Politique de confidentialité

Version 1.2 – mise à jour le 13 août 2025

1. Responsables des traitements et périmètre de collecte

Par l’éditeur (MetaLexis) :

• Responsable du traitement pour les contenus du site et la mesure d’audience sans cookies.
• Pas de formulaires ni d’espace de compte. Aucune collecte directe par l’éditeur sur les pages publiques.
• Mesure d’audience sans cookies avec Matomo installé sur l’espace d’hébergement Infomaniak (voir § 4).
• Délégué à la protection des données (DPO) : aucun DPO formellement désigné. Les fonctions de protection des données sont assurées en interne par MetaLexis.
• Contact : contact@metalexis.org.

Par l’hébergeur (Infomaniak Network SA) :

• Sous-traitant pour la mise à disposition de l’infrastructure d’hébergement du site.
• Responsable de traitement indépendant pour ses propres finalités d’exploitation et de sécurité de l’infrastructure (statistiques d’hébergement, journaux d’accès et d’erreurs distincts de Matomo, voir § 4).
• Obligations légales suisses (BÜPF et VÜPF) : conservation de certaines métadonnées de trafic pendant 6 mois. Ces données sont distinctes des journaux HTTP visibles par MetaLexis.
• Contact courrier (correspondance générale uniquement, pas pour l’exercice des droits RGPD) : Infomaniak Network SA, Rue Eugène-Marziano 25, 1227 Les Acacias, Suisse.
• Droits RGPD au titre des traitements de l’hébergeur : utilisez les modalités indiquées par le DPO dans la politique de confidentialité d’Infomaniak.

2. Bases légales et finalités

Par l’éditeur (MetaLexis) :

• Intérêt légitime (article 6 paragraphe 1 point f du RGPD) pour produire des statistiques d’audience sans cookies, améliorer le contenu, et assurer la sécurité et la maintenance du site.
• Aucune décision individuelle automatisée au sens de l’article 22 du RGPD et aucun profilage.

Par l’hébergeur (Infomaniak Network SA) :

• Exigences d’exploitation et obligations légales suisses applicables à certaines métadonnées de trafic (BÜPF et VÜPF).

Caractère obligatoire : la fourniture des données techniques nécessaires à l’affichage des pages résulte du fonctionnement du réseau. La mesure d’audience est facultative et respectera votre droit d’opposition (voir § 4).

3. Données traitées lors de la navigation

Par l’éditeur (MetaLexis) :

• Données d’audience pseudonymisées via Matomo (voir § 4) : URL et titre des pages consultées, horodatage de la visite, informations techniques du navigateur (ex. User-Agent), référent s’il est transmis par le navigateur.
• Aucune donnée nominative, aucun identifiant tiers.

Par l’hébergeur (Infomaniak Network SA) :

• Tableaux de statistiques d’hébergement distincts de Matomo (volume de visiteurs, pages les plus vues, sources de trafic, navigateurs, zones géographiques, codes HTTP).
• Journaux d’accès et d’erreurs destinés à l’exploitation et à la sécurité (voir § 5).

Origine des données : votre navigateur lors du chargement des pages et l’infrastructure d’hébergement lors de la journalisation technique. Aucune donnée achetée, aucun apport de tiers, aucune collecte hors ligne.

4. Mesure d’audience (Matomo, sans cookies)

Par l’éditeur (MetaLexis) – Matomo installé sur l’espace d’hébergement Infomaniak :

• Suivi sans cookies activé (option forcer le suivi sans cookies).
• Adresse IP entièrement masquée avant enregistrement (pas de géolocalisation par IP).
• Do Not Track respecté si activé dans le navigateur.
• Données mesurées : URL et titre des pages vues, horodatage de la visite, informations techniques du navigateur (ex. User-Agent), référent conservé s’il est transmis.
• Aucune donnée nominative, aucun identifiant tiers, aucun profilage.

Finalité : statistiques agrégées pour améliorer le contenu. Aucun recoupement avec d’autres sources et aucun usage marketing.

Opposition : vous pouvez activer « Ne pas suivre » (Do Not Track) dans votre navigateur. Aide officielle :

• Firefox : Aide (rubrique Vie privée et sécurité)
• Google Chrome : Aide (rechercher « Ne pas suivre »)
• Apple Safari : Aide (rubrique Confidentialité)
• Microsoft Edge : Aide (rubrique Confidentialité)
• Brave : Aide (rubrique Confidentialité et Shields)
• Opera : Aide (rubrique Confidentialité)

Sans JavaScript : vous pouvez aussi utiliser l’option d’exclusion Matomo 
désactiver la mesure d’audience.

5. Hébergement (Infomaniak) : statistiques et journaux

Par l’hébergeur (Infomaniak Network SA) :

• Statistiques d’hébergement : tableaux d’estimation indépendants de Matomo (volume de visiteurs, pages vues, sources de trafic, navigateurs, zones géographiques, codes HTTP).
• Journaux d’accès et d’erreurs (interface Journaux) : affichage des 500 dernières activités et des 10 derniers jours pour le diagnostic (requête, date et heure, code HTTP, User-Agent, référent le cas échéant).
• Obligation légale suisse (BÜPF et VÜPF) : conservation par le prestataire de certaines données de trafic pendant 6 mois. Ces données sont distinctes des journaux HTTP visibles et ne sont pas mises à disposition de MetaLexis.

Par l’éditeur (MetaLexis) :

• Accès uniquement aux journaux exposés dans l’interface (fenêtre 10 jours et 500 entrées) pour la maintenance et la sécurité du site (correction d’erreurs, prévention d’abus).
• Aucun recoupement avec d’autres sources, aucun usage marketing.
• Pas d’export local : MetaLexis n’utilise pas la fonction « Exporter le tableau » des journaux. Aucune donnée de logs n’est stockée en local.

6. Durées de conservation

Par l’éditeur (MetaLexis) :

• Matomo sans cookies (données brutes) : 180 jours puis purge automatique.
• Matomo (rapports agrégés) : conservation au plus 12 mois (paramétrage statistique, sans profilage).

Par l’hébergeur (Infomaniak Network SA) :

• Journaux visibles dans l’interface d’hébergement : fenêtre d’exploitation 10 jours et 500 entrées.
• Données de trafic au titre des obligations BÜPF et VÜPF : conservation légale de 6 mois par le prestataire.

7. Destinataires des données

Par l’éditeur (MetaLexis) :

• Accès aux statistiques Matomo (sans cookies, IP masquée) et aux journaux d’hébergement (fenêtre 10 jours et 500 entrées) pour maintenance, sécurité et pilotage éditorial.
• Aucun partage à des tiers. Pas d’export local des journaux.

Par l’hébergeur (Infomaniak Network SA) :

• Prestataire d’infrastructure. Traite les journaux techniques nécessaires à l’exploitation et conserve certaines données de trafic au titre des obligations légales suisses.

Par Matomo (instance installée sur notre hébergement Infomaniak) :

• Logiciel géré par MetaLexis. Aucun transfert vers Matomo Cloud ni vers un tiers externe.

8. Sécurité des données

Par l’éditeur (MetaLexis) :

• Pas d’exports locaux des journaux d’hébergement. Aucune base externe constituée.
• Accès restreint aux interfaces d’administration WordPress et Matomo. Mises à jour régulières des composants du site.
• Paramétrage Matomo sans cookies, IP masquée et purge automatique des données brutes à 180 jours.

Par l’hébergeur (Infomaniak Network SA) :

• Sécurité d’infrastructure (centres de données, réseau, alimentation), chiffrement HTTPS et dispositifs de journalisation conformes au droit suisse.

9. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d’accès, de rectification, d’effacement, de limitation et d’opposition, dans la mesure où ils s’appliquent aux données techniques pseudonymisées décrites ci-dessus.

Pour toute demande relative aux données traitées par MetaLexis : contact@metalexis.org.

Délai. MetaLexis répond aux demandes d’exercice de droits dans un délai maximal d’un mois.

Identification. Il ne vous sera jamais demandé de pièce d’identité. En cas de doute raisonnable ou si les données ne permettent pas de vous identifier (RGPD art. 11 et 12(6)), il pourra vous être demandé des précisions factuelles utiles à votre demande (ex. URL consultée, date/heure approximative, type de navigateur). Ces éléments ne servent qu’au traitement de la demande puis sont supprimés.

Protection des tiers. Les réponses qui vous seront apportées ne doivent pas porter atteinte aux droits d’autrui ; des occultations ciblées peuvent donc être appliquées si nécessaire.

Pour les données collectées et conservées par l’hébergeur, y compris l’exercice de vos droits, veuillez utiliser les modalités indiquées par le DPO d’Infomaniak Network SA dans leur politique de confidentialité.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez saisir la CNIL (article 77 du RGPD).

10. Transferts internationaux de données

Par l’éditeur (MetaLexis) :

• Les traitements réalisés par l’éditeur le sont en France.
• L’éditeur ne transfère aucune donnée en dehors de l’Union européenne ou de l’Espace économique européen.

Par l’hébergeur (Infomaniak Network SA) :

• Le site et l’instance Matomo sont hébergés sur l’infrastructure d’Infomaniak située en Suisse.
• La Suisse bénéficie d’une décision d’adéquation de la Commission européenne. Les traitements opérés en Suisse sont considérés comme offrant un niveau de protection équivalent à celui de l’UE.
• Aucun envoi vers Matomo Cloud ni vers des services tiers n’est effectué dans le cadre de notre configuration. Les données restent sur l’hébergement Infomaniak.

11. Mises à jour de la politique

Cette politique pourra évoluer pour refléter des changements techniques ou juridiques. La version en ligne sur metalexis.org fait foi.

12. Signalement de vulnérabilités (divulgation responsable)

Si vous pensez avoir identifié une faille de sécurité sur metalexis.org, merci d’en informer en priorité MetaLexis par courriel.

Contact : contact@metalexis.org (canal unique).

Bonnes pratiques attendues :

• ne pas exploiter la faille au-delà d’une preuve de concept minimale ;
• ne pas accéder à des comptes, ressources ou données non publiques (ex. interfaces d’administration WordPress/Matomo/Infomaniak, logs complets, sauvegardes, fichiers de configuration, variables d’environnement), ni les altérer ni tenter de les extraire ;
• ne pas viser d’autres visiteurs via XSS, CSRF, redirections ouvertes ou injection de contenu, ni envoyer de spam depuis metalexis.org ;
• ne pas tenter de déni de service, d’ingénierie sociale, de phishing, ni d’attaque contre des comptes tiers ;
• respecter le cadre légal et laisser un délai raisonnable de correction avant toute divulgation publique.

Engagement : MetaLexis accuse réception sous 7 jours ouvrés et communique un état d’avancement. Aucune action ne sera engagée à l’encontre d’une recherche menée de bonne foi et respectant les règles ci-dessus.

Reconnaissance : MetaLexis n’opère pas de programme de primes (« bug bounty ») rémunérées. Les signalements de bonne foi peuvent faire l’objet d’une mention publique de remerciement (« hall of thanks »), avec votre accord.