Politique de confidentialité

Portée et exploitant

La présente Politique de confidentialité explique comment pastebin.ca recueille, utilise, divulgue, conserve et protège les renseignements. pastebin.ca est un service Web gratuit pour créer, partager, consulter et gérer des extraits en texte brut appelés pastes. Les modes public, non répertorié, chiffré (de bout en bout et adressé à un destinataire), expirant et brûler après lecture sont pris en charge, avec un client CLI et une API REST/MCP.

Le service est exploité personnellement par slepp comme projet solo depuis l’Alberta, Canada. Aucune société ne se trouve derrière lui. L’infrastructure de production fonctionne sur Cloudflare.

Si vous n’acceptez pas la façon dont le service traite les renseignements comme décrit ici, n’utilisez pas le service.

Public signifie public

Les pastes publics sont publics. Ils peuvent être consultés, copiés, indexés par des moteurs de recherche, téléchargés, mis en cache, archivés, intégrés ou redistribués par des tiers. Supprimer, révoquer, faire expirer ou modérer un paste sur pastebin.ca ne retire pas les copies qui peuvent déjà exister ailleurs.

Les pastes publics sont aussi disponibles par d’autres représentations de la même ressource de paste, y compris la page de consultation canonique, le point d’accès au corps brut, le point d’accès JSON/API, et les variantes de téléchargement ou d’intégration lorsqu’elles sont prises en charge. Toutes les représentations exposent le même contenu.

Une fois qu’un paste public quitte le service, l’exploitant n’a aucun moyen de récupérer, rappeler ou exiger la suppression des copies détenues par des tiers.

Non répertorié ne veut pas dire privé

Les URL de pastes non répertoriés sont des liens Bearer. Toute personne ayant l’URL complète peut accéder au paste, sauf s’il a expiré, a été révoqué, a été retiré ou exige un déchiffrement côté client.

Les pastes non répertoriés ne sont pas volontairement affichés dans les fils publics, mais le service ne peut pas empêcher les destinataires, robots d’indexation, journaux, historiques de navigateur, extensions de navigateur, proxys intermédiaires ou tiers de stocker ou partager une URL après sa divulgation.

Pastes chiffrés

Pour les pastes non chiffrés, le contenu est stocké côté serveur en texte clair. Pour les pastes chiffrés de bout en bout et adressés à un destinataire, le service stocke le texte chiffré et ne reçoit pas la clé de déchiffrement — les clés vivent dans le fragment d’URL (après le `#`) ou dans le matériel de clé du destinataire et ne sont jamais envoyées au serveur.

Le service peut tout de même traiter et conserver des métadonnées pour les pastes chiffrés — y compris l’ID du paste, l’heure de création, l’indice de syntaxe, le mode de visibilité, le paramètre d’expiration, la lignée de version/racine, l’association au propriétaire/compte le cas échéant, les métadonnées de signalement et de modération, et les métadonnées liées à l’accès comme les comptes de requêtes.

Le contenu chiffré ne peut généralement pas être inspecté par l’exploitant, mais les métadonnées de pastes chiffrés, les habitudes d’accès, les signalements d’abus, le texte clair ou les hachages fournis par les auteurs de signalement, et les avis juridiques peuvent être utilisés pour la modération, la sécurité et l’application des règles.

Ne collez pas de secrets ni de données sensibles

Ne publiez pas de mots de passe, clés API, clés privées, jetons d’accès, témoins de session, renseignements personnels, renseignements de santé, dossiers financiers, jeux d’identifiants, journaux privés, code source confidentiel ou autre matériel sensible, sauf si vous avez le droit de le faire et comprenez le mode de visibilité et de chiffrement sélectionné. Une fois publié, le contenu peut avoir été lu, copié ou mis en cache par d’autres avant que vous puissiez le révoquer ou le supprimer.

Ce que le service recueille

Vous pouvez utiliser le service anonymement. Si vous créez un compte, le service stocke le nom d’affichage choisi, l’identifiant et les enregistrements d’authentification.

Les comptes avec clés d’accès stockent les métadonnées d’identifiant de clé d’accès requises pour l’authentification WebAuthn. Les comptes GitHub OAuth stockent l’identifiant de compte GitHub et l’adresse courriel fournie par GitHub, le cas échéant. Les adresses courriel ne sont pas affichées publiquement.

Le service traite les adresses IP pour la prévention des abus, la limitation de débit, la journalisation de sécurité et l’exploitation de l’infrastructure. Lorsqu’un paste anonyme est créé, le service enregistre avec ce paste une empreinte IP à clé et non réversible ainsi qu’une chaîne user-agent limitée; les pastes créés en étant connecté sont plutôt rattachés au compte. Ces empreintes IP incidentes et identifiants de journaux de sécurité sont conservés au plus 30 jours, puis effacés. Les identifiants conservés dans le cadre d’une mesure d’application active, comme un bannissement, ou d’une rétention légale valide sont conservés tant que cette mesure reste en vigueur.

Les enregistrements de session sont stockés pour l’utilisation authentifiée et expirent après 30 jours d’inactivité. Les clés API que vous créez sont stockées sous forme de hachages salés; la clé en texte clair n’est affichée qu’une seule fois lors de son émission.

Témoins et stockage local

Le service utilise le témoin de session HttpOnly SameSite=Lax `pbca_sess`, le témoin de langue `pbca-locale`, le témoin de préférence de thème `pbca-theme`, et les témoins de défi antirobot définis par Cloudflare Turnstile.

Le navigateur peut stocker `pbca-auth-hint` jusqu’à 7 jours comme indice d’authentification optimiste. Les données d’enregistrement automatique de brouillon par onglet sont stockées localement jusqu’à ce que l’onglet ou les données du site soient effacés. Les brouillons ne sont pas téléversés avant leur publication.

Infrastructure et sous-traitants

Cloudflare fournit le calcul Workers, le stockage relationnel D1, le stockage d’objets R2, le cache KV, les défis antirobot Turnstile et les comptes de trafic Cloudflare Web Analytics. Les requêtes acheminées par Cloudflare sont soumises au traitement de Cloudflare pour la livraison, la sécurité et la gestion des abus.

Le service n’utilise pas Google Analytics, les réseaux publicitaires ni les pisteurs tiers.

Utilisation et divulgation

Les renseignements personnels sont utilisés pour fournir le service, authentifier les comptes, sécuriser les sessions, prévenir les abus, appliquer les limites de débit, répondre aux signalements, exploiter et déboguer l’infrastructure, et appliquer les Conditions d’utilisation.

Les pastes publics sont publiés à toute personne qui y accède. Les pastes non répertoriés sont disponibles à toute personne qui détient l’URL. Le contenu des pastes chiffrés demeure du texte chiffré pour le service; les métadonnées des pastes chiffrés sont traitées comme décrit ci-dessus.

Les renseignements sont divulgués à Cloudflare au besoin pour l’hébergement, la livraison et la sécurité. Les autres divulgations sont décrites dans la section sur la divulgation juridique ci-dessous.

Conservation, suppression, expiration et caches

Les pastes anonymes expirent selon la TTL choisie par l’utilisateur, de 10 minutes à 90 jours, avec une valeur par défaut d’une semaine. Les pastes authentifiés expirent selon la TTL choisie par l’utilisateur ou peuvent être réglés pour ne jamais expirer. Les pastes à brûler après lecture sont retirés de l’accès actif au service après la première lecture réussie.

Les pastes révoqués ou supprimés sont immédiatement marqués comme retirés dans le stockage actif du service et retournent 410 Gone ou 404 aux visiteurs. Le blob sous-jacent est purgé dans les 24 heures par un balayage de nettoyage lorsque son nombre de références atteint zéro.

Les pastes expirés, révoqués, supprimés ou modérés sont retirés de l’accès actif au service selon l’horaire indiqué. Des copies résiduelles peuvent persister brièvement dans des caches, journaux, sauvegardes, systèmes de reprise au niveau de l’infrastructure ou systèmes tiers (y compris les caches de moteurs de recherche, services d’archivage et copies faites par les visiteurs) avant de vieillir et disparaître. Le service ne peut pas garantir que chaque copie d’un paste public ou non répertorié est retirée de tous les systèmes partout.

Comptes et demandes de suppression

Vous pouvez demander l’accès aux renseignements personnels associés à votre compte, leur correction ou leur suppression. Les demandes sont vérifiées avant d’être traitées. Certains enregistrements sont conservés lorsque requis pour la sécurité, la prévention des abus, la conformité juridique ou le traitement des différends.

Lorsqu’un compte est supprimé, l’exploitant retire ou désactive l’enregistrement de compte et les identifiants d’authentification. Les pastes créés sous ce compte peuvent être supprimés, anonymisés, révoqués, expirés ou conservés selon le paramètre produit en vigueur, les obligations liées aux abus ou obligations juridiques, et la demande de l’utilisateur. Les pastes rendus publics peuvent continuer d’être accessibles par des caches et copies de tiers comme décrit ci-dessus.

Envoyez les demandes de confidentialité et de suppression à privacy@pastebin.ca.

Modération des abus

Le service utilise une combinaison de vérifications automatisées du contenu (y compris la détection de quasi-doublons simhash, des listes de motifs d’URL et des analyses de secrets et logiciels malveillants fondées sur des motifs), de signalements d’utilisateurs et d’examen par l’exploitant. L’examen n’est pas exhaustif, en temps réel ni garanti.

Le contenu banni, les pastes retirés, les bannissements de comptes et les décisions de signalement sont journalisés pour l’application des règles, la prévention des abus et la reddition de comptes. L’exploitant peut retirer, restreindre, faire expirer, révoquer, mettre en quarantaine, limiter le débit, bloquer ou signaler du contenu, des comptes ou des clés API à sa seule discrétion.

Le contenu des pastes chiffrés ne peut généralement pas être déchiffré par l’exploitant. La modération des pastes chiffrés peut s’appuyer sur le texte clair attesté par l’auteur du signalement, un simhash attesté par l’auteur du signalement, les métadonnées, les habitudes d’accès, les avis juridiques ou d’autres signaux d’abus.

Vos droits en matière de confidentialité

Sous réserve des limites juridiques, vous pouvez demander l’accès aux renseignements personnels que le service détient à votre sujet, leur correction ou leur suppression. Une vérification raisonnable est requise avant que l’exploitant donne suite à une demande.

Les pastes publics dont vous êtes l’auteur demeurent soumis à la réalité « public signifie public » décrite ci-dessus; une demande de suppression peut retirer le paste de l’accès actif au service, mais ne peut pas récupérer les copies de tiers.

Envoyez les demandes de confidentialité à privacy@pastebin.ca. Les signalements d’abus et de retrait vont à abuse@pastebin.ca ou par le bouton de signalement intégré à chaque paste.

Processus juridique et divulgation d’urgence

L’exploitant peut préserver ou divulguer des renseignements lorsqu’un processus juridique valide l’exige, ou lorsqu’il croit raisonnablement que la divulgation est nécessaire pour prévenir un préjudice imminent, enquêter sur des abus, protéger les utilisateurs, protéger le service, appliquer les Conditions d’utilisation ou se conformer à la loi applicable.

Les processus juridiques sont généralement évalués selon le droit canadien. Les coordonnées pour les forces de l’ordre et les questions juridiques se trouvent sur la page d’abus.

Sécurité

Le service utilise HTTPS, des témoins de session HttpOnly, l’authentification par clés d’accès, des contrôles de limitation de débit et les protections d’infrastructure de Cloudflare.

Aucun service Internet ne peut garantir une sécurité parfaite. Vous êtes responsable de protéger les identifiants de votre compte, vos clés d’accès, vos clés API et toute clé de chiffrement que vous choisissez de partager hors bande.

Position relative aux lois sur la confidentialité

Le service est exploité depuis l’Alberta, Canada, et vise à suivre les principes canadiens de protection de la vie privée — notamment limiter la collecte, limiter la conservation, protéger les renseignements et fournir des mécanismes d’accès, de correction et de suppression lorsque cela s’applique. L’exploitant n’a obtenu ni revendiqué aucune certification tierce de conformité en matière de confidentialité.

Enfants

pastebin.ca ne s’adresse pas aux enfants de moins de 13 ans. En utilisant le service, vous confirmez avoir 13 ans ou plus. Si vous n’avez pas atteint l’âge de la majorité dans votre territoire, un parent ou tuteur doit consentir à votre utilisation du service.

Modifications à cette politique

Les changements importants sont publiés avec une date d’entrée en vigueur. L’utilisation continue après la date d’entrée en vigueur vaut acceptation de la politique mise à jour.

Contact

Demandes de confidentialité : privacy@pastebin.ca. Signalements d’abus et de retrait : abuse@pastebin.ca. Consultez la page d’abus pour les directives de signalement, les avis de droit d’auteur et les demandes des forces de l’ordre.