Méthodologie publique et transparente
Factare
Fact-checking méthodique
Politique de confidentialité

Quelles données nous collectons et comment nous les utilisons

Document applicable au site factare.fr et à l'extension Chrome Factare — Fact-checking méthodique. Dernière mise à jour : 5 mai 2026.

En résumé (TL;DR)

  • Site web : on stocke ton email et un identifiant Auth.js si tu as un compte. Aucun cookie publicitaire, aucun partage avec des tiers à des fins marketing.
  • Extension Chrome : ta clé API personnelle est stockée localement dans ton navigateur (chrome.storage.local) et envoyée à factare.fr pour authentifier tes analyses. Rien d'autre n'est collecté côté navigateur.
  • Tes analyses : les URLs et textes que tu nous envoies à analyser sont traités par notre serveur et conservés dans ton historique. Ils ne sont jamais vendus, partagés, ni utilisés pour entraîner des modèles.
  • Tes droits : tu peux consulter, exporter ou supprimer tes données à tout moment depuis ton espace personnel ou en nous contactant.

1. Responsable du traitement

Pour toute question relative à tes données personnelles, à l'exercice de tes droits RGPD, ou pour identifier le responsable du traitement, écris-nous via le formulaire de contact. Nous répondons sous 30 jours.

2. Données collectées sur le site factare.fr

2.1. Création et gestion de compte

Si tu crées un compte, nous collectons :

  • Ton adresse email (utilisée pour l'authentification par lien magique et la communication transactionnelle uniquement).
  • Un identifiant interne généré par Auth.js (jamais visible en dehors de notre base de données).
  • Tes analyses (URLs ou textes envoyés, résultats produits) — visibles uniquement par toi dans ton historique.
  • Les clés API que tu génères pour l'extension : nous stockons leur empreinte cryptographique (hash SHA-256), jamais la clé en clair.

2.2. Données techniques

Pour des raisons de sécurité et de conformité, nous journalisons les requêtes serveur (adresse IP tronquée, user-agent, code de réponse). Ces logs sont automatiquement purgés après 30 jours.

Nous n'utilisons aucun cookie publicitaire, aucun pixel de tracking tiers, aucun outil d'analytics tiers (pas de Google Analytics, pas de Meta Pixel, pas de Hotjar). Le seul cookie utilisé est le cookie de session Auth.js, strictement nécessaire à ton authentification.

3. Données collectées par l'extension Chrome

L'extension Factare — Fact-checking méthodique est conçue pour collecter le strict minimum.

3.1. Clé API personnelle

Lorsque tu connectes l'extension à ton compte, tu colles une clé API que tu as générée sur factare.fr/app/api-keys. Cette clé est :

  • Stockée dans chrome.storage.local — un espace de stockage isolé, scopé à ton profil Chrome, inaccessible aux pages web et aux autres extensions.
  • Envoyée uniquement à https://factare.fr via le headerAuthorization: Bearer …, pour authentifier tes requêtes d'analyse.
  • Jamais transmise à un tiers, jamais incluse dans des logs, jamais affichée en clair après la création initiale.
  • Révocable à tout moment depuis factare.fr/app/api-keys — dès la révocation, la clé devient inopérante en moins d'une seconde.

3.2. Contenu envoyé pour analyse

Quand tu cliques sur le bouton « Vérifier avec Factare » sur un article ou une vidéo, l'extension transmet à factare.fr :

  • L'URL de la page courante (ou le texte sélectionné en cas de menu contextuel).
  • Le mode d'analyse choisi (Standard, Rapide, Prebunking, YouTube).
  • Ta clé API pour t'identifier.

Aucun autre contenu de la page n'est exfiltré. L'extension ne lit pas tes cookies, ne lit pas tes formulaires, ne lit pas le contenu d'autres onglets, ne lit pas ton historique, ne lit pas tes mots de passe enregistrés.

3.3. Stockage local annexe

L'extension utilise chrome.storage.local pour mémoriser :

  • Ton email (récupéré depuis l'API au moment de la connexion, affiché dans le popup).
  • L'URL du backend sélectionné (par défaut https://factare.fr, modifiable pour les développeurs).
  • Tes préférences de masquage du bouton flottant (par domaine, expiration 24h).
  • Un drapeau indiquant si tu as déjà vu le bandeau d'introduction.

Aucune de ces données ne quitte ton navigateur.

3.4. Permissions Chrome demandées

  • storage — Stockage local de ta clé API et de tes préférences (cf. ci-dessus).
  • contextMenus — Ajouter l'entrée « Analyser avec Factare » dans le menu contextuel quand tu sélectionnes du texte.
  • activeTab — Lire l'URL de l'onglet courant pour proposer « Analyser cette page » dans le popup.
  • notifications — Confirmer la fin d'une analyse lancée depuis le menu contextuel.
  • host_permissions: factare.fr — Autoriser les requêtes vers notre API.
  • content_scripts sur YouTube et 33 sites de news français — Injecter le bouton « Vérifier avec Factare ». Le content script ne lit que l'URL de la page, jamais son contenu.

4. Comment nous utilisons tes données

  • Authentification : ton email et tes clés API servent à vérifier ton identité.
  • Production du service : tes URLs / textes sont envoyés à des modèles de langage (LLM) tiers pour produire l'analyse. Ces modèles sont configurés pour ne pas conserver les données ni s'en servir comme jeu d'entraînement (clauses contractuelles).
  • Quota : nous comptabilisons le nombre d'analyses effectuées par utilisateur sur les 24 dernières heures pour appliquer le quota.
  • Sécurité et débogage : les logs serveur servent uniquement à détecter les abus (rate-limit, injection) et à diagnostiquer les pannes.

Nous ne vendons jamais tes données. Nous ne partageons jamais tes analyses avec des annonceurs ou des courtiers en données. Nous ne créons pas de profils publicitaires.

5. Sous-traitants techniques

Pour faire fonctionner Factare, nous nous appuyons sur les prestataires suivants, sous accord de traitement :

  • Vercel (hébergement web, États-Unis & UE) — héberge le site factare.fr.
  • Neon (base de données PostgreSQL, UE) — stocke les comptes, analyses, clés API.
  • Resend (email transactionnel, UE) — envoie les liens magiques d'authentification.
  • Modèles LLM (Anthropic, OpenAI ou équivalent, États-Unis) — produisent l'analyse. Configurés en mode « no-training ».

6. Durée de conservation

  • Compte : conservé tant que tu ne le supprimes pas.
  • Analyses : conservées dans ton historique tant que tu ne les supprimes pas individuellement ni ton compte.
  • Clés API révoquées : conservées 90 jours pour audit (champ revokedAt uniquement, le hash de la clé est rendu inutilisable instantanément), puis purgées.
  • Logs serveur : 30 jours.
  • Stockage local extension : contrôlé par toi, jamais par nous (suppression : désinstaller l'extension ou vider chrome.storage.local).

7. Tes droits (RGPD)

Tu as le droit d'accéder, de rectifier, d'effacer, de limiter, ou d'exporter tes données personnelles, ainsi que de retirer ton consentement à tout moment. La plupart de ces actions sont disponibles directement depuis ton espace personnel.

Pour toute autre demande, écris-nous via le formulaire de contact. Nous répondons sous 30 jours.

Tu as également le droit d'introduire une réclamation auprès de la CNIL si tu estimes que tes droits ne sont pas respectés.

8. Sécurité

  • Toutes les communications entre l'extension, le site et notre API utilisent HTTPS / TLS 1.3.
  • Les clés API sont stockées sous forme de hash SHA-256 — impossibles à reconstituer en cas de fuite de la base.
  • Les mots de passe ne sont jamais collectés (authentification 100% via lien magique email).
  • Les accès à la base de données sont restreints aux seuls services de production, avec rotation des credentials.

9. Modifications de cette politique

Nous pouvons mettre à jour cette politique pour refléter des évolutions du service ou de la réglementation. La date de dernière mise à jour est indiquée en haut de cette page. En cas de changement substantiel, nous t'en informerons par email si tu as un compte.

10. Nous contacter

Formulaire de contact

Pour toute question, demande RGPD, ou signalement.

Ouvrir le formulaire →

Suppression rapide

Pour supprimer ton compte et toutes ses données.

Espace personnel →