POLITIQUE DE
CONFIDENTIALITÉ.

Dernière mise à jour : Mars 2026

1. Responsable du traitement

L'application Hashe est éditée par :

• DEVOLIM
• SIREN : 948 000 757
• Contact : [email protected]

DEVOLIM agit en tant que responsable du traitement des données au sens du Règlement Général sur la Protection des Données (RGPD).

2. Données collectées

2.1 Ce que nous collectons

Hashe collecte le strict minimum nécessaire au fonctionnement du service :

• Hashe ID — identifiant anonyme généré aléatoirement, non lié à votre identité
• Identifiant d'appareil (device ID) — utilisé pour l'authentification
• Plateforme — iOS ou Android, nécessaire pour les notifications push
• Clés publiques — clés de chiffrement du Signal Protocol (identity key, signed prekey, prekeys)
• Token de boîte aux lettres (mailbox token) — pour la réception des notifications push

2.2 Ce que nous ne collectons PAS

Hashe ne collecte, ne stocke et ne traite aucune des données suivantes :

• Contenu des messages (chiffrés de bout en bout, illisibles par nos serveurs)
• Liste de contacts
• Données de localisation
• Adresse e-mail
• Numéro de téléphone
• Adresse IP (non stockée, non journalisée)
• Métadonnées de communication (qui parle à qui, quand, combien de temps)
• Photos, fichiers ou médias en clair

3. Chiffrement et sécurité

Toutes les communications sont protégées par le Signal Protocol, le standard de référence en matière de chiffrement de bout en bout :

• AES-256-GCM — chiffrement symétrique des messages et fichiers
• Curve25519 — échange de clés Diffie-Hellman sur courbe elliptique
• Double Ratchet — renouvellement automatique des clés à chaque message (Perfect Forward Secrecy)
• Sealed Sender — l'identité de l'expéditeur est chiffrée, invisible même pour le serveur

Le serveur ne peut ni lire, ni déchiffrer, ni relier les messages à un expéditeur. Seul le destinataire, grâce à sa clé privée stockée uniquement sur son appareil, peut déchiffrer les messages.

4. Durée de conservation

• Messages chiffrés en transit — supprimés dès réception par le destinataire, ou automatiquement après 24 heures maximum si non récupérés
• Données de compte — conservées tant que le compte est actif. Supprimées intégralement à la suppression du compte
• Fichiers et médias chiffrés — même durée que les messages : supprimés dès réception ou après 24 heures maximum

5. Stockage local

Vos données (messages, contacts, notes, clés privées) sont stockées localement sur votre appareil dans une base de données Hive chiffrée en AES-256-GCM.

• Les données locales ne sont jamais synchronisées dans un cloud
• Un appareil = un compte — aucune restauration automatique, aucune sauvegarde côté serveur
• La clé de chiffrement est dérivée de votre PIN via Argon2id et stockée dans le iOS Keychain / Android Keystore

6. Bases légales du traitement

Conformément à l'article 6 du RGPD, les traitements de données effectués par Hashe reposent sur :

• L'exécution du contrat (Art. 6.1.b) — pour fournir le service de messagerie
• L'intérêt légitime (Art. 6.1.f) — pour assurer la sécurité et la fiabilité du service
• L'obligation légale (Art. 6.1.c) — pour respecter les obligations LCEN

7. Sous-traitants

Hashe fait appel aux sous-traitants suivants pour le fonctionnement du service :

Sous-traitant	Localisation	Finalité
OVH	France	Hébergement de l'infrastructure
LWS	France	Hébergement complémentaire
Cloudflare	USA	Protection DDoS, CDN, stockage médias chiffrés (R2)
Google FCM	USA	Notifications push (Android) — aucun contenu transmis
Apple APNs	USA	Notifications push (iOS) — aucun contenu transmis

Aucun sous-traitant n'a accès au contenu de vos messages ou à vos données personnelles. Les notifications push ne contiennent ni nom, ni contenu de message.

8. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données, vous disposez des droits suivants :

• Droit d'accès — connaître les données que nous détenons sur vous
• Droit de rectification — corriger des données inexactes
• Droit à l'effacement — supprimer votre compte et toutes les données associées (disponible directement dans l'application)
• Droit à la limitation — restreindre le traitement de vos données
• Droit à la portabilité — recevoir vos données dans un format structuré
• Droit d'opposition — vous opposer au traitement de vos données
• Droit de réclamation — introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés)

Pour exercer vos droits, contactez-nous à [email protected].

Note : Hashe collectant très peu de données et ne liant aucune information à votre identité, certains droits peuvent être techniquement impossibles à exercer (ex. : nous ne pouvons pas vous fournir le contenu de messages que nous ne pouvons pas lire).

9. Droits selon votre pays

En plus du RGPD, Hashe respecte les législations locales applicables :

• CCPA (California Consumer Privacy Act) — États-Unis : droit de connaître, supprimer et refuser la vente de données personnelles. Hashe ne vend aucune donnée.
• LGPD (Lei Geral de Proteção de Dados) — Brésil : droits similaires au RGPD, incluant le droit à l'anonymisation et au blocage des données excessives.
• PDPA (Personal Data Protection Act) — Singapour / Thaïlande : consentement, accès et correction des données personnelles.
• POPIA (Protection of Personal Information Act) — Afrique du Sud : traitement licite, minimisation des données et droits d'accès.
• PIPEDA (Personal Information Protection and Electronic Documents Act) — Canada : droit d'accès, de correction et de plainte auprès du Commissariat à la protection de la vie privée du Canada (CPVP). Hashe ne collecte que le minimum de données nécessaire.
• PIPA (Personal Information Protection Act) — Corée du Sud : droit d'accès, de correction, de suppression et de suspension du traitement des données personnelles. Les plaintes peuvent être déposées auprès de la Personal Information Protection Commission (PIPC).
• APPI (Act on the Protection of Personal Information) — Japon : droit à la divulgation, la correction, la suspension d'utilisation et le droit de plainte auprès de la Personal Information Protection Commission (PPC).
• Privacy Act 1988 — Australie : Australian Privacy Principles (APPs), droit d'accès et de correction. Les plaintes peuvent être déposées auprès de l'Office of the Australian Information Commissioner (OAIC).

10. Âge minimum

Hashe est destiné aux utilisateurs âgés de 13 ans minimum.

Dans certains pays de l'Union européenne, l'âge minimum peut être porté à 16 ans conformément à la législation nationale.

Hashe ne collecte pas sciemment de données concernant des enfants en dessous de l'âge minimum applicable. Si vous avez connaissance qu'un mineur utilise Hashe sans autorisation, veuillez nous contacter à [email protected].

11. Cookies

Hashe n'utilise aucun cookie, ni dans l'application, ni sur le site web.

Le site web utilise Umami, un outil de mesure d'audience auto-hébergé sur notre propre infrastructure, sans cookie, sans traceur cross-site et sans donnée personnelle. Aucune information permettant de vous identifier n'est collectée. Les données restent exclusivement sur nos serveurs et ne sont jamais partagées avec des tiers.

12. Transferts internationaux

Les données minimales traitées par Hashe peuvent transiter par des sous-traitants situés en dehors de l'Union européenne (voir section 7). Ces transferts sont encadrés par :

• Les Clauses Contractuelles Types (CCT) de la Commission européenne
• Le Data Privacy Framework (DPF) pour les transferts vers les États-Unis

L'ensemble des données sensibles (messages, fichiers) sont chiffrées de bout en bout avant tout transfert, rendant leur contenu inaccessible à tout intermédiaire.

13. Obligation LCEN

Conformément à la Loi pour la Confiance dans l'Économie Numérique (LCEN), Hashe est tenu de conserver les données de connexion pendant une durée de 1 an.

Ces données sont strictement limitées aux obligations légales et ne contiennent aucun contenu de communication. Elles peuvent uniquement être transmises sur réquisition judiciaire.

14. Notification en cas de violation

En cas de violation de données à caractère personnel, Hashe s'engage à :

• Notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance
• Informer les utilisateurs concernés si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés

Note : étant donné que Hashe ne stocke aucune donnée personnelle identifiable et que tous les contenus sont chiffrés de bout en bout, l'impact d'une éventuelle violation serait extrêmement limité.

15. Sécurité des données

Hashe met en oeuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

• Chiffrement de bout en bout (Signal Protocol) pour toutes les communications
• Chiffrement AES-256-GCM de la base de données locale
• Stockage des clés dans le Secure Enclave (iOS Keychain / Android Keystore)
• Aucune donnée en clair stockée sur les serveurs
• Suppression automatique des messages en transit après réception ou expiration
• Code source ouvert, auditable par tous
• Infrastructure hébergée en France (OVH, LWS)

16. Modifications de cette politique

Hashe se réserve le droit de modifier cette politique de confidentialité. En cas de modification substantielle :

• Les utilisateurs seront informés 30 jours avant l'entrée en vigueur des modifications
• La notification sera effectuée via l'application et/ou le site web
• La date de dernière mise à jour sera actualisée en haut de cette page

17. Contact

Pour toute question relative à cette politique de confidentialité ou à la protection de vos données :

• E-mail : [email protected]
• Éditeur : DEVOLIM
• SIREN : 948 000 757