Mentions légales
Politique de confidentialité
Mis à jour le 2026-04-25.
Brouillon provisoire. Le document final sera revu par un conseil juridique avant la disponibilité générale.
Ce que nous collectons
- Données de compte. Votre email et un mot de passe haché.
- Données de license. Les clés de license, les emails clients que vous y associez et les metadata que vous choisissez d'y stocker.
- Données d'activation. Fingerprints de machine (hachés), adresse IP, user-agent et timestamps.
- Logs. Chemins de requête, codes de statut, latence. Pas de bodies de requête. Pas de header Authorization.
Ce que nous ne collectons pas
- Les identifiants machine bruts. Le SDK les hache localement avant l'envoi.
- Pas de cookies de tracking sur le site marketing.
- Pas de données personnelles sensibles. Nous n'en avons pas besoin.
Comment nous les utilisons
Strictement pour faire tourner le service : valider les licenses, faire respecter les caps d'activation, sécuriser les comptes, vous facturer. Nous ne vendons ni ne partageons les données avec des annonceurs ou des data brokers.
Sous-traitants
Sous-traitants actifs au 2026-04-25 :
- Stripe Payments Europe Ltd. (Irlande, filiale UE). Facturation des abonnements pour les comptes payants uniquement. Stripe est conforme RGPD et traite les données carte sous PCI DSS niveau 1. Paperkey ne voit jamais les numéros de carte.
- Hetzner Online GmbH (Allemagne). Hébergement applicatif, base Postgres managée, sauvegardes chiffrées quotidiennes. Infrastructure certifiée ISO 27001, opérée intégralement en UE.
- Sentry GmbH (Allemagne, instance UE). Reporting d'erreurs côté serveur. Stack traces uniquement, pas de bodies de requête, pas de headers Authorization.
Tout nouveau sous-traitant sera annoncé sur cette page au moins 30 jours avant sa mise en production, avec un chemin de migration pour les clients qui s'y opposent.
Cookies
Le site marketing pose un cookie fonctionnel (préférence light/dark,
locale) et le dashboard pose un cookie de session
(paperkey_session, httpOnly,
Secure, SameSite=Lax) après connexion.
Aucun tracker tiers, aucun pixel publicitaire, aucune analytics
qui fingerprinte les visiteurs. La télémétrie agent du dashboard
est en opt-in et n'identifie jamais l'utilisateur final.
| Cookie | Finalité | Durée | Opt-out |
|---|---|---|---|
| paperkey_theme | Préférence d'affichage | 1 an | Réglages du navigateur |
| paperkey_session | Session dashboard | 7 jours | Déconnexion |
Conservation
Les données de compte et de license sont conservées tant que vous ne les supprimez pas. Les audit logs sont conservés 90 jours. Les sauvegardes suivent la politique du fournisseur sous-jacent et sont rotées.
Vos droits
Vous pouvez exporter vos données depuis le dashboard à tout moment, les éditer, ou demander leur suppression en écrivant à hello@paperkey.dev. Nous visons un traitement sous 30 jours.
Contact RGPD
Paperkey n'a pas désigné de DPO (Data Protection Officer) formel. Le volume et la nature des données personnelles traitées (email de compte, fingerprints d'activation hachés) ne le rendent pas obligatoire au titre de l'article 37 du RGPD. Le point de contact pour toute question liée à la confidentialité est hello@paperkey.dev. Nous visons une réponse sous 5 jours ouvrés, avec un plafond strict à 30 jours comme l'exige le RGPD.
Si notre traitement d'une demande ne vous satisfait pas, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/plaintes.
Sécurité
Les mots de passe sont hachés avec bcrypt (cost 12). Les API secret keys sont hachées avec scrypt + sel par clé. TLS en transit. Chiffrement au repos via le fournisseur de base managée. Le détail de la posture est dans notre backlog sécurité.
Contact
Questions : hello@paperkey.dev.