MetaLexis | Analyse fonctionnelle des systèmes régulés instables

Politique de confidentialité

Version 1.6 – mise à jour le

1. Responsables des traitements et périmètre de collecte

Par l’éditeur (MetaLexis) – privacy by design :

  • Responsable du traitement pour les données traitées via le site et la mesure d’audience sans cookies.
  • Le site ne propose pas de formulaire ni d’espace de création de compte ; aucune donnée n’est collectée par saisie sur les pages publiques.
  • Mesure d’audience sans cookies avec le module interne « MetaLexis Analytics », développé et opéré par MetaLexis sur l’espace d’hébergement Infomaniak (voir § 4).
  • Délégué à la protection des données (DPO) : Les fonctions de protection des données sont assurées en interne par MetaLexis, sans désignation formelle de DPO.
  • Contact : contact [at] metalexis [dot] org.

Par l’hébergeur (Infomaniak Network SA) :

  • Sous-traitant pour la mise à disposition de l’infrastructure d’hébergement du site.
  • Responsable de traitement pour ses propres finalités d’exploitation, de sécurité et de gestion du service de l’infrastructure (statistiques d’hébergement, journaux d’accès et d’erreurs, sans lien fonctionnel avec le module « MetaLexis Analytics » de l’éditeur, voir § 5).
  • Obligations légales suisses : Infomaniak peut être soumis à des obligations légales suisses impliquant la conservation de certaines données de trafic, selon le cadre applicable et la nature du service. Les modalités relèvent d’Infomaniak et sont décrites dans sa documentation. Ces données peuvent différer des journaux HTTP d’accès consultables par MetaLexis via Infomaniak.
  • Droits RGPD au titre des traitements de l’hébergeur : utilisez les modalités indiquées par le DPO d’Infomaniak dans sa politique de confidentialité.

Références : pour le cadre d’édition et les informations d’hébergement, voir les Mentions légales.

2. Bases légales et finalités

Par l’éditeur (MetaLexis) :

  • Intérêt légitime (RGPD art. 6 §1 f) pour produire des statistiques d’audience sans cookies, améliorer le contenu, et assurer la sécurité et la maintenance du site.
  • Aucune décision individuelle automatisée (art. 22 RGPD) et aucun profilage.

Par l’hébergeur (Infomaniak Network SA) :

  • Exigences d’exploitation et, le cas échéant, obligations légales suisses applicables à certaines métadonnées de trafic (BÜPF, VÜPF).

Caractère obligatoire : les données techniques nécessaires à l’affichage des pages découlent du fonctionnement du réseau. La mesure d’audience est facultative et respecte votre droit d’opposition (voir § 4).

3. Données traitées lors de la navigation

Par l’éditeur (MetaLexis) :

  • Données d’audience agrégées/pseudonymisées selon le cas via le module interne « MetaLexis Analytics » (voir § 4) : URL et titre des pages consultées, horodatage, informations techniques du navigateur (User-Agent), référent s’il est transmis.
  • Aucune donnée directement identifiante, aucun identifiant tiers.

Par l’hébergeur (Infomaniak Network SA) :

  • Tableaux de statistiques d’hébergement (volume de visiteurs, pages les plus vues, sources de trafic, navigateurs, zones géographiques, codes HTTP).
  • Journaux d’accès et d’erreurs à des fins d’exploitation et de sécurité (voir § 5).

Origine des données : votre navigateur (chargement des pages) et l’infrastructure d’hébergement (journalisation). Aucune donnée achetée, aucun apport de tiers, aucune collecte hors ligne.

4. Mesure d’audience (MetaLexis Analytics, sans cookies)

Par l’éditeur (MetaLexis) – module interne « MetaLexis Analytics » :

  • Traitement first-party: les données d’audience sont collectées et traitées directement par MetaLexis sur l’hébergement Infomaniak, sans recours à un service d’analyse externe.
  • Fonctionnement sans cookies de suivi par défaut, conçu pour respecter les conditions de l’exemption CNIL applicables à la mesure d’audience.
  • Respect du signal « Do Not Track » (DNT) lorsqu’il est activé dans le navigateur : dans ce cas, aucune donnée d’audience n’est enregistrée.
  • Adresses IP tronquées avant enregistrement: 2 octets sont supprimés pour les adresses IPv4 et 80 bits pour les adresses IPv6. Cette configuration réduit la possibilité de réidentifier une personne ou de réaliser une géolocalisation fine.
  • Données mesurées: URL et titre des pages vues, horodatage, informations techniques du navigateur (User-Agent), largeur d’écran, langue du navigateur, référent s’il est transmis. Ces données techniques peuvent, selon les cas, être qualifiées de données personnelles, traitées sous une forme minimisée et pseudonymisée. Aucune donnée directement identifiante ni identifiant tiers n’est collecté, aucun recoupement n’est effectué avec d’autres sources.
  • Durées de conservation: les données brutes sont conservées au plus 180 jours, puis purgées automatiquement. Les statistiques agrégées sont conservées au plus 13 mois (voir § 6).

Finalité: production de statistiques d’audience agrégées pour améliorer le contenu, suivre le bon fonctionnement du site et détecter d’éventuelles anomalies techniques. Aucun usage marketing et aucun profilage.

Opposition: Vous pouvez activer l’option « Ne pas suivre » (Do Not Track) dans votre navigateur. Lorsque ce signal est présent, aucune donnée d’audience n’est collectée.

Les aides officielles pour activer Do Not Track sont disponibles ici :

5. Hébergement (Infomaniak) : statistiques et journaux

Par l’hébergeur (Infomaniak Network SA) :

  • Statistiques d’hébergement : tableaux d’estimation indépendants du module interne « MetaLexis Analytics » (volume de visiteurs, pages vues, sources de trafic, navigateurs, zones géographiques, codes HTTP).
  • Journaux d’accès et d’erreurs : Infomaniak met à disposition une fenêtre d’accès limitée aux journaux via l’interface d’hébergement (volume et période variables selon l’offre) à des fins de diagnostic.
  • Obligation légale suisse : Infomaniak peut être soumis à des obligations impliquant la conservation de certaines données de trafic, selon le cadre applicable (BÜPF, VÜPF). Les modalités relèvent d’Infomaniak. Ces données peuvent différer des journaux HTTP d’accès consultables via l’interface d’hébergement.

Par l’éditeur (MetaLexis) :

  • Accès uniquement aux journaux exposés dans l’interface pour maintenance et sécurité.
  • Aucun recoupement ni usage marketing n’est réalisé.

6. Durées de conservation

Par l’éditeur (MetaLexis) :

  • MetaLexis Analytics sans cookies (données brutes) : 180 jours puis purge automatique.
  • Rapports agrégés de MetaLexis Analytics: au plus 13 mois (statistiques, sans profilage).

Par l’hébergeur (Infomaniak Network SA) :

  • Journaux consultables : Accès uniquement aux journaux exposés dans l’interface (fenêtre limitée selon l’offre) pour maintenance et sécurité.
  • Données de trafic (BÜPF, VÜPF) : Infomaniak peut être soumis à des obligations de conservation selon le cadre applicable ; modalités décrites dans sa documentation.

7. Destinataires des données

Par l’éditeur (MetaLexis) :

  • Accès aux statistiques produites par MetaLexis Analytics (sans cookies de suivi par défaut, IP tronquée) et aux journaux d’hébergement pour la maintenance, la sécurité et le pilotage éditorial.
  • Les statistiques d’audience ne sont pas transmises à des tiers. Pas d’export systématique des journaux d’hébergement hors de l’interface.

Par l’hébergeur (Infomaniak Network SA) :

  • Prestataire d’infrastructure : traite les journaux techniques nécessaires à l’exploitation et peut être soumis à des obligations de conservation de certaines données de trafic au titre du cadre légal suisse.

8. Sécurité des données

Par l’éditeur (MetaLexis) :

  • Pas d’export systématique des journaux d’hébergement hors de l’interface. Aucune solution d’analyse externe n’est utilisée.
  • Accès restreint aux interfaces d’administration WordPress et au module interne MetaLexis Analytics. Mises à jour régulières.
  • MetaLexis Analytics : fonctionnement sans cookies de suivi par défaut, IP tronquée (2 octets pour IPv4, 80 bits pour IPv6), purge automatique des données brutes à 180 jours et des agrégats à 13 mois.

Par l’hébergeur (Infomaniak Network SA) :

  • Sécurité d’infrastructure (datacenters, réseau, alimentation), chiffrement HTTPS, journalisation et mesures de sécurité relevant du cadre légal suisse, selon la documentation d’Infomaniak.

9. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d’accès, rectification, effacement, limitation et opposition, dans la mesure où ils s’appliquent aux données techniques décrites ci-dessus.

Pour toute demande relative aux données traitées par l’éditeur MetaLexis : contact [at] metalexis [dot] org.

  • Données traitées : adresse email, contenu du message, pièces jointes éventuelles, métadonnées techniques associées à l’envoi, éléments de traçabilité applicative utiles au traitement de la demande.
  • Finalités : répondre aux messages, gérer les demandes d’exercice des droits RGPD, traiter les signalements de sécurité (voir aussi § 12).
  • Base légale : intérêt légitime (gestion des échanges) et, selon la nature de la demande, obligation légale (demandes RGPD).
  • Durées de conservation : durée nécessaire au traitement, puis archivage limité. À titre indicatif, échanges généraux conservés jusqu’à 12 mois. Signalements de vulnérabilité conservés jusqu’à clôture, puis archivage restreint jusqu’à 24 mois.

Délai. Réponse sous un mois, prolongeable de deux mois si nécessaire (art. 12 §3 RGPD).

Identification. Aucune pièce d’identité n’est demandée par défaut. En cas de doute raisonnable ou si les données ne permettent pas de vous identifier (art. 11 et 12 §6 RGPD), des précisions factuelles (URL, date/heure approximative, type de navigateur) pourront être sollicitées, puis supprimées.

Protection des tiers. Les réponses ne doivent pas porter atteinte aux droits d’autrui ; des occultations ciblées peuvent être appliquées.

Pour les données collectées et conservées par l’hébergeur, y compris l’exercice de vos droits, veuillez utiliser les modalités indiquées par le DPO d’Infomaniak Network SA dans leur politique de confidentialité.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez saisir la CNIL (art. 77 RGPD).

10. Transferts internationaux de données

Par l’éditeur (MetaLexis) :

  • Le pilotage des traitements par l’éditeur est réalisé en France.
  • Les données sont hébergées en Suisse (pays tiers bénéficiant d’une décision d’adéquation).

Par l’hébergeur (Infomaniak Network SA) :

  • Site et module interne MetaLexis Analytics hébergés en Suisse.
  • La Suisse bénéficie d’une décision d’adéquation de la Commission européenne.
  • Aucun envoi des statistiques d’audience vers des services tiers d’analyse : les données restent sur l’hébergement Infomaniak.

11. Mises à jour de la politique

Cette politique pourra évoluer pour refléter des changements techniques ou juridiques. La version en ligne sur metalexis.org fait foi.

12. Signalement de vulnérabilités (divulgation responsable)

Si vous pensez avoir identifié une faille de sécurité sur metalexis.org, merci d’en informer en priorité MetaLexis par courriel : contact [at] metalexis [dot] org (canal unique).

Bonnes pratiques attendues :

  • ne pas exploiter la faille au-delà d’une preuve de concept minimale ;
  • ne pas accéder à des ressources non publiques ni tenter de les extraire/altérer ;
  • ne pas viser d’autres visiteurs ni exécuter de code côté navigateur ; pas de spam ;
  • ne pas tenter de déni de service, d’ingénierie sociale, de phishing, ni d’attaque contre des comptes tiers ;
  • respecter le cadre légal et laisser un délai raisonnable de correction, adapté à la gravité, avant toute divulgation publique.

Périmètre : uniquement metalexis.org et ses sous-domaines éventuels opérés par MetaLexis ; toute action doit rester non disruptive.

Engagement : MetaLexis accuse réception sous 7 jours ouvrés et communique un état d’avancement. MetaLexis s’engage à ne pas engager d’action civile à l’encontre d’une recherche menée de bonne foi et respectant ces règles, sous réserve du respect du droit applicable.

Reconnaissance : pas de prime (“bug bounty”). Les signalements de bonne foi peuvent faire l’objet d’une mention publique de remerciement, avec votre accord.

Flux RSS