Last updated: Jun 19, 2026 — Version 1.0
Privacy Policy
La présente politique de confidentialité s'applique à l'ensemble des services proposés par Lucky North Star LLC (ci-après « MVN », « nous » ou « le Responsable de traitement ») via le site marcusvance.com et toute application associée. Elle décrit de manière exhaustive les données personnelles que nous collectons, les finalités et bases légales de chaque traitement, les durées de conservation, les destinataires de vos données, les transferts hors Union européenne, ainsi que l'ensemble des droits dont vous disposez.
1. Identité du Responsable de traitement
2. Délégué à la Protection des Données (DPO)
Marcus Vance Network has designated a Privacy Officer responsible for ensuring compliance with the GDPR (Regulation (EU) 2016/679), CCPA/CPRA, and applicable US federal and state privacy laws. You may contact the Privacy Officer for any question regarding your personal data or to exercise your rights:
Privacy Officer / DPO
E-mail : Formulaire vie privée
Mailing address: Lucky North Star LLC, Attn: Privacy Officer, 1309 Coffeen Ave, Sheridan, WY 82801-5777, USA
Délai de réponse garanti : 30 jours calendaires à compter de la réception de votre demande (délai pouvant être prolongé de 2 mois supplémentaires pour les demandes complexes, avec notification).
3. Données collectées, bases légales et finalités
Nous appliquons le principe de minimisation des données (art. 5 §1 c) RGPD) : seules les données strictement nécessaires à chaque finalité sont collectées. Le tableau ci-dessous détaille les traitements, leur base légale et leur durée de conservation.
| Catégorie | Données | Base légale | Finalité |
|---|---|---|---|
| Compte | E-mail, prénom, nom (optionnel), pseudonyme, mot de passe haché (bcrypt) | Exécution du contrat (art. 6 §1 b) | Création et gestion du compte, authentification |
| Session | Token JWT, date/heure de connexion, type d'appareil, OS | Intérêt légitime — sécurité (art. 6 §1 f) | Sécurité du compte, détection d'accès non autorisés |
| Paiement | Identifiant Stripe (token), derniers 4 chiffres carte, statut abonnement — aucun numéro complet stocké par MVN | Exécution du contrat (art. 6 §1 b) + Obligation légale (art. 6 §1 c) | Traitement des paiements, gestion abonnements, conformité fiscale |
| Progression | Cours consultés, résultats de quiz, durée d'écoute podcasts, crédits MVN accumulés | Exécution du contrat (art. 6 §1 b) | Suivi de progression, calcul de crédits, reprise de contenu |
| Réseau P2P | nodeId (pseudonyme local), statistiques agrégées de contribution, score de fiabilité, adresse IP partielle (2 octets) | Exécution du contrat + Consentement pour le nodeId (art. 6 §1 a/b) | Optimisation du routage P2P, équilibrage de charge, système de crédits |
| Communications | Exécution du contrat (transactionnelles) / Consentement (marketing, art. 6 §1 a) | Confirmation inscription, réinitialisation MDP, alertes sécurité, newsletter (si consentement) | |
| Logs sécurité | Adresse IP complète, horodatage, action effectuée, code de réponse | Intérêt légitime — sécurité (art. 6 §1 f) | Détection et prévention des abus, forensique en cas d'incident |
| Analytics propres | Pages visitées, durée de session, type de navigateur (anonymisé, sans IP) | Consentement (art. 6 §1 a) | Amélioration du Service, mesure d'audience (solution auto-hébergée) |
Nous ne collectons aucune donnée sensible au sens de l'article 9 du RGPD (données de santé, opinions politiques, croyances religieuses, données biométriques, etc.), aucune donnée de géolocalisation précise, ni aucun contenu de communications privées.
Vos données ne sont jamais utilisées pour du ciblage publicitaire, du profilage commercial, ou pour entraîner des modèles d'intelligence artificielle tiers.
4. Durées de conservation
Conformément au principe de limitation de la conservation (art. 5 §1 e) RGPD), vos données ne sont conservées que le temps strictement nécessaire aux finalités pour lesquelles elles ont été collectées.
| Type de données | Durée de conservation active | Archivage / suppression |
|---|---|---|
| Données de compte (email, nom, pseudonyme) | Durée de vie du compte actif | Suppression dans les 30 jours suivant la clôture du compte |
| Mot de passe haché (bcrypt) | Durée de vie du compte actif | Suppression immédiate à la clôture du compte |
| Tokens de session JWT | Durée de la session (max. 30 jours) | Expiration automatique ou révocation immédiate à la déconnexion |
| Données de paiement (token Stripe) | Durée de vie du compte + 10 ans | 7 years per US tax record-keeping requirements (IRS guidelines) |
| Données de progression (cours, quiz, podcasts) | Durée de vie du compte actif | Suppression dans les 30 jours suivant la clôture |
| Statistiques P2P agrégées et anonymisées | 36 mois | Suppression automatique après 36 mois (données non ré-identifiables) |
| Logs de sécurité (adresse IP, actions) | 12 mois | Suppression automatique après 12 mois, sauf procédure judiciaire en cours |
| Données analytics anonymisées | 13 mois | Auto-deleted after 13 months (industry best practice) |
| Consentements (cookies, marketing) | 5 ans | Conservation à des fins de preuve de conformité, puis suppression |
En cas d'inactivité de votre compte pendant 24 mois consécutifs, vous recevrez un e-mail de notification. Sans réponse dans un délai de 30 jours, votre compte sera archivé puis supprimé conformément aux délais indiqués ci-dessus.
5. Partage avec des tiers et sous-traitants
Nous ne vendons jamais vos données personnelles à des tiers, et ne les louons ni ne les échangeons à des fins commerciales. Vos données peuvent être partagées uniquement dans les cas suivants, avec des garanties contractuelles strictes :
Supabase Inc. — Base de données
Rôle : Sous-traitant (art. 28 RGPD). Héberge la base de données relationnelle (comptes utilisateurs, progression, crédits MVN).
Localisation des serveurs : Union européenne (région EU West).
Garanties : DPA (Data Processing Agreement) signé, certifications SOC 2 Type II. Politique de confidentialité : supabase.com/privacy
Stripe Inc. — Traitement des paiements
Rôle : Responsable de traitement indépendant pour la partie paiement ; sous-traitant MVN pour la gestion des abonnements. Stripe reçoit les données de paiement directement depuis votre navigateur — MVN ne stocke aucun numéro de carte.
Localisation : États-Unis — transfert encadré par des Clauses Contractuelles Types (SCCs) de la Commission européenne.
Garanties : certifié PCI-DSS Level 1, DPA signé avec MVN. Politique de confidentialité : stripe.com/privacy
Vercel Inc. — Hébergement web
Rôle : Sous-traitant. Héberge l'interface web Next.js (marcusvance.com). Vercel peut traiter temporairement des adresses IP dans ses logs de réseau de diffusion de contenu (CDN).
Siège : 340 Pine Street Suite 701, San Francisco, CA 94104, États-Unis. Transfert encadré par SCCs.
Garanties : DPA signé, SOC 2 Type II. Politique de confidentialité : vercel.com/legal/privacy-policy
Autorités compétentes — Obligation légale
Vos données peuvent être communiquées à des autorités judiciaires ou administratives compétentes lorsqu'une disposition légale, une décision de justice ou une injonction d'une autorité réglementaire l'exige. Nous nous engageons à vous en informer dans la mesure où la loi applicable ne nous l'interdit pas.
6. Transferts de données hors Union européenne
Certains de nos sous-traitants sont établis aux États-Unis (Vercel, Stripe). Ces transferts vers des pays tiers ne disposant pas d'une décision d'adéquation de la Commission européenne sont encadrés par les Clauses Contractuelles Types (CCT / SCCs) adoptées par la Commission européenne le 4 juin 2021 (décision d'exécution 2021/914/UE), conformément à l'article 46 §2 c) du RGPD.
La base de données principale (Supabase) est hébergée en Union européenne, limitant ainsi les transferts transatlantiques aux seules métadonnées techniques strictement nécessaires au fonctionnement des services Vercel et Stripe.
Vous pouvez obtenir copie des SCCs applicables en nous contactant à Formulaire vie privée.
7. Vos droits (RGPD — Règlement UE 2016/679)
Si vous résidez dans l'Espace Économique Européen (EEE), au Royaume-Uni ou en Suisse, vous disposez des droits suivants sur vos données personnelles. Toutes les demandes doivent être adressées à Formulaire vie privée avec une pièce d'identité permettant de vérifier votre identité. Délai de réponse garanti : 30 jours calendaires.
Droit d'accès (art. 15 RGPD)
Obtenir la confirmation que vos données sont traitées et en recevoir une copie complète dans un format lisible, accompagnée des informations sur les finalités, catégories, destinataires et durées de conservation.
Droit de rectification (art. 16 RGPD)
Faire corriger sans délai injustifié les données inexactes vous concernant, et faire compléter les données incomplètes.
Droit à l'effacement — « droit à l'oubli » (art. 17 RGPD)
Demander la suppression de vos données personnelles lorsque celles-ci ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, lorsque vous retirez votre consentement, ou lorsque vous vous y opposez. Ce droit ne s'applique pas lorsque le traitement est nécessaire au respect d'une obligation légale (ex. : données comptables à conserver 10 ans).
Droit à la portabilité (art. 20 RGPD)
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), et les transmettre à un autre responsable de traitement. Ce droit s'applique aux données fournies sur la base du consentement ou d'un contrat.
Droit d'opposition (art. 21 RGPD)
Vous opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime (notamment pour la personnalisation et les analytics). Pour les communications marketing, vous pouvez vous désabonner via le lien présent dans chaque e-mail.
Droit à la limitation du traitement (art. 18 RGPD)
Demander la suspension temporaire du traitement de vos données — par exemple pendant la vérification de leur exactitude ou de la légitimité du traitement. Pendant la période de limitation, nous conservons vos données sans les utiliser.
Droit de retrait du consentement (art. 7 §3 RGPD)
Retirer à tout moment un consentement préalablement donné (cookies optionnels, newsletter) sans que cela remette en cause la licéité des traitements effectués avant ce retrait. Vous pouvez retirer votre consentement aux cookies via la bannière de consentement ou depuis votre profil.
Right to define post-mortem instructions
Define instructions regarding the storage, deletion, and communication of your personal data after your death.
8. Supervisory Authorities
If you believe that the processing of your personal data does not comply with applicable regulations, you have the right to lodge a complaint with the competent supervisory authority:
US — Federal Trade Commission (FTC)
For US residents with privacy or consumer protection complaints.
Website: www.ftc.gov
EU residents — Local Data Protection Authority
EU/EEA residents may lodge a complaint with the supervisory authority in their country of residence (e.g., CNIL for France, BfDI for Germany, ICO for the UK).
EU DPA list: edpb.europa.eu
We invite you, before filing any complaint, to contact us at Formulaire vie privée so we can address your request promptly.
9. Cookies et traceurs
MVN utilise des cookies et technologies similaires. Pour une information exhaustive sur les cookies déposés, leurs finalités et comment les gérer, consultez notre politique de cookies. Vous pouvez modifier vos préférences à tout moment via la bannière de consentement accessible en bas de chaque page.
10. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD :
- Chiffrement en transit : TLS 1.2 minimum sur toutes les communications entre votre navigateur et nos serveurs.
- Chiffrement au repos : données chiffrées sur les serveurs Supabase (AES-256).
- Hachage des mots de passe : algorithme bcrypt avec facteur de coût adaptatif (cost factor ≥ 12).
- Tokens JWT : durée de vie limitée, rotation automatique, révocation immédiate possible.
- Accès restreint : principe du moindre privilège — seuls les employés ayant besoin d'accéder aux données y ont accès.
- Audits de sécurité : revues de sécurité régulières du code et des configurations d'infrastructure.
- Protection CSRF : jeton anti-CSRF sur toutes les requêtes modifiant l'état.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour vos droits et libertés, nous nous engageons à vous notifier dans les 72 heures suivant notre prise de connaissance de l'incident, conformément à l'article 34 du RGPD.
11. Protection des mineurs
Le Service Marcus Vance Network est destiné à un public adulte et aux personnes ayant atteint l'âge de la majorité numérique applicable dans leur pays de résidence :
- Union européenne : âge minimum 16 ans pour le consentement au traitement des données (art. 8 RGPD — certains États membres ont retenu 13, 14 ou 15 ans ; MVN applique la limite la plus protectrice, soit 16 ans).
- États-Unis (COPPA) : âge minimum 13 ans. Aucun service n'est destiné aux enfants de moins de 13 ans. En cas de découverte qu'un enfant de moins de 13 ans a créé un compte, nous procédons à la suppression immédiate des données.
- Autres pays : l'utilisateur déclare avoir atteint l'âge légal pour consentir à des services numériques dans son pays de résidence. En cas de doute, l'âge minimum de 16 ans s'applique.
Pour signaler un compte appartenant à un mineur : Formulaire légal
12. Droits spécifiques aux résidents californiens (CCPA / CPRA)
Si vous résidez en Californie, le California Consumer Privacy Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA), vous confère des droits supplémentaires :
Droit de savoir
Connaître les catégories et éléments spécifiques de données personnelles collectées vous concernant, les catégories de sources, les finalités commerciales et les catégories de tiers avec lesquels elles sont partagées.
Droit de suppression
Demander la suppression de vos données personnelles, sous réserve des exceptions légales (obligations de conservation, sécurité, exercice de droits légaux).
Do Not Sell or Share My Personal Information
MVN ne vend pas et ne partage pas vos données personnelles à des tiers à des fins de publicité ciblée inter-entreprises. Les catégories de données personnelles collectées par MVN sont : identifiants (e-mail, pseudonyme), données de compte, données de navigation sur MVN, données d'achat (via Stripe). Aucune de ces catégories n'est vendue.
Droit à la non-discrimination
Vous ne subirez aucune discrimination pour avoir exercé vos droits CCPA. MVN ne refusera pas de services, ne pratiquera pas de prix différenciés, et ne modifiera pas la qualité du service en réponse à l'exercice de vos droits.
Droit de correction
Faire corriger les données personnelles inexactes vous concernant.
Droit à la limitation de l'utilisation des données sensibles
MVN ne collecte aucune donnée sensible au sens du CPRA (numéros de sécurité sociale, données financières complètes, données de santé, données biométriques, géolocalisation précise, communications privées, informations sur la race/origine, religion, orientation sexuelle).
Pour exercer vos droits CCPA, contactez-nous à Formulaire légal ou à Formulaire vie privée. Délai de réponse : 45 jours (prolongeable de 45 jours supplémentaires avec notification). Vous pouvez également soumettre une demande vérifiable au nom d'un tiers autorisé.
MVN a traité moins de 100 000 consommateurs californiens au cours des 12 derniers mois et n'a réalisé aucun chiffre d'affaires lié à la vente de données personnelles.
13. Modifications de la présente politique
La présente politique peut être mise à jour pour refléter des évolutions légales, réglementaires ou opérationnelles. La date de dernière révision figure en haut de cette page. En cas de modification substantielle affectant vos droits ou la nature des traitements, nous vous en informerons par e-mail au moins 30 jours avant l'entrée en vigueur des changements.
L'utilisation continue du Service après la date d'entrée en vigueur des modifications vaut acceptation de la politique mise à jour. Si vous n'acceptez pas les modifications, vous avez le droit de clôturer votre compte et de demander la suppression de vos données.
14. Contacts
Privacy Officer / DPO
Pour exercer vos droits RGPD, toute question relative aux données personnelles.
Service Légal
Demandes CCPA, propriété intellectuelle, obligations légales, droits tiers.