Politique de confidentialité

Politique de confidentialité Forward Email

Avertissement

Veuillez vous référer à nos Conditions qui s'appliquent à l'ensemble du site.

Informations non collectées

À l'exception des journaux d'erreurs, des emails SMTP sortants, et/ou lorsqu'une activité de spam ou malveillante est détectée (par exemple pour la limitation du débit) :

  • Nous ne stockons aucun email transféré sur un stockage disque ni dans des bases de données.
  • Nous ne stockons aucune métadonnée concernant les emails transférés sur un stockage disque ni dans des bases de données.
  • Nous ne stockons aucun journal ni adresse IP sur un stockage disque ni dans des bases de données.
  • Nous n'utilisons aucun service tiers d'analyse ou de télémétrie.

Informations collectées

Pour plus de transparence, vous pouvez à tout moment consulter notre code source pour voir comment les informations ci-dessous sont collectées et utilisées.

Strictement pour la fonctionnalité et pour améliorer notre service, nous collectons et stockons de manière sécurisée les informations suivantes :

Informations sur le compte

  • Nous stockons votre adresse email que vous nous fournissez.
  • Nous stockons vos noms de domaine, alias et configurations que vous nous fournissez.
  • Toute information supplémentaire que vous nous fournissez volontairement, comme des commentaires ou questions envoyés par email ou sur notre page aide.

Attribution d'inscription (stockée de manière permanente sur votre compte) :

Lorsque vous créez un compte, nous stockons les informations suivantes pour comprendre comment les utilisateurs découvrent notre service :

  • Le domaine du site référent (pas l'URL complète)
  • La première page que vous avez visitée sur notre site
  • Les paramètres de campagne UTM s'ils sont présents dans l'URL

Stockage des emails

  • Nous stockons les emails et informations de calendrier dans votre base de données SQLite chiffrée strictement pour votre accès IMAP/POP3/CalDAV/CardDAV et la fonctionnalité de la boîte aux lettres.
    • Notez que si vous utilisez uniquement nos services de transfert d'emails, aucun email n'est stocké sur disque ni dans une base de données comme décrit dans Informations non collectées.
    • Nos services de transfert d'emails fonctionnent uniquement en mémoire (aucune écriture sur disque ni base de données).
    • Le stockage IMAP/POP3/CalDAV/CardDAV est chiffré au repos, chiffré en transit, et stocké sur un disque chiffré LUKS.
    • Les sauvegardes de votre stockage IMAP/POP3/CalDAV/CardDAV sont chiffrées au repos, chiffrées en transit, et stockées sur Cloudflare R2.

Journaux d'erreurs

  • Nous stockons les codes de réponse SMTP 4xx et 5xx dans des journaux d'erreurs pendant 7 jours.
  • Les journaux d'erreurs contiennent l'erreur SMTP, l'enveloppe, et les en-têtes d'email (nous ne stockons pas le corps de l'email ni les pièces jointes).
  • Les journaux d'erreurs peuvent contenir les adresses IP et noms d'hôtes des serveurs expéditeurs à des fins de débogage.
  • Les journaux d'erreurs pour la limitation du débit et la liste grise ne sont pas accessibles car la connexion se termine tôt (par exemple avant que les commandes RCPT TO et MAIL FROM puissent être transmises).

Emails SMTP sortants

  • Nous stockons les emails SMTP sortants pendant environ 30 jours.
    • Cette durée varie en fonction de l'en-tête "Date" ; puisque nous autorisons l'envoi d'emails dans le futur si un en-tête "Date" futur existe.
    • Notez qu'une fois qu'un email est livré avec succès ou qu'une erreur permanente survient, nous expurgerons et supprimerons le corps du message.
    • Si vous souhaitez configurer la conservation du corps du message de vos emails SMTP sortants plus longtemps que la valeur par défaut de 0 jour (après livraison réussie ou erreur permanente), allez dans les Paramètres avancés de votre domaine et saisissez une valeur entre 0 et 30.
    • Certains utilisateurs apprécient d'utiliser la fonctionnalité de prévisualisation Mon compte > Emails pour voir comment leurs emails sont rendus, c'est pourquoi nous supportons une période de conservation configurable.
    • Notez que nous supportons également OpenPGP/E2EE.

Traitement temporaire des données

Les données suivantes sont traitées temporairement en mémoire ou dans Redis et ne sont pas stockées de manière permanente :

Limitation de débit

  • Les adresses IP sont utilisées temporairement dans Redis pour la limitation de débit.
  • Les données de limitation de débit expirent automatiquement (généralement sous 24 heures).
  • Cela empêche les abus et garantit une utilisation équitable de nos services.

Suivi des connexions

  • Le nombre de connexions simultanées est suivi par adresse IP dans Redis.
  • Ces données expirent automatiquement lorsque les connexions se ferment ou après un court délai.
  • Utilisé pour prévenir les abus de connexion et assurer la disponibilité du service.

Tentatives d'authentification

  • Les tentatives d'authentification échouées sont suivies par adresse IP dans Redis.
  • Ces données expirent automatiquement (généralement sous 24 heures).
  • Utilisé pour prévenir les attaques par force brute sur les comptes utilisateurs.

Journaux d'audit

Pour vous aider à surveiller et sécuriser votre compte et vos domaines, nous conservons des journaux d'audit pour certains changements. Ces journaux sont utilisés pour envoyer des emails de notification aux titulaires de compte et aux administrateurs de domaine.

Modifications du compte

  • Nous suivons les modifications des paramètres importants du compte (par exemple, l'authentification à deux facteurs, le nom affiché, le fuseau horaire).
  • Lorsqu'un changement est détecté, nous envoyons un email de notification à votre adresse email enregistrée.
  • Les champs sensibles (par exemple, mot de passe, jetons API, clés de récupération) sont suivis mais leurs valeurs sont expurgées dans les notifications.
  • Les entrées du journal d'audit sont supprimées après l'envoi de l'email de notification.

Modifications des paramètres du domaine

Pour les domaines avec plusieurs administrateurs, nous fournissons une journalisation d'audit détaillée pour aider les équipes à suivre les modifications de configuration :

Ce que nous suivons :

  • Les modifications des paramètres du domaine (par exemple, webhooks de rebond, filtrage anti-spam, configuration DKIM)
  • Qui a effectué la modification (adresse email de l'utilisateur)
  • Quand la modification a été effectuée (horodatage)
  • L'adresse IP depuis laquelle la modification a été faite
  • La chaîne user-agent du navigateur/client

Comment cela fonctionne :

  • Tous les administrateurs du domaine reçoivent un email de notification consolidé unique lorsque les paramètres changent.
  • La notification inclut un tableau montrant chaque modification avec l'utilisateur qui l'a effectuée, son adresse IP et l'horodatage.
  • Les champs sensibles (par exemple, clés webhook, jetons API, clés privées DKIM) sont suivis mais leurs valeurs sont expurgées.
  • Les informations user-agent sont incluses dans une section "Détails techniques" repliable.
  • Les entrées du journal d'audit sont supprimées après l'envoi de l'email de notification.

Pourquoi nous collectons cela :

  • Pour aider les administrateurs de domaine à maintenir une surveillance de sécurité
  • Pour permettre aux équipes d'auditer qui a effectué des modifications de configuration
  • Pour aider au dépannage en cas de modifications inattendues
  • Pour assurer la responsabilité dans la gestion partagée du domaine

Cookies et sessions

  • Nous stockons un cookie dans une session pour le trafic de votre site web.
  • Les cookies sont HTTP-only, signés, et utilisent la protection SameSite.
  • Les cookies de session expirent après 30 jours d'inactivité.
  • Nous ne créons pas de sessions pour les bots ou les crawlers.
  • Nous utilisons les cookies pour :
    • L'authentification et l'état de connexion
    • La fonctionnalité "se souvenir de moi" pour l'authentification à deux facteurs
    • Les messages flash et notifications

Analyse

Nous utilisons notre propre système d’analyse axé sur la confidentialité pour comprendre comment nos services sont utilisés. Ce système est conçu avec la confidentialité comme principe fondamental :

Ce que nous ne collectons PAS :

  • Nous ne stockons pas les adresses IP
  • Nous n’utilisons pas de cookies ni d’identifiants persistants pour l’analyse
  • Nous n’utilisons aucun service d’analyse tiers
  • Nous ne suivons pas les utilisateurs sur plusieurs jours ou sessions

Ce que nous collectons (anonymisé) :

  • Vues de pages agrégées et utilisation des services (SMTP, IMAP, POP3, API, etc.)
  • Type de navigateur et système d’exploitation (analysé à partir de l’agent utilisateur, données brutes supprimées)
  • Type d’appareil (ordinateur de bureau, mobile, tablette)
  • Domaine référent (pas l’URL complète)
  • Type de client mail pour les protocoles de messagerie (ex. Thunderbird, Outlook)

Conservation des données :

  • Les données analytiques sont automatiquement supprimées après 30 jours
  • Les identifiants de session tournent quotidiennement et ne peuvent pas être utilisés pour suivre les utilisateurs sur plusieurs jours

Informations Partagées

Nous ne partageons pas vos informations avec des tiers.

Nous pouvons être amenés à nous conformer à des demandes légales ordonnées par un tribunal (mais gardez à l’esprit que nous ne collectons pas les informations mentionnées ci-dessus sous « Informations Non Collectées », donc nous ne pourrons pas les fournir).

Suppression des Informations

Si à tout moment vous souhaitez supprimer les informations que vous nous avez fournies, rendez-vous sur Mon Compte > Sécurité et cliquez sur « Supprimer le compte ».

Pour prévenir et atténuer les abus, la suppression de votre compte peut nécessiter une révision manuelle par nos administrateurs si vous le supprimez dans les 5 jours suivant votre premier paiement.

Ce processus prend généralement moins de 24 heures et a été mis en place car des utilisateurs spammaient notre service, puis supprimaient rapidement leurs comptes – ce qui nous empêchait de bloquer leurs empreintes de méthode de paiement dans Stripe.

Divulgations Supplémentaires

Ce site est protégé par Cloudflare et sa Politique de Confidentialité ainsi que ses Conditions d’Utilisation s’appliquent.