Vos données personnelles

Politique de confidentialité

Dernière mise à jour : 10 mai 2026

Préambule

La présente politique décrit la manière dont Le Lab Coréen traite les données personnelles de ses utilisateurs. Elle s'applique au site et aux services en ligne édités par Sumi LEDAIN, micro-entrepreneuse (voir mentions légales).

Elle est établie conformément au règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

1. Responsable de traitement

Le responsable du traitement des données collectées via le site est :

  • Sumi LEDAIN, micro-entrepreneuse et éditrice
  • Adresse : 1C rue pierre gringoire, 14000 Caen
  • SIREN : 841 924 186

Contact RGPD : contact@lelabcoreen.fr (à défaut, via le formulaire de contact).

Aucun Délégué à la Protection des Données (DPO) n'est désigné : cette nomination n'est pas obligatoire pour la structure et le volume de traitements du site.

2. Traitements réalisés

Chaque traitement est décrit ci-dessous avec sa finalité, sa base légale, les données concernées, les destinataires, la durée de conservation et le caractère obligatoire ou facultatif de la collecte.

2.1 Création et gestion du compte

  • Finalité : permettre l'inscription, la connexion et la gestion du profil utilisateur.
  • Base légale : exécution du contrat de service (art. 6.1.b RGPD).
  • Données : email, prénom, nom, mot de passe (stocké uniquement sous forme hashée).
  • Caractère : obligatoire pour créer un compte.
  • Destinataires : éditeur du site uniquement.
  • Durée : tant que le compte est actif ; après suppression, les données personnelles sont anonymisées.

2.2 Authentification et sécurité du compte

  • Finalité : vérifier l'identité de l'utilisateur à chaque connexion, prévenir la fraude et détecter les usages anormaux.
  • Base légale : intérêt légitime à assurer la sécurité du service (art. 6.1.f RGPD).
  • Données : événements de connexion (succès/échec, user-agent, empreinte HMAC de l'adresse IP — jamais l'IP en clair), sessions actives.
  • Destinataires : éditeur du site uniquement.
  • Durée : 60 jours pour les événements de connexion, jusqu'à révocation ou expiration pour les sessions actives.

2.3 Gestion des abonnements

  • Finalité : gérer la souscription, la facturation, la reconduction, la résiliation et le remboursement des abonnements.
  • Base légale : exécution du contrat (art. 6.1.b RGPD) et obligation légale comptable (art. 6.1.c RGPD).
  • Données : plan souscrit, dates, statuts de paiement, événements de cycle de vie, références internes.
  • Destinataires : éditeur + Stripe (paiement).
  • Durée : 10 ans après la dernière opération commerciale (obligation comptable, art. L123-22 Code de commerce).

2.4 Paiement

  • Finalité : encaisser le règlement des abonnements et des renouvellements.
  • Base légale : exécution du contrat (art. 6.1.b RGPD).
  • Données : identifiant client Stripe, statut des paiements. Les données bancaires (numéro de carte, cryptogramme) ne sont jamais stockées sur nos serveurs : elles transitent directement vers Stripe.
  • Destinataires : Stripe (sous-traitant de paiement, certifié PCI-DSS).
  • Durée : selon la politique de Stripe + 10 ans pour les traces comptables locales.
  • Transfert hors UE : oui — voir section 5.

2.5 Envoi d'emails transactionnels

  • Finalité : envoyer les emails liés au fonctionnement du service : vérification d'email, réinitialisation de mot de passe, confirmations d'abonnement, rappels, notifications de sécurité.
  • Base légale : exécution du contrat (art. 6.1.b RGPD).
  • Données : email, contenu du message transactionnel.
  • Destinataires : Resend (sous-traitant d'envoi).
  • Durée : conservation des journaux selon la politique de Resend.
  • Transfert hors UE : oui — voir section 5.

2.6 Support et formulaire de contact

  • Finalité : répondre aux demandes et gérer la relation utilisateur.
  • Base légale : intérêt légitime à répondre aux demandes (art. 6.1.f RGPD) ou mesures précontractuelles selon le contexte.
  • Données : nom, email, contenu du message, adresse IP, score anti-spam.
  • Caractère : obligatoire pour pouvoir traiter la demande.
  • Destinataires : éditeur du site uniquement.
  • Durée : 3 ans après la dernière interaction.

2.7 Newsletter et communications marketing

  • Finalité : informer des nouvelles leçons publiées et partager des conseils d'apprentissage.
  • Fréquence maximale : 2 emails par mois.
  • Base légale : consentement (art. 6.1.a RGPD), recueilli via une case à cocher non pré-cochée, soit au moment de l'inscription, soit ultérieurement depuis l'espace membre (onglet Préférences).
  • Traçabilité du consentement : la date d'acceptation et la version du texte accepté sont conservées comme preuve (art. 7.1 RGPD).
  • Données : email, prénom.
  • Caractère : facultatif ; l'absence de consentement n'empêche pas l'utilisation du site ni la souscription d'un abonnement.
  • Destinataires : éditeur + Resend (envoi).
  • Retrait du consentement : à tout moment, par trois moyens équivalents :
    1. un lien de désabonnement en un clic présent dans le pied de chaque email newsletter (token signé, sans connexion requise) ;
    2. le bouton natif « Se désabonner » de votre client email (Gmail, Yahoo, Apple Mail…), activé par les en-têtes techniques List-Unsubscribe conformes à la RFC 8058 ;
    3. la case à cocher de l'onglet Préférences de votre espace membre.
  • Durée : jusqu'au retrait du consentement ; le retrait est immédiat et définitif (aucune nouvelle newsletter envoyée après désinscription).

2.8 Progression pédagogique, favoris, visios

  • Finalité : mémoriser la progression dans les cours, les favoris, l'avancement sur le vocabulaire et les réservations de visios.
  • Base légale : exécution du contrat (art. 6.1.b RGPD).
  • Données : leçons vues, statut de complétion, unités favorites, réservations de visios.
  • Destinataires : éditeur du site uniquement.
  • Durée : tant que le compte est actif.

2.9 Questions et propositions de réponses

  • Finalité : permettre aux utilisateurs de poser des questions sur les cours et de proposer des réponses, modération incluse.
  • Base légale : exécution du contrat (art. 6.1.b RGPD) et intérêt légitime pour la modération (art. 6.1.f RGPD).
  • Données : contenu publié, statut de modération, motif principal de décision communiqué à l'auteur concerné, dates.
  • Caractère : facultatif.
  • Destinataires : éditeur + utilisateurs du site (les questions validées sont visibles publiquement sur les unités concernées).
  • Durée : tant que le compte est actif ; suppression avec le compte.

2.10 Signalements de contenu et décisions de modération

  • Finalité : recevoir, instruire et tracer les signalements de contenus publics, notifier le signaleur lorsque cela est possible, et documenter les décisions de modération prises au titre des CGU ou du DSA.
  • Base légale : obligation légale liée au traitement des signalements et décisions de modération (art. 6.1.c RGPD) et intérêt légitime à sécuriser les espaces communautaires (art. 6.1.f RGPD).
  • Données : URL ou page visée, extrait du contenu signalé, catégorie du signalement, description, nom, email, éléments anti-spam, identité du relecteur, décision prise, motif principal communiqué à l'auteur concerné, dates.
  • Caractère : les données demandées dans le formulaire dédié sont nécessaires pour instruire utilement le signalement et, le cas échéant, adresser un accusé de réception ou une réponse.
  • Destinataires : éditeur du site uniquement, sauf transmission imposée par la loi à une autorité compétente.
  • Durée : 3 ans à compter de la clôture du signalement ou de la décision concernée, puis suppression ou anonymisation, sauf conservation plus longue nécessaire à la constatation, l'exercice ou la défense de droits en justice.

3. Durées de conservation (synthèse)

  • Compte actif : jusqu'à suppression par l'utilisateur.
  • Compte supprimé : anonymisation immédiate ; conservation technique des enregistrements anonymisés nécessaires à l'historique du service.
  • Données de facturation et d'abonnement : 10 ans après la dernière opération (obligation comptable).
  • Journal de connexion : 60 jours.
  • Sessions actives : jusqu'à révocation manuelle ou expiration.
  • Messages du formulaire de contact : 3 ans après la dernière interaction.
  • Newsletter : jusqu'au retrait du consentement.
  • Signalements de contenu et décisions de modération : 3 ans après clôture, sauf conservation plus longue nécessaire en cas de litige.
  • Cookies strictement nécessaires : durée de la session ou au maximum 13 mois.

4. Destinataires et sous-traitants

En dehors de l'éditeur, les destinataires de certaines données sont des sous-traitants strictement nécessaires au fonctionnement du service :

  • Stripe (Stripe Payments Europe, Ltd.) — traitement des paiements par carte bancaire. Les données bancaires ne transitent jamais par nos serveurs.
  • Resend (Resend, Inc.) — envoi des emails transactionnels et de la newsletter.
  • HébergeurIONOS SARL — hébergement technique du site.
  • Adresse : 7 place de la Gare, BP 70109, 57201 Sarreguemines Cedex, France
  • Téléphone : 09 70 80 89 11
  • Localisation du serveur : Allemagne

Les données ne sont ni vendues, ni louées, ni transmises à des tiers à des fins commerciales. Elles peuvent être transmises à l'autorité judiciaire ou aux services compétents uniquement dans le cadre d'une obligation légale.

5. Transferts de données hors Union européenne

Certaines données peuvent être transférées en dehors de l'Union européenne du fait du recours aux prestataires ci-dessous. Ces transferts sont encadrés par les clauses contractuelles types (CCT) approuvées par la Commission européenne (décision 2021/914), qui offrent un niveau de protection reconnu équivalent à celui du RGPD.

  • Stripe : maison-mère aux États-Unis ; entité européenne de traitement (Stripe Payments Europe, Ltd., Irlande) ; transferts encadrés par CCT + certifications de conformité.
  • Resend : société basée aux États-Unis ; transferts encadrés par CCT.

6. Cookies

Le site utilise uniquement des cookies strictement nécessaires à son fonctionnement (session utilisateur, protection CSRF). Aucun traceur publicitaire, de mesure d'audience non anonyme ou de réseaux sociaux n'est déposé.

Le détail des cookies techniques utilisés et des éventuels services tiers activés sur le site est décrit dans la politique de cookies.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15 RGPD) — consulter et récupérer les principales données vous concernant via le bouton « Télécharger mes données » dans l'espace membre.
  • Droit de rectification (art. 16 RGPD) — corriger vos informations depuis votre profil.
  • Droit à l'effacement (art. 17 RGPD) — supprimer votre compte depuis l'espace membre, ce qui entraîne l'anonymisation immédiate de vos données personnelles.
  • Droit à la limitation du traitement (art. 18 RGPD) — demander le gel de certains traitements.
  • Droit à la portabilité (art. 20 RGPD) — récupérer vos données dans un format lisible et structuré (fichier JSON) depuis votre espace membre.
  • Droit d'opposition (art. 21 RGPD) — s'opposer au traitement de vos données fondé sur l'intérêt légitime.
  • Droit de retirer votre consentement à tout moment (art. 7.3 RGPD) — lorsque le traitement repose sur votre consentement, comme la newsletter.
  • Droit de définir le sort de vos données après votre décès (art. 85 Loi Informatique et Libertés) — directives générales auprès d'un tiers de confiance désigné par décret ou directives particulières communiquées directement à l'éditeur.

Comment exercer vos droits

  • Si vous êtes connecté·e : depuis votre espace membre (onglet « Préférences », « Mes données », « Sécurité ») ; l'export JSON demande une confirmation par mot de passe.
  • Si vous n'êtes plus connecté·e ou pour une demande plus large : par email à contact@lelabcoreen.fr ou via le formulaire de contact, en indiquant précisément votre demande et l'email associé au compte.

Périmètre de l'export JSON en self-service

L'export disponible dans l'espace membre couvre les données rattachées directement au compte : profil, préférences, abonnements, progression, favoris, vocabulaire, réservations visio, questions/propositions de réponses et historique de sécurité conservé. Il inclut aussi les identifiants Stripe non secrets, les consentements et les empreintes HMAC d'IP lorsque ces empreintes sont effectivement stockées.

Ne sont pas inclus dans cet export automatique : les secrets techniques (mot de passe hashé, tokens, identifiants de session), les données bancaires détenues par Stripe, les messages de contact ou signalements non rattachés de manière fiable au compte, et les données d'administration éditoriale. Ces demandes plus larges peuvent être traitées manuellement via le contact RGPD.

Aucun justificatif d'identité n'est demandé par défaut ; il pourra être demandé uniquement en cas de doute raisonnable sur votre identité, conformément aux recommandations de la CNIL.

Délai de réponse : 1 mois à compter de la réception de la demande, prolongeable de 2 mois supplémentaires pour les demandes complexes (art. 12.3 RGPD) avec information préalable.

Réclamation : vous disposez du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :

  • en ligne : www.cnil.fr/fr/plaintes ;
  • par courrier : CNIL — 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 ;
  • par téléphone : 01 53 73 22 22 (du lundi au jeudi, 9 h – 18 h 30 ; le vendredi, 9 h – 18 h).

8. Prise de décision automatisée

Le site utilise des outils automatisés d'aide à la détection du spam et des contenus manifestement abusifs pour assister la modération des formulaires et des espaces de publication. Ces outils peuvent conduire à un classement initial ou à un refus provisoire de publication, avec possibilité de réexamen humain.

Aucune décision produisant des effets juridiques ou vous affectant significativement au sens de l'article 22 RGPD n'est prise de manière entièrement automatisée sur la base de vos données personnelles.

9. Protection des mineurs

Le service est accessible à partir de 15 ans, conformément à l'article 45 de la loi Informatique et Libertés qui fixe à 15 ans l'âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles dans le cadre d'un service de la société de l'information.

La création d'un compte nécessite de déclarer avoir 15 ans ou plus lors de l'inscription. Pour les mineurs de moins de 15 ans, la création d'un compte est interdite ; tout compte identifié comme appartenant à un mineur de moins de 15 ans est supprimé et les données associées anonymisées sans délai.

Abonnement payant : la souscription d'un abonnement engage financièrement l'utilisateur. Les mineurs non émancipés doivent obtenir l'accord préalable de leur représentant légal avant toute souscription.

Les représentants légaux peuvent à tout moment nous contacter via l'adresse RGPD pour faire valoir leurs droits concernant un compte ouvert par un mineur.

10. Notification d'incident de sécurité

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, l'éditeur s'engage à :

  • notifier l'incident à la CNIL dans un délai de 72 heures après en avoir pris connaissance (art. 33 RGPD) ;
  • informer directement les personnes concernées lorsque le risque est élevé (art. 34 RGPD).

11. Mesures de sécurité

  • Chiffrement des échanges via HTTPS sur l'ensemble du site.
  • Mots de passe hashés avec un algorithme robuste ; jamais stockés en clair.
  • Journalisation des tentatives de connexion et sessions révocables à tout moment.
  • Anonymisation immédiate des données personnelles à la suppression du compte.
  • Adresses IP conservées sous forme d'empreintes (HMAC), jamais en clair.
  • Mises à jour régulières des dépendances et surveillance des événements sensibles.

11.1 Choix « privacy by design » : aucune adresse IP conservée en clair

Le site a fait le choix explicite de ne jamais conserver d'adresse IP en clair, en application du principe de minimisation des données (art. 5.1.c RGPD) et de protection des données dès la conception (art. 25 RGPD).

Concrètement :

  • les adresses IP utilisées pour la sécurité (détection de tentatives de connexion anormales, anti-spam, rate limiting) sont immédiatement transformées en empreintes cryptographiques HMAC-SHA256 avant enregistrement ;
  • l'empreinte permet de rapprocher deux requêtes provenant de la même IP dans une fenêtre courte (pour détecter un abus), sans jamais permettre de reconstituer l'IP d'origine ;
  • les empreintes sont conservées 60 jours maximum, puis purgées automatiquement.

Conséquence sur les réquisitions judiciaires : en tant qu'éditeur hébergeur de contenus publiés par les utilisateurs (questions, propositions de réponses, messages de contact), l'éditrice est soumise au cadre de la loi pour la confiance dans l'économie numérique (LCEN, loi n°2004-575). Le choix technique ci-dessus signifie qu'en cas de réquisition, l'éditrice ne peut fournir que les données strictement conservées (email, historique d'activité sur le compte, empreintes HMAC non réversibles) — aucune adresse IP d'origine ne peut être restituée, puisque aucune n'est stockée en clair. Ce choix est revendiqué et documenté dans la présente politique au titre de la transparence (art. 13 RGPD).

12. Modifications de la politique

Cette politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. La date de dernière mise à jour figure en haut de la page. Les modifications substantielles sont signalées par une notification dans l'espace membre ou par email lorsque cela est pertinent.

13. Contact

Pour toute question relative à la présente politique ou à l'exercice de vos droits :