Sanctuaire digital de connaissance de soi
Mustories · Sanctuaire digital de connaissance de soi
Document légal

Politique de confidentialité

Dernière mise à jour · 3 mai 2026

La présente politique de confidentialité a pour objet de vous informer, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »), des modalités de collecte et de traitement de vos données personnelles lorsque vous utilisez le service MUSTORIES.

1. Responsable du traitement

Princesse Tchassi Bekou, Entrepreneure Individuelle, 1 Square Chalgrin, 92600 Asnières-sur-Seine, France. SIREN 808 654 719.

Pour toute question relative à vos données ou à l'exercice de vos droits :
info@mustories.me

2. Données collectées

Nous collectons et traitons les données suivantes :

Lors de la création d'un compte

  • Prénom que vous renseignez
  • Adresse email
  • Mot de passe stocké sous forme de hash bcrypt (jamais en clair, irréversible)
  • Date d'inscription

Lors de votre utilisation du service

  • Questions et Octaves que vous formulez pendant les séances
  • Réponses générées par le moteur de Guidance Vibratoire
  • Métadonnées de séance (date, durée, nombre de questions)

Lors d'un achat

  • Produit acheté, montant, date
  • Identifiant client Stripe (les coordonnées bancaires sont collectées et stockées exclusivement par Stripe, jamais par MUSTORIES)
  • Statut de l'abonnement Pro le cas échéant

Données techniques

  • Cookie d'authentification (JWT signé, durée 30 jours, HttpOnly)
  • Adresse IP pour la sécurité (logs Vercel, conservés 30 jours)

Nous ne collectons aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions politiques, religieuses, orientation sexuelle, etc.). Si vous renseignez de telles informations dans le contenu de vos questions, vous le faites à titre volontaire et dans le seul cadre de votre demande de guidance.

3. Finalités et bases légales

Vos données sont traitées pour les finalités suivantes :

  • Gestion de votre compte (création, authentification, suppression), base légale : exécution du contrat (article 6.1.b RGPD)
  • Fourniture du service de Guidance, base légale : exécution du contrat
  • Encaissement et facturation, base légale : exécution du contrat et obligation légale (conservation comptable)
  • Support client, base légale : intérêt légitime à vous répondre
  • Sécurité du service (logs, prévention de la fraude), base légale : intérêt légitime à protéger l'application et nos utilisateurs
  • Respect des obligations comptables et fiscales, base légale : obligation légale

Aucun traitement à des fins marketing, profilage publicitaire ou cession de données à des tiers commerciaux n'est effectué.

4. Destinataires et sous-traitants

Vos données sont accessibles uniquement à Princesse Tchassi Bekou (responsable du traitement) et aux sous-traitants techniques suivants, chacun encadré par un accord de traitement (DPA) :

  • Vercel Inc. (États-Unis), hébergement applicatif. Encadrement : Data Privacy Framework (DPF) + Clauses Contractuelles Types (CCT) UE.
  • Supabase Inc. (États-Unis avec stockage en région Europe), base de données. Encadrement : DPF + CCT UE.
  • Stripe Payments Europe Ltd. (Irlande, UE), traitement des paiements. Conforme PCI-DSS niveau 1.
  • Anthropic, PBC (États-Unis), modèle d'IA Claude pour la génération des guidances. Encadrement : DPF + CCT UE. Anthropic ne conserve pas les requêtes API à des fins d'entraînement.

Vos données peuvent être transmises aux autorités administratives ou judiciaires françaises sur réquisition légale conforme.

5. Transferts hors Union européenne

Certains de nos sous-traitants (Vercel, Supabase, Anthropic) sont des sociétés américaines. Les transferts de données vers les États-Unis sont encadrés par :

  • L'adhésion de ces sociétés au EU-U.S. Data Privacy Framework (Décision d'adéquation de la Commission européenne du 10 juillet 2023)
  • Des Clauses Contractuelles Types (CCT) signées avec chaque sous-traitant

6. Durée de conservation

  • Compte actif : tant que votre compte est utilisé.
  • Compte inactif : suppression automatique après 3 ans sans connexion (vous serez prévenu·e par email avant suppression).
  • Séances et historiques de guidance : conservés tant que votre compte est actif. Vous pouvez les supprimer à tout moment depuis votre tableau de bord.
  • Données de paiement et factures : 10 ans (obligation comptable, article L123-22 du Code de commerce).
  • Logs techniques de sécurité : 12 mois maximum.
  • Cookie d'authentification : 30 jours.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès aux données vous concernant
  • Droit de rectification en cas de données inexactes
  • Droit à l'effacement (« droit à l'oubli »)
  • Droit à la limitation du traitement
  • Droit à la portabilité de vos données dans un format structuré
  • Droit d'opposition au traitement fondé sur l'intérêt légitime
  • Droit de définir des directives relatives au sort de vos données après votre décès
  • Droit de retirer votre consentement à tout moment lorsque le traitement repose sur celui-ci

Pour exercer l'un de ces droits, écrivez à info@mustories.me en précisant votre demande. Nous vous répondrons dans un délai maximal d'un mois (prolongeable de deux mois en cas de demande complexe).

Si vous estimez, après nous avoir contactée, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : cnil.fr, 3 Place de Fontenoy, 75007 Paris.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement des communications (HTTPS/TLS)
  • Mots de passe stockés en hash bcrypt avec sel
  • Cookies d'authentification HttpOnly + Secure + SameSite
  • Coordonnées bancaires jamais stockées par MUSTORIES (uniquement chez Stripe, certifié PCI-DSS)
  • Accès à la base de données limité à la responsable du traitement
  • Sauvegardes régulières et chiffrées

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous en informerons dans les meilleurs délais conformément à l'article 34 du RGPD, et notifierons la CNIL sous 72 heures.

9. Cookies

MUSTORIES utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • Cookie d'authentification (`mustories_token`, JWT, 30 jours, HttpOnly) : indispensable à votre connexion.

Aucun cookie de mesure d'audience, de publicité ou de réseau social tiers n'est déposé. Conformément à l'article 82 de la loi Informatique et Libertés, ces cookies strictement nécessaires sont exemptés de consentement.

10. Modification de la présente politique

La présente politique peut être modifiée pour s'adapter aux évolutions législatives, réglementaires ou techniques. Toute modification substantielle vous sera notifiée par email avant son entrée en vigueur. La date de dernière mise à jour figure en haut de ce document.