_session) |
Maintien de la session authentifiée | Exécution du contrat | Durée de session (max 30 j) |
| Logs d'erreur applicatifs | Diagnostic, amélioration du Service | Intérêt légitime | 12 mois |
2.3 Données liées aux transactions
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Historique des achats (Packs, Abonnement) | Exécution du contrat, facturation | Exécution du contrat ; obligation légale (art. L. 123-22 C. com.) | 10 ans |
Identifiant client Stripe (cus_…) |
Gestion de l'Abonnement | Exécution du contrat | Compte actif + 3 ans |
| Données complètes de carte bancaire | Non collectées par NewsPass. Traitées exclusivement par Stripe (cf. §5) | — | — |
2.4 Données liées à l'utilisation du Service
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Articles débloqués (id, date, coût en Crédits, journal) | Lecture, historique pour l'Utilisateur, comptabilité partenaires | Exécution du contrat | 3 ans depuis la dernière connexion |
| Solde et transactions de Crédits | Gestion du portefeuille | Exécution du contrat | 10 ans (cohérence comptable) |
2.5 Empreintes pseudonymisées (« reader hashes »)
Pour permettre aux Partenaires de reconnaître leurs propres abonnés directs lors de la consultation du Service, NewsPass calcule, pour chaque Utilisateur et chaque Partenaire, une empreinte cryptographique (HMAC-SHA-256) de l'adresse email de l'Utilisateur, à l'aide d'un secret partagé propre à chaque Partenaire.
Cette empreinte :
- est une donnée personnelle pseudonymisée au sens de l'article 4.5 du RGPD ;
- ne permet pas, à elle seule, de retrouver l'adresse email d'origine sans la connaissance du secret partagé ;
- est échangée avec le Partenaire uniquement lorsqu'il sollicite une vérification d'abonnement direct ;
- n'est jamais accompagnée de l'adresse email en clair.
Finalité : permettre à l'Utilisateur, lorsqu'il est déjà abonné direct chez un Partenaire, d'accéder à l'Article sans consommer de Crédits.
Base légale : intérêt légitime (art. 6.1.f RGPD) — fluidité de l'expérience utilisateur et juste rémunération des Partenaires. Cet intérêt légitime a fait l'objet d'une analyse de balance avec les droits des Utilisateurs : l'absence d'identification directe possible côté Partenaire (sans le secret), l'absence de transmission d'email en clair, et le bénéfice direct pour l'Utilisateur (gratuité chez son journal d'abonnement) justifient le recours à cette base légale.
Durée de conservation : tant que le compte est actif et que le partenariat avec le Partenaire est en vigueur.
3. Cookies et traceurs
NewsPass utilise un nombre minimal de cookies, listés ci-dessous :
| Cookie | Finalité | Type | Durée | Consentement |
|---|---|---|---|---|
newspass_session |
Session authentifiée | Strictement nécessaire | 30 jours (sliding) | Non (exempté) |
NewsPass n'utilise pas de cookies tiers à des fins publicitaires, de mesure d'audience non exemptée ou de profilage. Aucun outil de tracking analytique externe (Google Analytics, etc.) n'est déployé à la date des présentes.
Si un outil de mesure d'audience était introduit ultérieurement, il s'agirait soit d'un outil exempté de consentement (configuration anonymisée selon les recommandations CNIL), soit son activation serait conditionnée à votre consentement explicite via une bannière dédiée.
4. Destinataires des données
Vos données personnelles sont destinées :
4.1 Aux services internes de NewsPass
Personnel autorisé en charge de l'exploitation du Service, du support client, de la facturation et de la sécurité, dans la limite stricte du besoin d'en connaître.
4.2 Aux sous-traitants
Conformément à l'article 28 du RGPD, NewsPass fait appel à des sous-traitants liés par des engagements contractuels assurant un niveau de protection conforme au RGPD :
| Sous-traitant | Rôle | Données traitées | Localisation |
|---|---|---|---|
| OVH SAS | Hébergeur du Service et de la base de données | Ensemble des données | France (UE) |
| Stripe Payments Europe Ltd | Prestataire de paiement | Email, données de carte bancaire (collectées par Stripe), nom de facturation | Irlande (UE) — transferts USA encadrés (cf. §6) |
| Brevo (Sendinblue SAS) | Envoi des emails transactionnels | Email, contenu de l'email | France (UE) |
NewsPass tient à jour la liste de ses sous-traitants. Toute modification substantielle est communiquée aux Utilisateurs.
4.3 Aux Partenaires éditeurs
Voir §2.5 pour les empreintes pseudonymisées. Aucune autre donnée personnelle n'est transmise aux Partenaires. En particulier, l'adresse email, le nom, et l'historique de lectures détaillé ne sont jamais communiqués aux Partenaires.
À titre de statistiques agrégées, NewsPass communique aux Partenaires des données non-personnelles (volume de déblocages, revenus reversés, etc.).
4.4 Aux autorités compétentes
Sur réquisition judiciaire ou administrative valide, NewsPass peut être amené à transmettre certaines données aux autorités compétentes, dans les limites strictes prévues par la loi.
5. Paiement et Stripe
Les paiements sont traités exclusivement par Stripe Payments Europe Ltd, prestataire conforme aux normes PCI-DSS niveau 1.
NewsPass ne collecte ni ne stocke les numéros de carte bancaire complets. Stripe agit en tant que responsable de traitement autonome pour la lutte anti-fraude et en tant que sous-traitant de NewsPass pour le traitement de la transaction.
La politique de confidentialité de Stripe est accessible à : stripe.com/fr/privacy.
6. Transferts de données hors Union européenne
Les données personnelles traitées par NewsPass sont principalement hébergées et traitées au sein de l'Union européenne (France pour OVH, Irlande pour Stripe).
Certains traitements techniques de Stripe (notamment la prévention de la fraude au niveau global) peuvent impliquer un transfert vers les États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne et, le cas échéant, par le Data Privacy Framework approuvé par la décision d'adéquation de la Commission européenne du 10 juillet 2023.
NewsPass n'effectue aucun transfert volontaire de données vers un pays tiers ne disposant pas d'un niveau de protection adéquat.
7. Sécurité
NewsPass met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement en transit : connexions HTTPS/TLS 1.2+ obligatoires pour toutes les communications.
- Chiffrement au repos : base de données hébergée dans une infrastructure sécurisée (OVH).
- Mots de passe : stockage sous forme hachée (bcrypt avec salt) ; vérification systématique contre les bases de mots de passe compromis (HaveIBeenPwned k-anonymity).
- Cloisonnement : accès interne aux données personnelles strictement limité au personnel autorisé.
- Journalisation : conservation des logs techniques pour détecter et investiguer les incidents.
- Limitation des accès tiers : aucun accès direct des Partenaires aux bases de données NewsPass.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, NewsPass notifiera la CNIL dans les 72 heures et, si nécessaire, vous en informera personnellement, conformément aux articles 33 et 34 du RGPD.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
8.1 Droit d'accès (art. 15)
Vous pouvez obtenir confirmation que des données vous concernant sont traitées et en obtenir une copie.
8.2 Droit de rectification (art. 16)
Vous pouvez demander la correction des données inexactes ou incomplètes vous concernant.
8.3 Droit à l'effacement (art. 17)
Vous pouvez demander l'effacement de vos données dans les cas prévus par le RGPD, notamment lorsqu'elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou lorsque vous retirez votre consentement.
Cette demande peut être limitée par les obligations légales pesant sur NewsPass (notamment la conservation des factures pendant 10 ans).
8.4 Droit à la limitation du traitement (art. 18)
Vous pouvez demander la suspension temporaire du traitement de vos données dans certaines situations.
8.5 Droit à la portabilité (art. 20)
Vous pouvez recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
8.6 Droit d'opposition (art. 21)
Vous pouvez vous opposer, à tout moment et pour des raisons tenant à votre situation particulière, au traitement de vos données fondé sur l'intérêt légitime. Vous pouvez également vous opposer sans motif au traitement à des fins de prospection commerciale.
8.7 Droit de retrait du consentement
Lorsque le traitement repose sur votre consentement (newsletter, par exemple), vous pouvez le retirer à tout moment. Le retrait n'affecte pas la licéité des traitements effectués avant le retrait.
8.8 Directives post-mortem
Conformément à l'article 85 de la loi Informatique et Libertés, vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.
8.9 Modalités d'exercice
Vous pouvez exercer ces droits :
- en contactant support@newspass.fr, en précisant votre demande et en justifiant de votre identité si nécessaire (en cas de doute raisonnable sur l'identité du demandeur).
NewsPass s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande, susceptible d'être prolongé de deux (2) mois supplémentaires en cas de complexité, conformément à l'article 12.3 du RGPD.
8.10 Droit d'introduire une réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas le RGPD, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- CNIL — 3 Place de Fontenoy, TSA 80715 — 75334 PARIS CEDEX 07
- Téléphone : 01 53 73 22 22
- Site : cnil.fr/fr/plaintes
9. Mineurs
Le Service est interdit aux personnes de moins de seize (16) ans. NewsPass ne collecte pas sciemment de données personnelles concernant des mineurs de moins de 16 ans. Si un parent ou tuteur a connaissance qu'un mineur de moins de 16 ans a fourni des données via le Service, il est invité à contacter support@newspass.fr pour demander leur effacement immédiat.
Pour les mineurs entre 16 et 18 ans, l'utilisation du Service implique une autorisation préalable du représentant légal.
10. Conservation des données
Les durées de conservation détaillées par catégorie de donnée sont indiquées au §2 de la présente Politique. À titre récapitulatif :
| Catégorie | Durée de conservation |
|---|---|
| Données de compte (email, mot de passe haché) | 3 ans depuis la dernière connexion, puis effacement automatique |
| Données de connexion (logs techniques, IP) | 12 mois |
| Données de transaction (factures, historique) | 10 ans (obligation comptable — art. L. 123-22 C. com.) |
| Empreintes pseudonymisées (reader hashes) | Tant que le compte est actif et le partenariat en vigueur |
| Cookies de session | Maximum 30 jours (sliding) |
À l'issue de ces durées, les données sont soit effacées définitivement, soit anonymisées de manière irréversible à des fins statistiques.
11. Modifications de la Politique de Confidentialité
NewsPass se réserve le droit de modifier la présente Politique. Toute modification substantielle sera notifiée aux Utilisateurs par email au moins trente (30) jours avant son entrée en vigueur. La version applicable à un instant donné est celle accessible sur le Service à cette date, et la date de mise à jour est indiquée en tête du document.
12. Contact
Pour toute question relative à la présente Politique ou à l'exercice de vos droits :
- Email : support@newspass.fr
- Adresse postale : NewsPass —