Politique de confidentialité
Application mobile Ezkey & site ezkey.org
1. Qui sommes-nous
Ezkey est un projet logiciel indépendant dirigé par Marc Gagnon (Pincourt, Québec, Canada). Il produit l’application mobile Android Ezkey, disponible sur Google Play, et le site ezkey.org. Le projet est en développement actif.
Confidentialité : privacy@ezkey.org — Général : support@ezkey.org
2. Le modèle à deux couches — ce qu’Ezkey est et n’est pas
Couche 1 — Ezkey le projet (cette politique). Le projet Ezkey publie des logiciels. Il n’exploite aucun service infonuagique, aucun serveur d’authentification central et aucune base de données centrale. Il n’a aucune visibilité sur votre utilisation de l’application.
Couche 2 — Le serveur auto-hébergé de votre organisation. Pour utiliser Ezkey, vous vous inscrivez auprès d’une organisation qui exploite son propre serveur Ezkey sur sa propre infrastructure. Cette organisation est le responsable du traitement des données personnelles traitées sur son serveur. Consultez leur politique de confidentialité pour savoir comment ils gèrent vos données.
La présente politique couvre uniquement l’application mobile Ezkey et le site ezkey.org. Elle ne couvre pas le serveur Ezkey auto-hébergé d’une organisation.
3. Données stockées sur votre appareil
L’application Ezkey stocke les données suivantes localement sur votre appareil uniquement :
- Paires de clés cryptographiques — Générées lors de l’inscription et stockées dans le trousseau Android (protégé par le matériel lorsque disponible). Jamais transmises hors de votre appareil ; utilisées uniquement pour signer les défis d’authentification.
- Métadonnées d’inscription — Le nom et l’URL de chaque organisation auprès de laquelle vous vous êtes inscrit, ainsi que le nom d’inscription assigné par l’administrateur de votre organisation. Ces informations sont stockées dans le stockage sécurisé des identifiants de l’appareil.
- État d’authentification en attente — Données temporaires conservées en mémoire pendant que vous répondez à un défi d’authentification. Cela peut inclure des informations contextuelles fournies par le serveur de votre organisation sur l’action à approuver (p. ex. un titre tel que « Demande de signature de document » et un message décrivant l’action spécifique). Ces données proviennent de votre organisation, non du projet Ezkey, et ne sont pas conservées après la fin de la session.
La désinstallation de l’application supprime toutes les données ci-dessus de votre appareil. Tout enregistrement de votre inscription sur le serveur de votre organisation est soumis à leur propre politique de conservation des données.
4. Données transmises sur le réseau
L’application communique exclusivement avec l’URL du serveur obtenue depuis le code QR que vous scannez lors de l’inscription. Cette URL correspond au point d’accès du serveur Ezkey auto-hébergé de votre organisation. L’application envoie :
- Lors de l’inscription (étape verify) : la clé
publique de l’appareil (EC P-256), une signature cryptographique prouvant
la possession de la clé privée correspondante, et une étiquette de niveau de
protection matérielle indiquant le niveau de sécurité du stockage de la clé
(p. ex.
STANDARDouSTRONG), telle que rapportée par l’appareil. - Lors de chaque sondage d’authentification : un identifiant d’inscription stable et un jeton de preuve signé unique généré à la volée — identifiant conjointement l’inscription et attestant la participation de l’appareil pour cette requête spécifique.
- Lors de l’approbation ou du refus : la décision (approuvé ou refusé) et une signature cryptographique sur celle-ci. Aucune donnée personnelle ni contextuelle ne provient de l’appareil.
L’application reçoit également des données du serveur de votre organisation. Lorsqu’une demande d’approbation contextuelle est initiée par votre organisation, la réponse peut inclure un titre et un message décrivant l’action à approuver (par exemple : « Demande de signature de document — Veuillez approuver la signature du NDA avec le partenaire Acme Corp. »). Ces données proviennent du serveur de votre organisation, sont affichées après vérification de leur signature cryptographique par l’application, et ne sont pas conservées au-delà de la session d’authentification. Le projet Ezkey n’a aucune visibilité sur ce contenu.
Aucune donnée n’est envoyée à un serveur exploité par le projet Ezkey.
Aucune donnée d’analyse, de rapport de plantage, de télémétrie ou de publicité n’est transmise par l’application.
5. Permissions Android
| Permission | Pourquoi elle est demandée | Données conservées ? |
|---|---|---|
| Appareil photo | Pour scanner le code QR affiché lors de l’inscription. Les images sont traitées sur l’appareil et immédiatement supprimées ; aucune image n’est stockée ni transmise. | Non |
| Internet | Pour communiquer avec le serveur auto-hébergé de votre organisation. | Non (voir section 4) |
| Biométrie / Empreinte
(déclarée, non active dans la v0.0.1) |
Cette permission est déclarée dans le manifeste de l’application
par une dépendance tierce (androidx.biometric, utilisée
pour le stockage sécurisé des identifiants). La version actuelle de
l’application n’affiche aucune invite biométrique à
l’utilisateur. Les opérations protégées par biométrie sont
prévues dans une version future. |
Non |
6. Bibliothèques tierces et services externes
L’application Ezkey n’intègre aucun SDK collectant des données utilisateur, notamment aucun SDK publicitaire, analytique (Firebase Analytics, Mixpanel, etc.) ni de rapport de plantage (Crashlytics, Sentry, etc.).
L’application utilise les bibliothèques libres suivantes à des fins strictement techniques :
- React Native — cadriciel d’interface utilisateur
- react-native-vision-camera — accès à la caméra pour la lecture de QR
- react-native-keychain — stockage sécurisé des identifiants
- Conscrypt (Android) — primitives cryptographiques (Ed25519)
- MLKit Barcode Scanning (sur l’appareil) — décodage QR sans appel réseau
- axios — client HTTP utilisé exclusivement pour communiquer avec le serveur auto-hébergé de votre organisation ; ne transmet aucune donnée à des tiers
- AsyncStorage — stockage persistant sur l’appareil utilisé pour les métadonnées d’inscription ; les données ne quittent jamais l’appareil
Aucune de ces bibliothèques ne transmet de données à leurs auteurs ni à un tiers.
7. Le site ezkey.org
Le site ezkey.org est un site statique hébergé sur Cloudflare Pages. Il n’utilise pas de témoins (cookies), ne pose pas de pixels de suivi et ne charge pas de scripts d’analyse tiers.
Cloudflare peut collecter des journaux standard de serveur web (adresse IP, agent utilisateur, horodatage) à des fins de sécurité et d’infrastructure, conformément à la politique de confidentialité de Cloudflare. Le projet Ezkey ne reçoit ni ne traite ces journaux.
8. Mineurs
L’application Ezkey ne s’adresse pas aux enfants de moins de 13 ans. Nous ne collectons pas sciemment de renseignements personnels auprès d’enfants de moins de 13 ans. Si vous avez moins de 13 ans, veuillez ne pas utiliser l’application.
9. Vos droits
Données sur votre appareil
Vous pouvez supprimer toutes les données stockées par l’application à tout moment en la désinstallant. La fonction « Effacer les données » d’Android dans les paramètres de l’application produit le même résultat sans désinstallation.
Données sur le serveur de votre organisation
Tout enregistrement d’inscription ou historique d’authentification détenu par le serveur Ezkey de votre organisation est soumis à leurs propres politiques de conservation et de suppression. Contactez l’administrateur de votre organisation pour exercer vos droits (accès, rectification, effacement, portabilité) concernant ces données.
Résidents du Québec (Loi 25 — Loi sur la protection des renseignements personnels dans le secteur privé)
Le projet Ezkey ne collectant pas de renseignements personnels, il n’existe aucun renseignement personnel détenu par nous qui serait accessible, rectifiable ou supprimable. Pour toute question ou préoccupation, contactez-nous à privacy@ezkey.org.
Résidents de l’Union européenne (RGPD)
Le projet Ezkey n’agissant pas en tant que responsable du traitement ou sous-traitant de données personnelles (il n’exploite aucun serveur et ne reçoit aucune donnée utilisateur), les obligations RGPD de responsable du traitement ne s’appliquent pas au projet. Le serveur auto-hébergé de votre organisation est le responsable du traitement pertinent. Pour les données personnelles détenues par Cloudflare (journaux de serveur web), référez-vous à la documentation RGPD de Cloudflare.
10. Sécurité des données
Les clés cryptographiques générées par l’application sont stockées dans le trousseau Android, qui offre une protection matérielle sur les appareils compatibles. La communication réseau avec le serveur de votre organisation utilise HTTPS. Le projet Ezkey recommande aux organisations de configurer leur serveur avec un certificat TLS valide.
11. Modifications de la présente politique
Nous pouvons mettre à jour cette politique au fil de l’évolution du projet. Les modifications significatives seront consignées dans le tableau ci-dessous. La version en vigueur est toujours disponible à l’adresse https://ezkey.org/fr/confidentialite.html.
| Date | Modification |
|---|---|
| 24 avril 2026 | Publication initiale — première soumission Google Play. |
12. Contact
Pour toute question relative à la présente politique de confidentialité :
Projet Ezkey — Marc Gagnon
privacy@ezkey.org — demandes de confidentialité
support@ezkey.org — support général
Pincourt, Québec, Canada
Nous nous engageons à répondre aux demandes liées à la confidentialité dans un délai de 30 jours.