Politique de confidentialité
La présente Politique de confidentialité décrit la manière dont l'Éditeur collecte, utilise et protège les données personnelles des utilisateurs de la plateforme lautoedition.fr, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78‑17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
01 Préambule
La protection des données personnelles est une priorité de l'Éditeur. La présente politique a pour objet d'informer les Utilisateurs, de manière claire et accessible, des traitements effectués sur leurs données, des bases juridiques mobilisées et des droits qui leur sont reconnus par la réglementation européenne et française.
02 Responsable de traitement
Le responsable du traitement, au sens de l'article 4.7) du RGPD, est :
- Arnaud Simonnet, entrepreneur individuel (micro‑entreprise).
- 52 Chemin des Carrières, 33710 Prignac‑et‑Marcamps, France.
- SIRET 78953258700019.
- Courriel : contact@lautoedition.fr.
03 Délégué à la protection des données (DPO)
Compte tenu de la nature et du volume des traitements, l'Éditeur a choisi d'assumer lui‑même les fonctions de Délégué à la protection des données (DPO). Toute demande relative aux données personnelles peut lui être adressée à :
- Arnaud Simonnet — DPO
- Courriel : contact@lautoedition.fr
- Adresse postale : 52 Chemin des Carrières, 33710 Prignac‑et‑Marcamps, France.
04 Données collectées
Les données collectées varient selon la typologie d'Utilisateur :
| Catégorie d'utilisateur | Données collectées |
|---|---|
| Auteur / Atelier / Signature | Civilité, prénom, nom, date de naissance, adresse électronique, mot de passe (haché), pseudonyme(s), biographie, photo de profil, liens vers réseaux sociaux, contenus publiés (livres, descriptions, couvertures, kits presse). En cas d'abonnement payant : identifiant client Stripe, statut d'abonnement, historique de facturation (chez Stripe). |
| Lecteur | Prénom, nom, pseudo lecteur, adresse électronique, date de naissance, genre déclaré, mot de passe (haché), photo de profil, préférences de lecture (genres favoris), historique d'activité sur la plateforme (livres consultés, ajoutés à la PAL, lus, avis publiés, points/badges acquis). |
| Abonné newsletter brand | Adresse électronique, date d'inscription, statut de consentement, statut de désabonnement. |
| Visiteur non identifié | Identifiant de session anonyme (cookie _rt, uniquement si consentement à la mesure d'audience), événements de navigation anonymisés (page vue, clic sur livre, durée passée sur une page), adresse IP (logs serveur), informations techniques (user‑agent, langue, résolution). |
05 Finalités et bases légales
Chaque traitement de données personnelles repose sur une base légale identifiée au sens de l'article 6 du RGPD :
| Finalité | Base légale |
|---|---|
| Création et gestion du compte Auteur / Lecteur | Exécution du contrat (art. 6.1.b RGPD) |
| Souscription et gestion d'un abonnement payant, facturation | Exécution du contrat (art. 6.1.b RGPD) |
| Publication et affichage des contenus auteurs (pages publiques, kit presse, newsletters auteurs) | Exécution du contrat (art. 6.1.b RGPD) |
| Envoi de la newsletter brand de l'Éditeur | Consentement (art. 6.1.a RGPD) |
Mesure d'audience et amélioration de l'expérience utilisateur (cookie _rt) |
Consentement (art. 6.1.a RGPD) |
| Lutte contre la fraude, modération, sécurité de la plateforme | Intérêt légitime (art. 6.1.f RGPD) |
| Conservation des factures et données comptables | Obligation légale (art. 6.1.c RGPD — art. L123‑22 Code de commerce) |
| Réponse aux demandes de contact | Intérêt légitime (art. 6.1.f RGPD) |
06 Destinataires des données
Les données personnelles sont destinées à l'Éditeur. Elles peuvent être communiquées aux sous‑traitants suivants, agissant exclusivement sur instruction de l'Éditeur dans le cadre de contrats conformes à l'article 28 du RGPD :
- Hostinger International Ltd. (hébergement — Chypre, UE).
- Stripe Payments Europe Ltd. (paiements — Irlande, UE) et Stripe Inc. (États‑Unis — voir article 7).
- Brevo (Sendinblue SAS) (envoi d'e‑mails transactionnels et marketing — France, UE).
- Anthropic, PBC (États‑Unis — voir article 7) pour les fonctionnalités assistées par IA (génération de kit presse Signature). Les requêtes envoyées à Anthropic ne contiennent que les contenus que l'Auteur soumet volontairement (synopsis, biographie) et ne sont pas utilisées par Anthropic pour entraîner ses modèles.
Aucune donnée n'est cédée, louée ou vendue à des tiers à des fins commerciales.
07 Transferts hors Union européenne
Certains sous‑traitants étant établis hors de l'Union européenne, des transferts de données personnelles sont susceptibles d'intervenir vers :
- Stripe Inc. (États‑Unis) — pour le traitement des paiements ;
- Anthropic, PBC (États‑Unis) — pour les fonctionnalités d'IA générative.
Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (Décision (UE) 2021/914 du 4 juin 2021), assurant un niveau de protection des données équivalent à celui exigé par le RGPD. Une copie de ces clauses peut être obtenue sur demande adressée au DPO.
08 Durées de conservation
| Donnée | Durée de conservation |
|---|---|
| Compte utilisateur actif | Tant que le compte n'est pas supprimé par l'Utilisateur |
| Compte supprimé | Effacement effectif sous 30 jours, sauf obligation légale de conservation |
| Factures et données comptables | 10 ans (obligation comptable — art. L123‑22 Code de commerce) |
| Logs serveur (accès, erreurs) | 1 an maximum |
Événements de tracking (table reader_events) |
13 mois (recommandation CNIL en matière de mesure d'audience) |
| Données de prospection (newsletter brand) | 3 ans à compter du dernier contact ou opt‑in |
09 Droits des personnes
Conformément aux articles 15 à 22 du RGPD et aux articles correspondants de la loi Informatique et Libertés modifiée, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès — obtenir confirmation que vos données sont traitées et en recevoir copie ;
- Droit de rectification — faire corriger des données inexactes ou les compléter ;
- Droit à l'effacement (« droit à l'oubli ») — demander la suppression de vos données dans les conditions prévues à l'article 17 du RGPD ;
- Droit à la portabilité — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement ;
- Droit d'opposition — vous opposer, à tout moment, au traitement de vos données pour des motifs tenant à votre situation particulière ;
- Droit à la limitation du traitement — obtenir la suspension du traitement dans les cas prévus à l'article 18 du RGPD ;
- Droit de retirer votre consentement — à tout moment, sans que cela n'affecte la licéité du traitement antérieur ;
- Droit de définir des directives relatives au sort de vos données après votre décès (article 85 LIL).
Ces droits s'exercent par courriel à contact@lautoedition.fr ou par voie postale, en joignant si nécessaire une copie d'un titre d'identité. L'Éditeur répond dans un délai d'un (1) mois à compter de la réception de la demande, éventuellement prorogé de deux mois en cas de demande complexe (art. 12.3 RGPD).
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 ;
- www.cnil.fr/fr/plaintes.
10 Sécurité
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées, conformément à l'article 32 du RGPD :
- chiffrement des mots de passe par algorithme bcrypt avec coût adaptatif ;
- transport chiffré HTTPS/TLS sur l'intégralité du site (certificat Let's Encrypt renouvelé automatiquement) ;
- protection contre les attaques CSRF par tokens à usage unique sur tous les formulaires ;
- journal d'audit des actions administratives sensibles (audit log) ;
- authentification à deux facteurs (2FA TOTP) obligatoire pour les comptes administrateurs ;
- authentification par certificat client (mTLS) sur les accès administrateurs ;
- politique de mots de passe forts et limitation des tentatives de connexion ;
- sauvegardes régulières et chiffrées de la base de données ;
- cloisonnement des environnements staging / production ;
- journalisation et supervision des accès au serveur.
Conformément à l'article 33 du RGPD, en cas de violation de données à caractère personnel présentant un risque pour les droits et libertés des personnes concernées, l'Éditeur notifie la CNIL dans un délai de 72 heures et informe directement les personnes concernées si le risque est élevé.
11 Cookies
Le détail des cookies et traceurs déposés sur votre terminal, ainsi que les modalités de gestion du consentement, sont précisés dans la Politique cookies.
12 Modifications
La présente Politique de confidentialité peut être modifiée à tout moment pour refléter les évolutions réglementaires ou les évolutions du Service. La version applicable est celle en vigueur à la date de consultation. Les modifications substantielles font l'objet d'une notification individuelle aux Utilisateurs concernés.