Générateur de mots de passe · Vérificateur de fuites (HIBP) · À propos
Politique de confidentialité
Date d'entrée en vigueur : 2 décembre 2025 | Dernière mise à jour : 2 décembre 2025
Bienvenue sur passwords.lu. Cette politique de confidentialité explique quelles données personnelles nous traitons, comment nous les traitons et les mesures que nous prenons pour protéger votre vie privée. Notre service est conçu avec la confidentialité par défaut : les outils principaux génèrent les mots de passe localement dans votre navigateur, et vos secrets ne quittent jamais votre appareil.
Résumé : Nous minimisons la collecte de données, n'utilisons pas de cookies de suivi et ne recevons ni ne stockons jamais les mots de passe, phrases de passe, codes PIN ou clés API générés.
1. Conception axée sur la confidentialité
Résumé : Toute génération de mots de passe se fait localement dans votre navigateur ; aucun secret ne nous est jamais envoyé.
- Génération locale : tous les secrets sont générés via l'API Web Crypto directement dans votre navigateur.
- Aucun stockage : nous ne stockons ni n'enregistrons aucune valeur générée.
- Aucune transmission : les mots de passe, phrases de passe, PIN et clés API générés ne quittent jamais votre appareil.
- Aucun compte : vous pouvez utiliser tous les outils de manière anonyme sans inscription.
- Traitement côté client : les vérifications de force des mots de passe et les recherches de fuites sont traitées dans votre navigateur.
2. Informations que nous ne collectons pas délibérément
Résumé : Nous ne collectons pas intentionnellement de données personnelles lorsque vous utilisez les outils principaux.
Pour les outils de mots de passe principaux, nous ne collectons ni ne traitons intentionnellement :
- mots de passe, phrases de passe, PIN ou clés API
- données personnelles (sauf si vous les fournissez volontairement)
- analyses, données de suivi ou modèles d'utilisation
- empreintes d'appareil ou données de fingerprinting du navigateur
- identifiants publicitaires ou marketing
- données de géolocalisation
- cookies non essentiels ou pixels de suivi
Cependant, certaines données techniques limitées sont automatiquement traitées par notre fournisseur d'infrastructure (Cloudflare), comme décrit ci-dessous.
3. Informations que nous pouvons traiter dans des situations limitées
Résumé : Des données minimales ne sont traitées que lorsque vous interagissez volontairement avec nous.
A. Abonnements à la newsletter (volontaire)
Si vous vous abonnez à la newsletter :
- nous stockons votre adresse e-mail
- la page source d'abonnement (si fournie)
- les données sont stockées dans Supabase (région UE si disponible)
- utilisées uniquement pour envoyer des mises à jour occasionnelles
Base légale (RGPD art. 6(1)(a)) : consentement. Vous pouvez vous désabonner à tout moment.
B. E-mails de contact
Si vous nous envoyez un e-mail, nous traitons :
- votre adresse e-mail
- le contenu du message
- toutes les données que vous incluez dans votre message
Base légale : exécution d'un contrat / réponse à une demande (RGPD art. 6(1)(b)) et intérêt légitime (RGPD art. 6(1)(f)).
C. Journaux d'infrastructure (automatique)
Cloudflare Pages traite automatiquement :
- adresses IP
- chaînes d'agent utilisateur
- URL des requêtes
- horodatages
- localisation agrégée au niveau pays (dérivée de l'IP)
Ces données sont traitées pour la sécurité (ex. protection DDoS), les performances, le débogage et la prévention des abus. Cloudflare agit en tant que sous-traitant. Ces journaux ne sont pas analysés ni stockés par nous en dehors des tableaux de bord Cloudflare.
Base légale : intérêt légitime (RGPD art. 6(1)(f)).
4. Fournisseur d'infrastructure, journaux et cookies
Résumé : Cloudflare enregistre les adresses IP et peut définir des cookies de sécurité strictement nécessaires.
Cloudflare peut définir des cookies strictement nécessaires, tels que :
- __cf_bm (atténuation des bots)
- autres identifiants liés à la sécurité
Ils ne sont pas utilisés pour le suivi, sont essentiels au fonctionnement et à la protection du site et relèvent de la politique de confidentialité de Cloudflare.
Les journaux Cloudflare sont conservés automatiquement 30 à 90 jours selon le plan et les politiques de Cloudflare. Nous ne définissons aucun cookie nous-mêmes.
5. Vérification des fuites (Have I Been Pwned - HIBP)
Résumé : Seuls les 5 premiers caractères d'un hash SHA-1 sont envoyés ; le mot de passe lui-même ne quitte jamais votre appareil.
Notre outil de vérification des fuites utilise le modèle k-anonymat :
- Votre mot de passe est haché en SHA-1 localement.
- Seuls les 5 premiers caractères du hash sont envoyés à HIBP.
- HIBP renvoie les suffixes de hash correspondants.
- La correspondance se fait entièrement dans votre navigateur.
SHA-1 n'est utilisé que pour la compatibilité avec la base HIBP. Cela n'affecte pas la sécurité de votre génération de mots de passe. La politique de confidentialité de HIBP s'applique à leur API.
6. Stockage local du navigateur
Résumé : Les préférences ne sont stockées que sur votre appareil et ne nous sont jamais envoyées.
Nous pouvons stocker ce qui suit dans localStorage ou sessionStorage :
- préférence de langue
- thème (clair/sombre)
- paramètres du générateur
- préférence d'effacement du presse-papiers (si activée dans de futures mises à jour)
Ces données ne quittent jamais votre appareil et peuvent être supprimées à tout moment via les paramètres de votre navigateur.
7. Fournisseurs de services tiers
Résumé : Cloudflare, Supabase et HIBP traitent les données selon leurs propres politiques.
Nous nous appuyons sur :
- Cloudflare Pages (hébergement) - traite les IP et métadonnées des requêtes
- Supabase (newsletter) - stocke les adresses e-mail
- Have I Been Pwned (HIBP) - reçoit des hash partiels de mots de passe
Chaque fournisseur est responsable de son propre traitement des données selon sa politique de confidentialité. Nous ne vendons ni ne partageons vos données avec des sociétés publicitaires ou de suivi.
8. Conformité RGPD et base légale
Résumé : Nous opérons au Luxembourg et suivons les principes du RGPD.
Nous ne traitons les données que lorsque c'est nécessaire et pour des finalités claires.
Bases légales utilisées :
- Consentement : abonnements à la newsletter
- Exécution d'un service : réponse aux demandes
- Intérêt légitime : sécurité, prévention de la fraude, journaux d'infrastructure
Vos droits RGPD
- Droit d'accès
- Droit de rectification
- Droit à l'effacement
- Droit à la limitation du traitement
- Droit d'opposition
- Droit à la portabilité
Contactez-nous à contact@passwords.lu. Nous répondons dans le mois comme l'exige le RGPD.
Pas de prise de décision automatisée : nous ne faisons pas de profilage ni de décision automatisée.
9. Sécurité des données
Résumé : Nous appliquons des mesures conformes aux standards, mais aucun système n'est parfaitement sécurisé.
Les mesures de sécurité comprennent :
- chiffrement TLS
- surface backend minimale
- protection DDoS Cloudflare
- mises à jour logicielles fréquentes
- aucune manipulation des secrets générés côté serveur
Bien que nous prenions la sécurité au sérieux, aucune méthode n'est sûre à 100 %. La génération de mots de passe côté client réduit fortement les risques.
10. Conservation des données
Résumé : Nous ne conservons les données que le temps nécessaire.
- E-mails newsletter : conservés jusqu'à désinscription
- Demandes de contact : conservées un temps raisonnable
- Journaux Cloudflare : selon les politiques Cloudflare (environ 30-90 jours)
Une fois les données inutiles, nous les supprimons ou les anonymisons.
11. Confidentialité des enfants
Résumé : Non destiné aux enfants de moins de 13 ans.
Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 13 ans. Si vous pensez qu'un enfant a fourni des données, contactez-nous et nous les supprimerons.
12. Transferts internationaux de données
Résumé : Nous utilisons des garanties pour les données traitées hors UE.
Cloudflare et Supabase peuvent traiter des données dans l'UE, aux États-Unis ou ailleurs. Les transferts respectent les garanties exigées par le RGPD (ex. CCT ou décisions d'adéquation).
13. Vos droits et choix
Résumé : Vous contrôlez vos données et pouvez cesser d'utiliser nos outils à tout moment.
Vous pouvez :
- vous désabonner des newsletters
- demander la suppression de votre e-mail
- effacer le localStorage
- cesser d'utiliser le site sans restriction
Vous pouvez toujours nous contacter pour exercer vos droits.
14. Mises à jour de cette politique
Résumé : Les modifications seront reflétées dans la date en haut.
Si nous mettons à jour cette politique, la date « Dernière mise à jour » changera. Votre utilisation continue du site vaut acceptation.
15. Nous contacter
Résumé : Contactez-nous pour toute question sur la confidentialité ou demande RGPD.
E-mail : contact@passwords.lu
Site web : passwords.lu
Nous répondons aux demandes liées au RGPD dans le mois.