Politique de confidentialité

(encrypt.lu / decrypt.lu)

Dernière mise à jour : 12 février 2026

1. Responsable du traitement

Le responsable du traitement des données au sens du Règlement (UE) 2016/679 (RGPD) est :

Marjan Skrobot
Entrepreneur individuel
62, rue Marie-Adelaide, 2128, Luxembourg
Luxembourg
E-mail : legal@encrypt.lu

Le service est exploité sous les noms commerciaux encrypt.lu et decrypt.lu.

2. Nature du service

decrypt.lu est la face destinataire du service. Il permet d'ouvrir les liens partagés et de déchiffrer les fichiers .enc dans votre navigateur. Tout le déchiffrement et la dérivation de clé par mot de passe ont lieu entièrement dans votre navigateur.

L'opérateur :

  • Ne reçoit pas les clés de déchiffrement
  • Ne reçoit pas les mots de passe
  • Ne peut pas déchiffrer les fichiers stockés
  • N'a pas accès au contenu déchiffré des fichiers

Lorsque vous ouvrez un lien partagé, seules les données chiffrées (texte chiffré) sont téléchargées depuis le relais ; le déchiffrement a lieu localement dans votre navigateur. Le service ne stocke que des données chiffrées sur le relais.

3. Catégories de données traitées

3.1 Fichiers chiffrés

Lors du téléversement d'un fichier :

  • Le fichier est chiffré côté client.
  • Seul le fichier chiffré (texte chiffré) est transmis.
  • Le blob chiffré est stocké dans un stockage objet.

Les métadonnées techniques stockées comprennent :

  • Identifiant de transfert
  • Horodatage de téléversement
  • Taille du fichier (octets)
  • Nombre de téléchargements
  • Paramètre de rétention
  • Horodatage d'expiration

Nous ne stockons pas :

  • Noms de fichiers en clair
  • Contenu des fichiers
  • Clés de chiffrement
  • Mots de passe

3.2 Prévention des abus par adresse IP

Nous ne stockons pas les adresses IP brutes.

Pour la prévention des abus et la limitation du débit :

  • Un identifiant haché non réversible, en rotation quotidienne, est dérivé de l'adresse IP de connexion.
  • L'adresse IP d'origine n'est pas stockée.
  • L'identifiant dérivé expire automatiquement (généralement sous 24 heures).

Base légale : article 6, paragraphe 1, point f), RGPD (intérêt légitime — sécurité du service et prévention des abus).

3.3 Statistiques d'utilisation agrégées

Nous collectons des statistiques minimales, agrégées et non identifiantes :

  • Pages vues (nombre uniquement)
  • Clics sur le bouton Chiffrer
  • Choix du mode de chiffrement
  • Choix de l'option de rétention
  • Choix de suppression après premier téléchargement

Nous ne collectons pas :

  • Adresses IP
  • Cookies de suivi
  • Identifiants de session
  • Empreintes d'appareil
  • Données de compte

Ces statistiques ne sont stockées que sous forme de compteurs agrégés.

Base légale : article 6, paragraphe 1, point f), RGPD (intérêt légitime — amélioration du service).

3.4 Protection contre les abus via Cloudflare

Le service utilise l'infrastructure fournie par Cloudflare, Inc. Lorsque les seuils d'abus sont dépassés, Cloudflare Turnstile peut être utilisé pour prévenir les utilisations abusives automatisées.

Lors de la vérification Turnstile, nous n'envoyons pas l'adresse IP de l'utilisateur à Cloudflare ; seul le jeton de vérification est soumis. Cela limite les données partagées avec Cloudflare au minimum nécessaire pour la prévention des abus.

Cloudflare peut traiter des informations techniques de manière indépendante en tant que responsable distinct. Les transferts internationaux de données sont protégés par des mécanismes appropriés, notamment les clauses contractuelles types.

4. Stockage et conservation

L'utilisateur peut choisir :

  • 10 minutes
  • 1 heure
  • 1 jour
  • 3 jours

Les fichiers chiffrés sont automatiquement supprimés après expiration. Si « supprimer après premier téléchargement » est activé, la suppression intervient immédiatement après un téléchargement réussi.

L'opérateur ne garantit pas une suppression absolue en cas de défaillance système, force majeure ou dysfonctionnement d'infrastructure. Les mécanismes de suppression sont toutefois mis en œuvre de bonne foi.

5. Mesures de sécurité

Les mesures techniques comprennent :

  • Chiffrement côté client uniquement
  • Argon2id pour la dérivation de clé par mot de passe
  • Chiffrement authentifié XChaCha20-Poly1305
  • Chiffrement TLS en transit
  • Suppression automatique à expiration
  • Aucun stockage de fichiers en clair

Malgré ces mesures, aucun système ne peut garantir une sécurité absolue. L'utilisateur reste responsable de la protection de ses mots de passe et liens.

6. Vos droits

Au titre du RGPD, vous pouvez exercer :

  • Droit d'accès
  • Droit de rectification
  • Droit à l'effacement
  • Droit à la limitation
  • Droit d'opposition

Compte tenu du caractère minimal et non identifiable des données stockées, l'exercice de certains droits peut ne pas être techniquement possible.

Vous pouvez déposer une plainte auprès de :

Commission nationale pour la protection des données (CNPD)

7. Aucune garantie de récupération des données

Les clés de chiffrement n'étant jamais transmises à l'opérateur :

  • Les mots de passe perdus ne peuvent pas être récupérés.
  • Les liens perdus ne peuvent pas être récupérés.
  • Les fichiers supprimés ne peuvent pas être restaurés.

L'opérateur n'a pas la capacité technique de récupérer les données des utilisateurs.

8. Modifications de la présente politique

La présente politique de confidentialité peut être mise à jour à tout moment. La version en vigueur est toujours disponible sur cette page.