Politique de confidentialité

Qui est le responsable du traitement

Abundancia Capital LLC, société à responsabilité limitée du Wyoming (États-Unis), est le responsable du traitement (au sens de l'article 4, 7° du RGPD) pour les données personnelles traitées via quantabundancia.com, api.quantabundancia.com, nos newsletters, nos canaux Telegram et tout abonnement payant. Contact : louis@expat-llc.com.

Ce que nous collectons

Nous collectons le minimum de données nécessaire à l'exploitation du service. Concrètement :

• Adresse e-mail— lorsque vous vous inscrivez au digest quotidien, à la liste d'attente premium ou à un abonnement payant.
• Tag de provenance — une chaîne courte (ex. footer, premium-waitlist-portfolios) pour savoir d'où vient un e-mail. Aucun pixel de tracking, aucun UTM, aucun identifiant cross-site.
• Métadonnées Stripe (client + abonnement)— pour les abonnés payants : e-mail de facturation, statut de l'abonnement, plan, pays (pour la fiscalité), et identifiants Stripe. Nous ne voyons ni ne stockons les numéros complets de carte — Stripe gère directement.
• Nom d'affichage (optionnel) — si vous choisissez d'apparaître sur le mur public des supporters. Désactivé par défaut.
• Telegram chat ID — uniquement si vous rejoignez un canal Telegram payant et écrivez au bot. Utilisé pour vous délivrer les messages de votre abonnement.
• Analytics anonymisévia Google Analytics 4 (GA4) — vues de page, géolocalisation au niveau pays, source de référence. Consentement par défaut refusé : pas de cookies analytics tant que vous n'avez pas accepté la bannière. Anonymisation d'IP active en toute circonstance. Voir /fr/disclosures#cookies.
• Logs serveur— IP, user-agent, horodatage, chemin demandé, source de référence. Logs nginx/serveur standards, conservés au maximum 30 jours pour la sécurité et la détection d'abus.

Pourquoi nous collectons (bases légales — RGPD)

Pour les utilisateurs résidant dans l'Espace économique européen, au Royaume-Uni ou en Suisse, les bases légales prévues à l'article 6 du RGPD / UK GDPR sont :

• Exécution d'un contrat (art. 6, 1, b) — pour livrer les newsletters auxquelles vous vous êtes inscrit et fournir les services aux abonnés payants.
• Intérêts légitimes(art. 6, 1, f) — pour la sécurité, la prévention d'abus, le débogage et un analytics agrégé très basique. Mis en balance avec vos intérêts de protection de la vie privée par conception (pas de profiling, pas de publicité, pas de vente de données).
• Consentement (art. 6, 1, a) — pour les cookies analytics (Google Consent Mode v2 par défaut refusé) et les affichages optionnels comme le mur public des supporters.
• Obligation légale (art. 6, 1, c) — pour conserver les registres pertinents pour la fiscalité (historique de factures Stripe) pendant les durées exigées par la législation fiscale applicable.

Pour les utilisateurs au Brésil, nous appliquons les bases équivalentes prévues à l'article 7 de la LGPD (Loi nº 13.709/2018) ; pour la Californie, la conformité au CCPA / CPRA.

Qui d'autre y accède (sous-traitants)

Nous utilisons les sous-traitants suivants. Chacun est lié par ses propres conditions de confidentialité ; cliquer sur le nom mène à ces conditions.

• Stripe, Inc. (États-Unis) — traitement des paiements, gestion des abonnements. Établissement de paiement pour les tiers payants.
• Resend (États-Unis) — livraison d'e-mails transactionnels et de newsletter.
• Telegram FZ-LLC (EAU) — livraison de messages si vous rejoignez un canal Telegram.
• Google LLC (États-Unis) — Google Analytics 4 (anonymisé, sous consentement). Pas de publicité, pas de Google Signals, pas de ciblage d'audience.
• Hetzner Online GmbH (Allemagne) — hébergement VPS. Logs serveur et base de données applicative résident ici.
• Cloudflare, Inc. (États-Unis) — résolution DNS pour le domaine apex.

Nous ne vendons, ne louons et n'échangeons pas de données personnelles. Nous ne partageons pas de données personnelles avec des annonceurs, courtiers en données ou plateformes de ciblage d'audience.

Transferts internationaux

Les données personnelles d'utilisateurs européens, britanniques ou suisses peuvent être transférées et traitées aux États-Unis et dans d'autres juridictions où nos sous-traitants opèrent. Lorsque cela est requis, nous nous appuyons sur les Clauses contractuelles types de la Commission européenne, l'UK International Data Transfer Addendum, et (le cas échéant) sur les certifications de sous-traitants au titre de l'EU-US Data Privacy Framework, comme mécanismes de transfert.

Combien de temps nous conservons

• Inscrits e-mail— conservés jusqu'à votre désinscription (lien un-clic dans chaque e-mail), puis supprimés sous 30 jours.
• Registres d'abonnement Stripe — conservés pendant la durée requise par la législation fiscale (typiquement 7 ans à compter de la dernière facture), puis supprimés ou anonymisés.
• Logs serveur — rotation et suppression sous 30 jours.
• Données anonymisées GA4 — conservées selon la configuration par défaut de GA4 (actuellement 14 mois), puis supprimées automatiquement par Google.

Vos droits (RGPD art. 15 à 22)

Où que vous soyez, vous pouvez écrire à louis@expat-llc.com pour exercer les droits suivants :

• Accès (art. 15) — obtenir copie de ce que nous détenons sur vous.
• Rectification (art. 16) — corriger ce qui serait inexact.
• Effacement (art. 17) — faire supprimer vos données (sous réserve de la conservation fiscale obligatoire).
• Limitation (art. 18) / opposition (art. 21) — limiter ou stopper un traitement particulier.
• Portabilité (art. 20) — recevoir vos données dans un format lisible par machine.
• Retrait du consentement (art. 7, 3) — pour tout traitement fondé sur votre consentement (cookies analytics, affichage sur le mur des supporters).
• Décision automatisée (art. 22) — nous ne prenons aucune décision produisant des effets juridiques fondée exclusivement sur un traitement automatisé.

Nous répondons sous 30 jours. Aucun frais sauf demande manifestement infondée ou excessive.

Réclamation auprès d'une autorité de contrôle. Vous avez le droit d'introduire une réclamation auprès de votre autorité de protection des données : CNIL en France (cnil.fr), APD en Belgique (autoriteprotectiondonnees.be), PFPDT en Suisse (edoeb.admin.ch), CAI au Québec (cai.gouv.qc.ca), ICO au Royaume-Uni (ico.org.uk).

CCPA / CPRA (Californie). Les résidents de Californie disposent du droit de savoir, de supprimer, de corriger et de refuser la « vente » ou le « partage » de leurs informations personnelles. Nous ne vendons ni ne partageons d'informations personnelles au sens de la législation californienne.

Délégué à la protection des données (DPO)

Le RGPD prévoit un délégué à la protection des données (art. 37 à 39) dans certains cas. Compte tenu de l'échelle actuelle, le traitement est piloté directement par l'exploitant de QuantAbundancia. Pour toute question RGPD ou exercice de vos droits, écrivez à louis@expat-llc.com. Si l'activité atteint un seuil rendant la désignation formelle d'un DPO obligatoire, nous mettrons à jour la présente politique avec ses coordonnées.

Cookies et technologies similaires

Nous utilisons un seul jeu de cookies first-party pour l'analytics (Google Analytics 4) sous consentement par défaut refusé. Inventaire complet des cookies, mécanique du consentement et révocation : voir /fr/disclosures#cookies.

Sécurité

Nous utilisons HTTPS partout (Let's Encrypt), TLS pour tout trafic inter-services, stockage chiffré des bases de données au repos, principe du moindre privilège pour les accès opérationnels, et patching des dépendances. Aucun système n'est parfaitement sûr ; en cas de violation affectant vos données personnelles, nous vous notifierons et notifierons l'autorité compétente dans les délais prévus par la législation applicable (art. 33-34 du RGPD : 72 heures pour la notification à l'autorité).

Mineurs

Le service ne s'adresse pas aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si vous pensez qu'un mineur nous a transmis des données, écrivez-nous : nous les supprimerons.

Modifications de la présente politique

Nous pouvons mettre à jour cette politique périodiquement. La version portant la date de « Dernière mise à jour » la plus récente ci-dessous fait foi. Les modifications matérielles affectant les abonnés payants ou les inscrits actifs seront notifiées par e-mail au moins quatorze (14) jours avant leur entrée en vigueur.