Politique de confidentialité — Soldier Password Manager
Logo
Légal & Confidentialité

Politique de confidentialité

Dernière mise à jour : 08 April 2026  ·  soldierkey.com

Résumé en une phrase : Soldier ne peut pas lire vos mots de passe. Tout est chiffré sur votre appareil avant d'atteindre nos serveurs. Même nous, nous ne pouvons pas y accéder.

Sommaire
  1. Qui sommes-nous
  2. Architecture Zero-Knowledge
  3. Données collectées
  4. Extension Chrome
  5. Cookies et stockage local
  6. Partage des données
  7. Sécurité
  8. Vos droits
  9. Rétention des données
  10. Contact

Qui sommes-nous

Soldier est un gestionnaire de mots de passe open source, auto-hébergé, développé et exploité à titre personnel. Le service est accessible à l'adresse soldierkey.com.

Ce projet est un projet indépendant, sans investisseurs, sans publicité, et sans modèle économique basé sur la revente de données.

Architecture Zero-Knowledge

Soldier est conçu selon un principe fondamental : le serveur ne peut jamais lire vos données sensibles.

Vos mots de passe et données de coffre sont chiffrés localement sur votre appareil à l'aide d'AES-256, avant d'être envoyés au serveur. La clé de chiffrement est dérivée de votre mot de passe maître via Argon2id — elle ne quitte jamais votre appareil.

En conséquence :

  • Nous ne pouvons pas lire vos mots de passe, même en cas d'accès direct à la base de données.
  • Si vous oubliez votre mot de passe maître, vos données ne sont pas récupérables — il n'existe aucune "porte dérobée".
  • Le partage de coffre entre utilisateurs utilise du chiffrement asymétrique RSA-4096.

Données collectées

Voici l'exhaustivité des données traitées par Soldier :

Donnée Forme stockée
Adresse e-mail En clair (identifiant de compte) Serveur
Mot de passe maître Jamais stocké — sert uniquement à dériver la clé de chiffrement Jamais
Mots de passe du coffre Chiffrés AES-256 (ciphertext uniquement) Serveur
Clé de chiffrement (KEK) Jamais transmise — dérivée localement uniquement Jamais
Token de session (Sanctum) Haché en base de données Serveur
Clé publique RSA En clair (par conception) Serveur
Clé privée RSA Chiffrée avec votre KEK Serveur
Logs d'accès IP, date/heure (durée limitée) Serveur
Données de navigation Non collectées Jamais

Soldier ne collecte aucune donnée analytique, n'utilise aucun tracker (Google Analytics, Hotjar, etc.) et ne revend aucune donnée à des tiers.

Extension Chrome

L'extension Chrome de Soldier respecte les mêmes principes Zero-Knowledge que l'application web.

  • Permission storage : utilisée uniquement pour persister votre token de session chiffré et l'URL de votre instance. Aucun mot de passe n'est stocké dans le stockage du navigateur.
  • Permission activeTab : utilisée pour détecter le domaine de la page active et suggérer les identifiants correspondants. Activée uniquement sur action explicite de l'utilisateur.
  • Permission scripting : utilisée pour remplir automatiquement les champs identifiant/mot de passe sur la page active, uniquement à la demande de l'utilisateur.
  • Accès hôte : limité à soldierkey.com pour communiquer avec l'API. Aucun autre domaine n'est accédé.

L'extension ne lit pas le contenu des pages, ne surveille pas votre navigation, et ne transmet aucune donnée à des services tiers.

Cookies et stockage local

Soldier utilise :

  • Cookie de session Laravel — nécessaire au fonctionnement de l'authentification. Expire à la fermeture de session.
  • Token CSRF — protection contre les attaques de type cross-site request forgery.

Soldier n'utilise aucun cookie publicitaire ni aucun cookie tiers.

Partage des données

Soldier ne vend pas, ne loue pas et ne partage pas vos données avec des tiers, à l'exception des cas suivants :

  • Hébergement : le serveur est hébergé sur Digital Ocean (Toronto). Les données chiffrées y sont stockées. Digital Ocean ne peut pas lire leur contenu.
  • Cloudflare : utilisé pour le DNS et la protection DDoS. Cloudflare peut voir les métadonnées de connexion (IP, timestamp) mais pas le contenu des requêtes.
  • Obligation légale : en cas d'injonction légale valide, les seules données communicables seraient l'adresse e-mail et les logs d'accès. Les données du coffre sont inaccessibles même à nous.

Sécurité

Les mesures de sécurité en place incluent :

  • Chiffrement AES-256 de toutes les données sensibles côté client
  • Dérivation de clé Argon2id (résistant aux attaques GPU/ASIC)
  • Transport HTTPS avec TLS 1.3 (certificat Let's Encrypt)
  • Double authentification TOTP (Google Authenticator compatible)
  • Support des clés de sécurité (Passkeys / WebAuthn)
  • Tokens Sanctum hachés en base de données
  • Protection CSRF sur toutes les routes

Soldier est un projet open source. Le code source peut être audité par toute personne souhaitant vérifier ces affirmations.

Vos droits

Conformément au RGPD (si applicable) et aux lois canadiennes sur la protection des données (LPRPDE), vous disposez des droits suivants :

  • Accès : vous pouvez consulter toutes vos données via votre tableau de bord.
  • Rectification : vous pouvez modifier vos informations dans les paramètres du compte.
  • Suppression : vous pouvez supprimer votre compte et toutes vos données à tout moment depuis les paramètres.
  • Portabilité : vos données peuvent être exportées depuis le tableau de bord.

Rétention des données

Vos données sont conservées tant que votre compte est actif. À la suppression du compte :

  • Toutes les entrées du coffre sont supprimées immédiatement.
  • Votre adresse e-mail est supprimée dans un délai de 30 jours.
  • Les logs d'accès sont conservés 90 jours maximum puis supprimés automatiquement.

Contact

Pour toute question relative à cette politique de confidentialité ou à vos données :

Soldier — Responsable des données