Little Sagas — Politique de Confidentialité

La présente Politique de traitement des données personnelles vise à encadrer les traitements de données personnelles mis en œuvre lors de l'utilisation de tout ou partie des services disponibles sur le site https://littlesagas.fr/ (ci-après le « Site »), notamment à l'occasion de la navigation sur les pages du Site, de la création de compte, de l'utilisation des services gratuits ou payants, de l'achat des services payants, ainsi que de la prise de contact par l'intermédiaire de l'adresse mail de contact.

En tant que responsable de traitement, la micro-entreprise MOCHEL, éditrice du Site (ci-après « Little Sagas ») veille au respect de la loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée, ainsi que du Règlement (UE) 2016/679 (ci-après « RGPD ») et plus généralement de toute réglementation française et européenne relative à la protection des données personnelles.

Le RGPD définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Une donnée personnelle peut être un nom, un prénom, un numéro de téléphone, mais également une profession ou l'adresse IP d'un ordinateur.

1. Qui est responsable du traitement de vos données ?

Micro-entreprise MOCHEL
Domiciliée au 3 rue des Vignes, 67310 WESTHOFFEN
Inscrite au RCS de <Saverne>
SIREN : <102032067> — SIRET : <102 032 067 00013>

Vous pouvez contacter le responsable de traitement :

par courrier : Micro-entreprise MOCHEL, 3 rue des Vignes, 67310 WESTHOFFEN ;
par courrier électronique : contact@littlesagas.fr

2. Quelles catégories de données sont collectées ?

À l'occasion de votre utilisation du Site et des services, Little Sagas est amenée à collecter certaines de vos données personnelles, directement auprès de vous ou par l'intermédiaire des parents ou titulaires de l'autorité parentale lorsque les données concernent les mineurs :

Données de compte et d'identification : Prénom*, Nom*, identifiant, adresse électronique*, mot de passe du compte, code PIN choisi, année de naissance de l'utilisateur (si différent), et le cas échéant photographie ou copie d'une pièce d'identité dans le cadre d'une demande d'exercice de droits.
Données économiques et financières (achat de services payants) : numéro de carte bancaire, informations de paiement.
Données relatives aux achats : abonnement, facture, justificatif et preuve d'achat, informations relatives aux achats pour le compte d'autrui (cartes cadeaux), code d'activation, code de parrainage.
Données relatives à l'utilisation des services : type de service (gratuit/payant), langue de lecture, catégorie de lecture, mode de lecture assistée, police de lecture adaptée, informations relatives aux histoires lues (tags, catégorie et genre narratif, type de fin choisie), date et heure d'utilisation, niveau de complétion (avancement de la lecture), mots sélectionnés (dictionnaire interactif), choix réalisés dans les histoires modulaires (embranchements narratifs et traits associés), jours consécutifs de lecture, succès, badges et récompenses numériques.
Données relatives aux préférences : langue, préférences en matière de tags, catégories et genres narratifs, coefficient d'affinité, recommandations automatiques, données relatives aux personnages (nom, genre, couleur des yeux, couleur des cheveux, signe physique distinctif, accessoire).
Données relatives aux traceurs techniques et de fonctionnement : pages visitées, durée de la visite, source de la visite, identifiant de session, identifiant de la rubrique consultée, identifiant unique du visiteur, identifiant de la page consultée.
Données techniques de connexion et de navigation (journaux serveur) : date, horaire et pays de connexion, adresse IP, système d'exploitation du terminal et navigateur utilisé.

* Les données dont la fourniture est obligatoire pour la création du compte sont signalées par un astérisque. Les autres données sont facultatives. L'absence de fourniture des données obligatoires peut entraîner l'impossibilité de créer le compte ou de réaliser l'achat des services.

3. Quelles mesures sont prises pour sécuriser les données des enfants ?

🔒 Protection des enfants Little Sagas ne collecte aucune donnée directement auprès des enfants. Toutes les données des profils enfants sont saisies et contrôlées par le parent ou le titulaire de l'autorité parentale. Aucune donnée n'est utilisée à des fins publicitaires. Les profils publics n'affichent qu'une initiale et un avatar, jamais le prénom complet.

Bien que Little Sagas soit un service européen soumis à la réglementation française et européenne, nous respectons également l'esprit du Children's Online Privacy Protection Act (COPPA). À ce titre, Little Sagas s'engage à ne jamais collecter de données directement auprès des enfants de moins de 15 ans. Toute collecte de données d'enfants de moins de 15 ans est réalisée par l'intermédiaire du parent ou du titulaire de l'autorité parentale, notamment via le compte parent.

4. Quelles sont les finalités et les bases légales des traitements ?

Les traitements mis en œuvre par Little Sagas s'inscrivent, selon les cas :

dans le consentement conjoint du parent ou titulaire de l'autorité parentale et du mineur de moins de 15 ans, OU le consentement de la personne majeure ou du mineur de plus de 15 ans lui-même ;
dans l'exécution de mesures précontractuelles et/ou contractuelles ;
dans le respect d'une obligation légale ou réglementaire ;
dans l'intérêt légitime poursuivi par Little Sagas.

Dans le respect des principes de proportionnalité et de minimisation du RGPD, seules les données nécessaires et pertinentes au regard des finalités poursuivies sont collectées.

Lorsque la base légale est l'intérêt légitime, Little Sagas atteste avoir mis en balance son intérêt et le vôtre (ou celui de votre enfant) à ne pas faire l'objet de tels traitements. Pour plus d'information sur ce test de proportionnalité, vous pouvez contacter Little Sagas en réalisant une demande d'exercice de droits.

5. Qui sont les destinataires de vos données ?

Vos données peuvent être traitées par Little Sagas elle-même, ainsi que par ses éventuels collaborateurs dans la limite de leurs attributions. Little Sagas peut également communiquer certaines de vos données à des prestataires de services externes agissant en tant que sous-traitants :

Sous-traitant	Rôle	Localisation
Supabase Inc.	Base de données, authentification, stockage	Hébergement UE (Irlande). Société US — clauses contractuelles types (DPA Supabase)
OVH SAS	Hébergement du Site et de l'API	France (UE)
Stripe, Inc.	Traitement des paiements	États-Unis — Data Privacy Framework
Sendinblue SAS (Brevo)	Envoi des emails transactionnels et du bilan hebdomadaire	UE (France)

Vos données pourront également être transmises aux autorités administratives et judiciaires compétentes, notamment dans le cadre de réquisitions judiciaires.

6. Transferts de données hors de l'Union européenne

Lorsque tout ou partie de vos données sont transférées hors de l'Union européenne et de l'Espace économique européen, Little Sagas encadre ces transferts par des garanties appropriées :

dans le respect des décisions d'adéquation de la Commission européenne, et notamment, pour les transferts vers les États-Unis, après avoir vérifié que la société destinataire est bien partie au Data Privacy Framework ;
par l'usage des Clauses Contractuelles Types de la Commission européenne pour tout transfert vers un pays ne disposant pas d'une décision d'adéquation.

À ce jour, la société Stripe, Inc. est valablement auto-certifiée au Data Privacy Framework ; les transferts à destination de cette société sont donc dûment autorisés. Les données hébergées par Supabase sont stockées dans l'Union européenne (Irlande), et encadrées par les clauses contractuelles types prévues dans son contrat de sous-traitance.

7. Combien de temps vos données sont-elles conservées ?

Données de compte : conservées aussi longtemps que le compte est utilisé. En cas d'inactivité continue pendant 2 ans, le compte est supprimé après notification préalable.

Données relatives à la lecture : supprimées au bout de 15 jours, à l'exception des données agrégées sous forme de statistiques d'utilisation (1) transmises à l'utilisateur via son compte et/ou (2) utilisées pour l'amélioration des services. Ces données statistiques sont conservées jusqu'à suppression du compte, ou jusqu'à 2 ans après une période continue d'inactivité.

Journaux serveur (logs) : les données techniques de connexion (IP, navigateur, système d'exploitation) sont conservées 12 mois maximum, puis supprimées ou anonymisées par agrégation.

Données comptables : conservées conformément aux durées légales obligatoires (par exemple, 10 ans pour les justificatifs comptables).

Une fois ces durées atteintes, les données sont supprimées ou conservées en archivage intermédiaire pour une durée conforme aux dispositions légales applicables et/ou à titre probatoire.

8. Quels sont vos droits ?

Conformément à la loi Informatique et Libertés et au RGPD, vous disposez à tout moment des droits suivants :

Retrait du consentement lorsque celui-ci est la base légale du traitement (article 7.3 du RGPD) ;
Droit d'accès à vos données et à une copie de celles-ci (article 15) ;
Droit de rectification des données inexactes ou incomplètes (article 16) ;
Droit à l'effacement de vos données (article 17) ;
Droit à la limitation du traitement (article 18) ;
Droit à la portabilité de vos données (article 20) ;
Droit d'opposition au traitement fondé sur l'intérêt légitime (article 21).

Vous avez également le droit de définir des directives relatives au sort de vos données après votre décès.

9. Comment exercer vos droits ?

Vous pouvez faire valoir vos droits :

par voie électronique : contact@littlesagas.fr
par voie postale : Micro-entreprise MOCHEL, 3 rue des Vignes, 67310 WESTHOFFEN

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr — TSA 90715, 3 Place de Fontenoy, 75007 Paris.

10. Quelles mesures de sécurité protègent vos données ?

Afin de sécuriser vos données contre la destruction, l'altération et les accès non autorisés, Little Sagas met en œuvre notamment : le hachage des mots de passe et codes PIN (jamais stockés en clair), le chiffrement des communications via HTTPS/TLS, la protection de la base de données par des politiques de sécurité au niveau des lignes (Row Level Security), et le traitement des données de paiement exclusivement par Stripe, Inc. (certifié PCI-DSS). Little Sagas ne stocke jamais les numéros de carte bancaire.

Dernière mise à jour : 17 avril 2026

This Personal Data Processing Policy governs the processing of personal data carried out when using all or part of the services available on https://littlesagas.fr/ (the "Site"), including while browsing the Site, creating an account, using free or paid services, purchasing paid services, and contacting us via the contact email address.

As data controller, the sole proprietorship MOCHEL, publisher of the Site (hereinafter "Little Sagas"), ensures compliance with French Data Protection Act No. 78-17 of 6 January 1978 as amended, and Regulation (EU) 2016/679 ("GDPR"), and more generally with all applicable French and European data protection regulations.

The GDPR defines personal data as "any information relating to an identified or identifiable natural person." Personal data may include a name, first name, telephone number, but also a profession or a computer's IP address.

1. Who is the data controller?

Sole proprietorship MOCHEL
Located at 3 rue des Vignes, 67310 WESTHOFFEN, France
Registered with the RCS of <Saverne>
SIREN: <102032067> — SIRET: <102 032 067 00013>

You may contact the data controller:

by post: Sole proprietorship MOCHEL, 3 rue des Vignes, 67310 WESTHOFFEN, France;
by email: contact@littlesagas.fr

2. What categories of data are collected?

When you use the Site and its services, Little Sagas may collect certain personal data, directly from you or via the parents or legal guardians when the data concerns minors:

Account and identification data: First name*, Last name*, username, email address*, account password, chosen PIN code, year of birth (if different), and where applicable a photograph or copy of an ID document in the context of a rights request.
Economic and financial data (purchase of paid services): bank card number, payment information.
Purchase data: subscription, invoice, proof of purchase, information relating to purchases on behalf of others (gift cards), activation code, referral code.
Service usage data: service type (free/paid), reading language, reading category, assisted reading mode, dyslexia-friendly font, information about stories read (tags, category and narrative genre, ending chosen), date and time of use, completion level (reading progress), words selected (interactive dictionary), choices made in modular stories (narrative branches and associated traits), consecutive reading days, achievements, badges and digital rewards.
Preference data: language, tag/category/narrative-genre preferences, affinity coefficient, automatic recommendations, character data (name, gender, eye color, hair color, distinctive feature, accessory).
Technical and functional tracker data: pages visited, visit duration, visit source, session ID, section ID, unique visitor ID, page ID.
Technical connection and browsing data (server logs): date, time and country of connection, IP address, device operating system and browser used.

* Data required to create an account is marked with an asterisk. Other data is optional. Failure to provide required data may make it impossible to create an account or complete a purchase.

3. How is children's data protected?

🔒 Children's protection Little Sagas does not collect any data directly from children. All child profile data is entered and controlled by the parent or legal guardian. No data is used for advertising purposes. Public profiles only display an initial and an avatar, never the full first name.

Although Little Sagas is a European service subject to French and European regulations, we also respect the spirit of the Children's Online Privacy Protection Act (COPPA). Little Sagas undertakes never to collect data directly from children under 15. Any collection of data from children under 15 is carried out through the parent or legal guardian, in particular via the parent account.

4. What are the purposes and legal bases of processing?

The processing carried out by Little Sagas is based, depending on the case, on:

the joint consent of the parent or legal guardian and the minor under 15, OR the consent of the adult or minor over 15 themselves;
the performance of pre-contractual and/or contractual measures;
compliance with a legal or regulatory obligation;
the legitimate interest pursued by Little Sagas.

In accordance with the GDPR principles of proportionality and minimization, only data necessary and relevant to the purposes pursued is collected.

Where the legal basis is legitimate interest, Little Sagas certifies that it has balanced its interest against yours (or your child's). For more information on this balancing test, you may contact Little Sagas via a rights request.

5. Who are the recipients of your data?

Your data may be processed by Little Sagas itself and its collaborators within the limits of their duties. Little Sagas may also share certain data with external service providers acting as sub-processors:

Sub-processor	Role	Location
Supabase Inc.	Database, authentication, storage	EU hosting (Ireland). US company — Standard Contractual Clauses (Supabase DPA)
OVH SAS	Site and API hosting	France (EU)
Stripe, Inc.	Payment processing	United States — Data Privacy Framework
Sendinblue SAS (Brevo)	Transactional emails and weekly report	EU (France)

Your data may also be transmitted to the competent administrative and judicial authorities, in particular in the context of judicial requisitions.

6. Data transfers outside the European Union

Where all or part of your data is transferred outside the European Union and the European Economic Area, Little Sagas frames these transfers with appropriate safeguards:

in compliance with European Commission adequacy decisions, and in particular, for transfers to the United States, after verifying that the recipient company is party to the Data Privacy Framework;
through the use of the European Commission's Standard Contractual Clauses for any transfer to a country without an adequacy decision.

To date, Stripe, Inc. is validly self-certified under the Data Privacy Framework; transfers to this company are therefore duly authorized. Data hosted by Supabase is stored within the European Union (Ireland) and framed by the standard contractual clauses provided in its data processing agreement.

7. How long is your data kept?

Account data: kept as long as the account is used. After 2 years of continuous inactivity, the account is deleted following prior notification.

Reading data: deleted after 15 days, except for aggregated usage statistics (1) provided to the user via their account and/or (2) used to improve services. These statistics are kept until account deletion, or up to 2 years after a continuous period of inactivity.

Server logs: technical connection data (IP, browser, operating system) is kept for a maximum of 12 months, then deleted or anonymized through aggregation.

Accounting data: kept in accordance with mandatory legal retention periods (e.g. 10 years for accounting records).

Once these periods are reached, data is deleted or kept in intermediate archiving for a period consistent with applicable legal provisions and/or for evidentiary purposes.

8. What are your rights?

Under the French Data Protection Act and the GDPR, you have the following rights at any time:

Withdrawal of consent where consent is the legal basis (Article 7.3 GDPR);
Right of access to your data and a copy thereof (Article 15);
Right to rectification of inaccurate or incomplete data (Article 16);
Right to erasure of your data (Article 17);
Right to restriction of processing (Article 18);
Right to portability of your data (Article 20);
Right to object to processing based on legitimate interest (Article 21).

You also have the right to define directives regarding the fate of your data after your death.

9. How to exercise your rights?

You may exercise your rights:

by email: contact@littlesagas.fr
by post: Sole proprietorship MOCHEL, 3 rue des Vignes, 67310 WESTHOFFEN, France

You also have the right to lodge a complaint with the CNIL: www.cnil.fr — TSA 90715, 3 Place de Fontenoy, 75007 Paris, France.

10. What security measures protect your data?

To secure your data against destruction, alteration and unauthorized access, Little Sagas implements in particular: hashing of passwords and PIN codes (never stored in plain text), encryption of communications via HTTPS/TLS, protection of the database through Row Level Security policies, and processing of payment data exclusively by Stripe, Inc. (PCI-DSS certified). Little Sagas never stores credit card numbers.

Last updated: April 17, 2026