Politique de confidentialité

Dernière mise à jour : 23 mai 2026

1. Architecture zéro connaissance

Blokpass repose sur une architecture zéro connaissance (zero-knowledge). L'ensemble de vos données sensibles est chiffré localement sur votre appareil à l'aide de l'algorithme XChaCha20-Poly1305 (256 bits) avant toute transmission vers nos serveurs.

Votre mot de passe maître n'est jamais envoyé ni stocké : l'authentification utilise une preuve à divulgation nulle de connaissance (protocole Schnorr sur la courbe Ristretto255). En conséquence, même en cas de compromission de notre infrastructure, nous ne pouvons pas lire vos mots de passe ni accéder à vos données en clair.

Votre adresse email est chiffrée (AES-256-GCM) en base de données et identifiée par un hash (SHA-256). Aucun email n'est stocké en clair.

2. Données collectées

Données de compte — Lors de votre inscription, nous collectons uniquement votre adresse email (stockée chiffrée) et la date de création. Votre mot de passe maître n'est jamais transmis grâce à l'authentification Schnorr ZKP.

Données techniques — Pour assurer la sécurité, nous enregistrons : votre adresse IP (détection d'anomalies, alertes de connexion), l'empreinte de votre navigateur (gestion des sessions), et les journaux d'audit (actions effectuées, sans contenu déchiffré).

Données chiffrées — Vos entrées de coffre-fort (mots de passe, notes, fichiers) sont stockées sous forme chiffrée. Le serveur ne détient aucune clé de déchiffrement.

Données de visite — Des statistiques de visite anonymisées sont collectées (page consultée, pays, navigateur) à des fins d'amélioration du service. Aucun cookie publicitaire n'est utilisé.

3. Utilisation des données

Authentification et gestion de votre compte
Détection d'anomalies et protection contre les intrusions
Alertes de sécurité (nouvelle connexion depuis une IP inconnue)
Amélioration du service (statistiques anonymisées, sans contenu utilisateur)
Communications de sécurité (alertes critiques uniquement)

Nous ne vendons jamais vos données. Aucun dispositif de pistage publicitaire n'est déployé. Aucune donnée n'est partagée avec des tiers à des fins commerciales.

4. Cryptographie employée

Blokpass utilise 6 couches de protection cryptographique indépendantes :

Chiffrement des données : XChaCha20-Poly1305 (AEAD, 256 bits, nonce 24 octets)
Dérivation de clé : Argon2id (résistant aux attaques GPU et ASIC)
Authentification : Schnorr ZKP sur Ristretto255 + TOTP (RFC 6238) + WebAuthn/Passkeys
Échange de clés post-quantique : ML-KEM-1024 (FIPS 203, niveau NIST 5)
Signatures post-quantiques : ML-DSA-65 (FIPS 204, niveau NIST 3)
Transport : TLS 1.3 avec X25519MLKEM768 (hybride post-quantique)
Emails : AES-256-GCM au repos + SHA-256 pour le lookup

5. Vos droits (RGPD)

Conformément au Règlement général sur la protection des données (RGPD), vous disposez des droits suivants :

Droit d'accès : exportez l'intégralité de vos données depuis Paramètres
Droit de rectification : modifiez vos informations personnelles à tout moment
Droit à l'effacement : supprimez votre compte et toutes les données associées en un clic
Droit à la portabilité : exportez votre coffre au format JSON ou CSV
Droit d'opposition : contactez-nous à privacy@blokpass.com

6. Conservation des données

Vos données sont conservées tant que votre compte est actif. En cas de suppression, l'ensemble des données personnelles et chiffrées est effacé de manière irréversible sous 30 jours.

Les journaux d'audit sont conservés 90 jours à des fins de sécurité, puis purgés automatiquement. Les données de visite anonymisées sont conservées 12 mois.

7. Hébergement et sécurité

Serveurs hébergés en Europe (OVH, France)
Chiffrement TLS 1.3 post-quantique (X25519MLKEM768) — Note A+ SSL Labs
En-têtes de sécurité stricts : HSTS, CSP, X-Frame-Options, X-Content-Type-Options
Limitation de débit et détection d'anomalies automatisée
Protection CAPTCHA Cloudflare Turnstile contre les bots
Backend en Rust (sécurité mémoire, pas de buffer overflow)
Zero email en clair en base de données

8. Cookies et trackers

Blokpass utilise uniquement des cookies techniques essentiels :

Token de session (authentification)
Préférence de langue (FR/EN)
Identifiant visiteur anonyme (statistiques)

Aucun cookie publicitaire, aucun tracker tiers, aucun Google Analytics. Blokpass est un espace sans publicité.

9. Sous-traitants

OVH (hébergement serveur) — France/Europe
Stripe (paiement) — certifié PCI DSS niveau 1
Cloudflare (CAPTCHA Turnstile) — pas de tracking utilisateur

Aucun sous-traitant n'a accès à vos données chiffrées.

10. Contact

Pour toute question relative à la protection de vos données personnelles :

Email : privacy@blokpass.com

Responsable du traitement : Blokpass