Phantyl

Politique de confidentialité

La présente politique décrit la manière dont le service Phantyl traite (ou ne traite pas) les données, conformément au Règlement général sur la protection des données (RGPD) et à la loi française. Phantyl est un service de partage de secret éphémère « zero-knowledge » : le contenu que vous partagez est chiffré dans votre navigateur, avant tout envoi, de sorte que l'éditeur n'y a jamais accès en clair. Dernière mise à jour : 8 juin 2026.

1. Responsable du traitement

Le responsable du traitement est Alexandre Grisollet, personne physique agissant à titre personnel (usage non professionnel), domicilié en France, également directeur de la publication du site.

Pour toute question relative à la présente politique ou à l'exercice de vos droits : alexandre.grisollet@ikmail.com.

Pour tout signalement d'abus ou de contenu illicite : abuse@phantyl.com.

2. Principe directeur : « zero-knowledge » et minimisation

Phantyl est conçu pour traiter le moins de données possible, dans l'esprit de la minimisation prévue par l'article 5 du RGPD.

Le service ne nécessite aucun compte, aucune inscription et aucune authentification. Vous n'avez à fournir aucune donnée d'identification (nom, adresse e-mail, numéro de téléphone, etc.) pour l'utiliser.

Le secret que vous partagez est chiffré de bout en bout (AES-256-GCM) directement dans votre navigateur. La clé de déchiffrement est placée dans le fragment d'URL (la partie située après le caractère « # »), qui n'est techniquement jamais transmis au serveur. L'éditeur ne reçoit donc que des octets chiffrés opaques et se trouve dans l'impossibilité technique de lire, restaurer ou modérer a priori le contenu des secrets.

L'éditeur ne collecte donc aucune donnée relative au contenu de vos secrets. La seule donnée à caractère personnel traitée est votre adresse IP de création, conservée de manière minimale en application d'une obligation légale (voir ci-dessous), sans aucun lien avec le contenu, illisible par l'éditeur.

3. Données traitées en détail

Secrets partagés : ils sont stockés exclusivement sous forme d'octets chiffrés opaques, illisibles par l'éditeur. La clé permettant de les déchiffrer ne quitte jamais votre navigateur (elle réside dans le fragment d'URL). L'éditeur n'a aucun moyen technique d'accéder au contenu en clair. Si ce contenu contient des données personnelles, celles-ci relèvent de votre seule maîtrise en tant qu'émetteur.

Adresse IP — limitation de débit : votre adresse IP est utilisée comme clé technique de limitation de débit (anti-abus / anti-déni de service), en mémoire volatile (Redis), pour une durée n'excédant pas 60 secondes, puis elle disparaît.

Adresse IP — journal d'identification (obligation légale) : lors de la création d'un secret, votre adresse IP et l'horodatage sont enregistrés, reliés à l'identifiant technique du secret, en application de l'obligation de conservation des données d'identification qui pèse sur les hébergeurs (article 6 de la LCEN et décret n° 2021-1362 du 20 octobre 2021). Ces données sont conservées un an, ne sont jamais reliées au contenu (illisible par l'éditeur), ne sont utilisées à aucune autre fin et ne peuvent être communiquées que sur réquisition d'une autorité judiciaire habilitée.

Aucune autre donnée (cookie, identifiant publicitaire, empreinte de navigateur, donnée de profilage) n'est collectée.

4. Finalités et bases légales

Fourniture du service de partage de secret éphémère : le traitement des octets chiffrés est nécessaire à l'exécution du service que vous demandez (article 6.1.b du RGPD).

Sécurité et prévention des abus : l'utilisation temporaire de l'adresse IP comme clé de limitation de débit repose sur l'intérêt légitime de l'éditeur (article 6.1.f du RGPD) à protéger le service contre les abus, le déni de service et les usages malveillants. Cet usage est strictement proportionné : à cette fin, l'IP n'est pas conservée au-delà de 60 secondes.

Conservation des données d'identification : l'enregistrement de l'adresse IP de création et de l'horodatage pendant un an repose sur le respect d'une obligation légale à laquelle l'éditeur est soumis en tant qu'hébergeur (article 6.1.c du RGPD ; article 6 de la LCEN et décret n° 2021-1362). Ces données ne servent qu'à permettre l'identification d'un auteur de contenu illicite sur réquisition judiciaire.

5. Cookies et traceurs

Phantyl n'utilise aucun cookie, aucun traceur, aucun outil de mesure d'audience ni aucun dispositif de profilage.

Aucun consentement n'est donc requis et aucune bannière cookies n'est affichée. Seuls les mécanismes strictement techniques nécessaires au fonctionnement du chiffrement côté navigateur sont mis en œuvre.

6. Durées de conservation

Secrets : un secret est supprimé dès sa première lecture lorsque l'option de lecture unique (« burn-after-read ») est activée, ou à l'expiration du délai que vous avez choisi (TTL configurable de 1 heure à 30 jours). Une purge automatique supprime les secrets expirés. Une fois supprimé, un secret est définitivement et irrémédiablement perdu.

Adresse IP (limitation de débit) : conservée en mémoire volatile pour 60 secondes au maximum, puis automatiquement effacée.

Adresse IP (journal d'identification légal) : l'adresse IP de création et l'horodatage sont conservés un an, puis supprimés automatiquement par une purge planifiée. Ils ne sont accessibles que sur réquisition judiciaire.

Aucune autre donnée n'est conservée.

7. Destinataires et sous-traitants

Les octets chiffrés sont hébergés sur un serveur dédié loué auprès de OVH SAS (siège social : 2 rue Kellermann, 59100 Roubaix, France ; RCS Lille Métropole 424 761 419), agissant en qualité d'hébergeur d'infrastructure. Le serveur est auto-géré par l'éditeur.

Les données sont hébergées en France, au sein de l'Union européenne. Aucun transfert de données hors de l'Union européenne n'est effectué.

Aucune donnée n'est vendue, louée, ni communiquée à des tiers à des fins commerciales ou publicitaires.

8. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez de droits d'accès, de rectification, d'effacement, d'opposition et de limitation du traitement vous concernant.

Précision importante : en l'absence de compte, d'identifiant personnel et de toute donnée d'identification, l'éditeur n'est pas en mesure de relier les données traitées (octets chiffrés, adresse IP volatile) à une personne déterminée. Conformément à l'article 11 du RGPD, l'éditeur n'est pas tenu de collecter des informations supplémentaires à seule fin d'identifier une personne pour répondre à une demande de droits. Lorsque vous avez généré un lien de révocation, vous gardez la maîtrise directe du secret correspondant et pouvez le détruire à tout moment via ce lien.

Vous disposez par ailleurs du droit d'introduire une réclamation auprès de l'autorité de contrôle française, la CNIL (Commission nationale de l'informatique et des libertés), www.cnil.fr.

9. Sécurité

Le chiffrement est réalisé de bout en bout, dans le navigateur, au moyen d'AES-256-GCM ; la clé n'est jamais transmise au serveur. Une passphrase optionnelle (dérivation Argon2id) renforce la protection.

Le service met en œuvre des mesures de sécurité telles qu'une politique de sécurité du contenu (Content Security Policy), la limitation de débit et la suppression automatique des secrets après lecture ou expiration.

En raison du modèle « zero-knowledge », la perte du lien ou de la clé entraîne la perte définitive et irrécupérable du secret : l'éditeur ne peut en aucun cas le restaurer.

10. Contact et mises à jour

Pour toute question relative à la présente politique : alexandre.grisollet@ikmail.com. Pour un signalement d'abus : abuse@phantyl.com.

La présente politique peut être mise à jour pour refléter l'évolution du service ou de la réglementation. La date de dernière mise à jour figure en tête de document.

11. Avertissement

Le présent document est fourni à titre informatif. Une relecture par un professionnel du droit est recommandée avant toute exploitation publique.