Connexion
Politique de confidentialité NoKycVPS — pas de logs, GDPR, anonymat total
Confidentialité · En vigueur Jun 27, 2026

Ce que nous collectons — et ce que nous ne collectons pas.

Nous traitons vos données comme nous voudrions que les nôtres soient traitées : collecte minimale, conservation brève, et jamais partagées à la demande. Voici la liste exhaustive.

Résumé rapide Lire les conditions complètes
En un paragraphe

Nous collectons une adresse e-mail, un hachage de mot de passe, votre solde de compte, la configuration de votre serveur, et ce qui est strictement nécessaire au bon fonctionnement de vos services. Nous ne collectons pas de noms, d'adresses, de numéros de téléphone, de pièces d'identité, d'empreintes de navigateur ni de données analytiques. Nous ne vendons, ne louons ni ne partageons vos données. Nous n'utilisons pas de traceurs. Nous supprimons presque tout rapidement. La seule circonstance dans laquelle ces données quittent notre infrastructure est une ordonnance judiciaire valide d'un tribunal compétent — et même dans ce cas, vous êtes notifié avant que nous agissions.

01

Ce que nous collectons

Par compte :

  • Adresse e-mail. Une par compte. Nous acceptons toute adresse qui reçoit des e-mails, y compris les boîtes jetables. Nous y envoyons les notifications de service et les avertissements préalables.
  • Hachage du mot de passe. Stocké en bcrypt avec un coût de 12. Nous ne voyons ni ne stockons jamais le mot de passe en clair.
  • Solde du compte. Votre crédit actuel en USD.
  • Horodatage de connexion. La date et l'heure de la dernière connexion. Utilisé pour afficher "dernière activité" dans vos paramètres et pour détecter une activité inhabituelle.

Par service déployé :

  • Produit (VPS ou dédié), plan, région, image OS et cycle de facturation — la configuration que vous avez choisie.
  • Mot de passe root chiffré. AES-256-CBC au repos, basé sur un secret propre au serveur que nous n'exposons pas. Nous ne pouvons pas le déchiffrer pour une consultation ordinaire ; le provisionneur déchiffre au moment du déploiement et la valeur est ensuite effacée de la mémoire du processus.
  • État du service (en attente, actif, suspendu, résilié), IPv4 attribuée (une fois allouée), horodatages de création et de renouvellement.

Par paiement :

  • Référence de commande, montant demandé, cryptomonnaie choisie, adresse de dépôt générée par notre hub de paiement, identifiant de transaction une fois confirmé, et horodatage de confirmation.
  • Nous n'enregistrons pas votre adresse de portefeuille émettrice. Nous ne relions pas les paiements à une identité externe.
02

Ce que nous ne collectons pas

  • Aucun nom réel. Jamais.
  • Aucune adresse physique. Ni de facturation ni de livraison.
  • Aucun numéro de téléphone. Ni pour la vérification, ni pour la récupération, ni « en cas de problème urgent ».
  • Aucune pièce d'identité gouvernementale. Pas de scan de passeport, pas de permis de conduire, pas de numéro fiscal.
  • Aucune empreinte de navigateur. Nous n'exécutons pas de bibliothèques d'empreintes digitales sur nos pages.
  • Aucune analytique. Pas de Google Analytics, pas de Plausible, pas de Matomo, pas de pixel interne. Nous ne savons pas combien d'entre vous lisent cette page.
  • Aucun traceur tiers. Pas de Facebook Pixel, pas de Hotjar, pas de widget de chat qui rappelle son serveur. Les seules ressources externes que nous chargeons sont les polices de Google Fonts et un jeu d'icônes crypto depuis un CDN public — uniquement parce qu'elles sont massivement mises en cache sur le web et qu'économiser 200 ms de négociation TLS ne justifie pas de faire tourner notre propre serveur de polices. Si cela vous pose problème, naviguez via Tor ; les pages s'affichent parfaitement sans elles.
  • Aucun détail bancaire ou de carte. Nous n'acceptons pas ces modes de paiement.
  • Aucun contenu de votre serveur. Nous n'indexons, ne scannons, ne copions ni n'échantillonnons ce qui tourne dessus.
03

Journaux côté serveur

Le serveur web (nginx) écrit une entrée de journal d'accès pour chaque requête HTTP — URL, code de statut, horodatage, agent utilisateur et IP d'origine après déballage Cloudflare. Nous utilisons ces journaux à une seule fin : limiter le débit des bots et tracer les problèmes d'infrastructure. Ils sont rotés et supprimés après 7 jours. Ils ne quittent jamais l'hôte.

Les journaux applicatifs (erreurs, avertissements) sont écrits dans un fichier séparé, également roté après 7 jours. Ils ne contiennent pas de credentials ni de contenu de messages.

Nous ne journalisons pas à l'intérieur de votre serveur. Quoi que fasse votre service, nous ne le voyons pas.

04

Cookies

Nous définissons exactement un cookie lors de votre connexion : PHPSESSID, un identifiant de session opaque. Il est HttpOnly, Secure, SameSite=Lax, et dure trente jours sauf si vous vous déconnectez. Il n'y a pas de cookie de suivi, pas de cookie publicitaire, pas de bannière de consentement car il n'y a rien à accepter. Si vous êtes déconnecté, aucun cookie n'est défini.

05

Chiffrement

  • En transit : TLS 1.2+ sur chaque connexion, HSTS préchargé, suites de chiffrement modernes uniquement. Pas de repli HTTP.
  • Au repos : Le disque de la base de données utilise le chiffrement intégral de disque LUKS. Les mots de passe root des serveurs déployés sont en outre chiffrés en AES-256-CBC au niveau de la ligne. Les sauvegardes sont chiffrées avant de quitter l'hôte.
  • Mots de passe : bcrypt avec un coût de 12. Nous ne pouvons pas les récupérer, seulement les vérifier.
06

Avec qui nous partageons les données

Par défaut, personne. Pas d'autres fournisseurs, pas les forces de l'ordre, pas de « partenaires de confiance ».

Les exceptions limitées :

  • Hub de paiement (simsms.co). Lorsque vous rechargez votre compte, nous envoyons le montant demandé et la cryptomonnaie à notre hub de paiement afin qu'il génère une adresse de dépôt et vérifie les confirmations. Nous envoyons : la référence de commande, le montant en USD, la cryptomonnaie choisie. Nous n'envoyons pas votre e-mail ni votre identifiant de compte.
  • CDN auxquels nous faisons appel. Google Fonts et jsDelivr (pour le jeu d'icônes crypto et notre jeu de drapeaux de langues) voient les IP des visiteurs qui récupèrent ces ressources. Nous n'échangeons pas de données avec eux — ils servent simplement des fichiers statiques.
  • Fournisseurs d'hébergement/transit. Nos fournisseurs de datacenter ont techniquement accès physique aux machines. Ils ne peuvent pas lire les volumes chiffrés sans nos clés, qui ne sont pas stockées sur disque.
  • Ordonnances judiciaires. Voir les conditions d'utilisation. Nous n'agissons que sur des ordonnances exécutoires, à portée limitée, avec notification préalable à votre intention.
07

Durée de conservation

  • Enregistrement du compte : pendant toute la durée de vie du compte, plus 30 jours après la résiliation définitive afin de pouvoir résoudre les litiges. Puis supprimé de la base de données en production.
  • Enregistrements des paiements : 13 mois après confirmation à des fins comptables, puis définitivement supprimés.
  • Enregistrements du serveur : 90 jours après résiliation, puis supprimés. Les volumes de disque associés sont effacés à la résiliation.
  • Journaux d'accès nginx : 7 jours, puis rotés.
  • Enregistrements de session : jusqu'à l'expiration de la session (30 jours d'inactivité) ou la déconnexion, selon ce qui survient en premier.
  • Sauvegardes : 14 jours chiffrées, puis rotées.
08

Votre contrôle

Depuis votre tableau de bord, vous pouvez : changer votre mot de passe, consulter les services actifs, consulter votre grand livre de facturation complet, résilier tout service et vous déconnecter du navigateur actuel. La résiliation du compte s'effectue en libre-service depuis le panneau de paramètres.

Il n'y a pas de bouton « supprimer mes données » car il n'existe pas de base de données supplémentaire stockant vos données. Résiliez vos services, retirez le solde restant via un dernier achat de recharge, et c'est fait. La fenêtre de grâce de 30 jours existe au cas où vous changeriez d'avis.

Si votre juridiction vous accorde un droit d'accès (GDPR, CCPA ou similaire), le tableau de bord expose déjà tout ce que nous détenons vous concernant. Il n'existe pas de stockage hors système à inspecter.

09

Modifications

Les modifications substantielles — tout changement qui élargit ce que nous collectons, réduit vos fenêtres de conservation à votre détriment, ou ajoute un nouveau destinataire de données — sont annoncées 30 jours à l'avance, par e-mail et sur la page /canary.

Les modifications non substantielles (clarifications, fautes de frappe) prennent effet immédiatement. La date « en vigueur » en haut de cette page reflète toujours la dernière mise à jour.