Politique de confidentialité
Dernière mise à jour : 1er mars 2026
1. Responsable du traitement
Christophe Bouriel
Entrepreneur individuel — SIRET 101 490 506 00017
IMM Les Frênes, 126 rue des Frênes, 74350 Cruseilles, France
Contact : contact@etchproof.eu
2. Principe fondamental : votre document ne quitte jamais votre appareil
ETcH est conçu dès l'origine pour ne jamais recevoir le contenu de vos fichiers. Le hash SHA-256 de votre document est calculé localement dans votre navigateur via l'API Web Crypto. Seule cette empreinte cryptographique — une suite de 64 caractères hexadécimaux — est transmise au serveur.
Un hash SHA-256 est une fonction à sens unique. Il est mathématiquement impossible de reconstituer le document original à partir de son hash. Votre contenu reste donc strictement confidentiel, y compris vis-à-vis de ETcH.
En savoir plus sur le fonctionnement du hash →
3. Données collectées et bases légales
| Donnée | Finalité | Base légale | Durée de conservation |
|---|---|---|---|
| Adresse email | Identification de l'utilisateur, envoi du lien de confirmation, délivrance de l'artefact de preuve | Exécution du contrat (Art. 6.1.b RGPD) | Durée de la relation de service + 3 ans |
| Hash SHA-256 du fichier | Ancrage sur Ethereum, constitution de la preuve | Exécution du contrat | Indéfinie côté blockchain (voir §4) ; inclus dans l'artefact ZIP |
| Adresse IP et user-agent au moment de la confirmation | Établissement de la chaîne d'identité de la preuve (valeur probatoire) | Intérêt légitime (Art. 6.1.f RGPD) — la preuve n'a de valeur que si l'identité de l'auteur de l'acte peut être établie | Incluse de manière permanente dans l'artefact ZIP remis à l'utilisateur ; journal serveur : 1 an |
| Identifiant PaymentIntent Stripe | Obligation comptable et fiscale | Obligation légale (Art. 6.1.c RGPD) | 10 ans (Code de commerce art. L123-22 ; Code général des impôts art. L102 B) |
| Journal de session ancré (hash, email, tx Ethereum, log de confirmation) | Preuve d'intégrité du service, audit, support utilisateur | Intérêt légitime + obligation légale (composante financière) | Indéfinie pour les sessions ancrées |
| Sessions en attente expirées | Aucune (nettoyage automatique) | — | Anonymisation ou suppression dans l'année suivant l'expiration |
| Token de confirmation | Vérification de l'identité à usage unique | Exécution du contrat | Supprimé après utilisation ou à expiration (24 h) |
Adresse email
Finalité: Identification de l'utilisateur, envoi du lien de confirmation, délivrance de l'artefact de preuve
Base légale: Exécution du contrat (Art. 6.1.b RGPD)
Durée de conservation: Durée de la relation de service + 3 ans
Hash SHA-256 du fichier
Finalité: Ancrage sur Ethereum, constitution de la preuve
Base légale: Exécution du contrat
Durée de conservation: Indéfinie côté blockchain (voir §4) ; inclus dans l'artefact ZIP
Adresse IP et user-agent au moment de la confirmation
Finalité: Établissement de la chaîne d'identité de la preuve (valeur probatoire)
Base légale: Intérêt légitime (Art. 6.1.f RGPD) — la preuve n'a de valeur que si l'identité de l'auteur de l'acte peut être établie
Durée de conservation: Incluse de manière permanente dans l'artefact ZIP remis à l'utilisateur ; journal serveur : 1 an
Identifiant PaymentIntent Stripe
Finalité: Obligation comptable et fiscale
Base légale: Obligation légale (Art. 6.1.c RGPD)
Durée de conservation: 10 ans (Code de commerce art. L123-22 ; Code général des impôts art. L102 B)
Journal de session ancré (hash, email, tx Ethereum, log de confirmation)
Finalité: Preuve d'intégrité du service, audit, support utilisateur
Base légale: Intérêt légitime + obligation légale (composante financière)
Durée de conservation: Indéfinie pour les sessions ancrées
Sessions en attente expirées
Finalité: Aucune (nettoyage automatique)
Base légale: —
Durée de conservation: Anonymisation ou suppression dans l'année suivant l'expiration
Token de confirmation
Finalité: Vérification de l'identité à usage unique
Base légale: Exécution du contrat
Durée de conservation: Supprimé après utilisation ou à expiration (24 h)
Données de connexion (LCEN)
Conformément à l'article 6-II de la loi pour la Confiance dans l'Économie Numérique (LCEN) et au Décret 2011-219, ETcH conserve les données de connexion (adresse IP, horodatage, protocoles utilisés) pendant 1 an minimum à compter de chaque opération. Ces données peuvent être communiquées aux autorités judiciaires sur réquisition.
4. Données sur la blockchain Ethereum
L'ancrage sur Ethereum est permanent et irréversible par nature — c'est précisément la valeur du service. Le hash de votre document et l'horodatage de la transaction sont inscrits de manière définitive sur le réseau public Ethereum.
Ces données ne constituent pas des données à caractère personnel : le hash SHA-256 est une empreinte cryptographique qui ne révèle rien sur le contenu du document. Aucun tiers ne peut reconstituer votre fichier à partir du hash enregistré sur la blockchain.
En conséquence, le droit à l'effacement (Art. 17 RGPD) ne peut pas s'appliquer aux données inscrites sur la blockchain. Il s'applique en revanche aux données serveur de ETcH (email, adresse IP, journal de session), qui peuvent être anonymisées sur demande (voir §6).
5. Sous-traitants et transferts de données
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| OVH | Hébergement du serveur | Suisse (Zurich) | Accord de sous-traitance RGPD — niveau de protection adéquat |
| Stripe | Traitement des paiements | États-Unis / UE | Clauses contractuelles types (CCT) — Politique de confidentialité Stripe |
| Brevo | Envoi des emails transactionnels | France (UE) | Sous-traitant RGPD — données hébergées en UE |
| Réseau Ethereum | Ancrage blockchain | Mondial (décentralisé) | Données publiques par conception — aucune donnée personnelle transmise |
OVH
Rôle: Hébergement du serveur
Localisation: Suisse (Zurich)
Garanties: Accord de sous-traitance RGPD — niveau de protection adéquat
Stripe
Rôle: Traitement des paiements
Localisation: États-Unis / UE
Garanties: Clauses contractuelles types (CCT) — Politique de confidentialité Stripe
Brevo
Rôle: Envoi des emails transactionnels
Localisation: France (UE)
Garanties: Sous-traitant RGPD — données hébergées en UE
Réseau Ethereum
Rôle: Ancrage blockchain
Localisation: Mondial (décentralisé)
Garanties: Données publiques par conception — aucune donnée personnelle transmise
Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles stockées côté serveur :
- Droit d'accès — obtenir une copie de toutes les données vous concernant détenues par ETcH.
- Droit de rectification — faire corriger des données inexactes.
- Droit à l'effacement — demander la suppression ou l'anonymisation de vos données serveur (email, adresse IP, journal de session). Note : ce droit ne s'applique pas aux données inscrites sur la blockchain Ethereum (voir §4).
- Droit à la portabilité — recevoir vos données dans un format structuré et lisible.
- Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime.
Pour exercer vos droits : contact@etchproof.eu
Vous pouvez également introduire une réclamation auprès de la CNIL : — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.www.cnil.fr
7. Cookies
ETcH n'utilise aucun cookie de traçage, de publicité ou d'analyse. Les seuls cookies susceptibles d'être déposés sont ceux strictement nécessaires au fonctionnement du service (session de paiement Stripe). Aucun consentement n'est requis pour ces cookies techniques.
8. Sécurité
Les données sont transmises via HTTPS (TLS). Le serveur est hébergé sur un VPS sécurisé avec authentification par clé SSH uniquement, firewall actif et mises à jour de sécurité automatiques. Les clés privées Ethereum ne sont jamais exposées dans les logs ni les réponses API.
9. Modifications
Cette politique peut être mise à jour. La date de dernière mise à jour figure en haut de cette page. En cas de modification substantielle, une information sera publiée sur le site.
Pour toute question relative à la protection de vos données : contact@etchproof.eu