Rapport de transparence

Comment nous protégeons votre confidentialité et traitons les violations de données de manière responsable

Dernière mise à jour : avril 2026

Notre mission

XposedOrNot a pour vocation d'aider les utilisateurs à savoir quand leurs informations personnelles ont été exposées lors d'une violation de données. Notre démarche repose sur la responsabilité : nous fournissons ce service sans republier ni diffuser de données volées susceptibles de causer un préjudice supplémentaire aux personnes concernées.

Notre objectif est de trouver un juste équilibre entre transparence et responsabilité. Nous nous engageons à :

• Vous fournir des informations de sécurité concrètes qui vous aident à vous protéger, tout en respectant votre confidentialité et sans jamais conserver d'informations personnelles inutiles
• Opérer en pleine conformité avec les lois et réglementations applicables, tout en respectant les droits légitimes des organisations comme des personnes touchées par les violations
• Maintenir une transparence totale sur nos pratiques, nos politiques et les limites de notre service

Pour tous les détails sur la manière dont vous pouvez utiliser notre service et sur ce que nous attendons des utilisateurs, veuillez consulter nos Conditions d'utilisation.

Comment nous traitons les données de violation

Voici ce que nous conservons réellement et comment nous traitons les données de violation :

• Nous extrayons uniquement les adresses e-mail des jeux de données de violation et les stockons dans notre base de données. Cela nous permet d'offrir une fonctionnalité de recherche sans conserver l'intégralité des informations compromises.
• Nous conservons des métadonnées publiques sur les violations, notamment le nom de la violation, la date de survenue, l'organisation concernée et les catégories générales de données exposées. Ces informations contextuelles vous aident à comprendre la gravité et l'ampleur de chaque incident.
• Nous ne stockons PAS les mots de passe, les numéros de carte bancaire, les numéros de sécurité sociale, les documents d'identité ni aucune autre donnée personnelle sensible qui aurait pu faire partie de la violation d'origine. Ces types de données sont volontairement exclus de nos systèmes.
• Cette approche sélective vous permet de vérifier si votre adresse e-mail figure dans des violations connues, tout en garantissant que les autres informations sensibles restent entièrement hors de notre infrastructure et ne sont accessibles à personne via notre service.

Minimisation des données et sécurité

Nous appliquons les meilleures pratiques du secteur en matière de sécurité et de minimisation des données :

• Nous ne conservons que le minimum d'informations absolument nécessaire à la réalisation des recherches de violations et à la fourniture de notre service principal. Toute donnée qui ne sert pas un objectif direct pour nos utilisateurs n'est ni collectée ni conservée.
• Toutes les opérations sont menées au sein d'environnements cloud isolés qui recourent au chiffrement à la fois au repos (lorsque les données sont stockées) et en transit (lorsque les données circulent entre les systèmes). Cela protège les informations contre tout accès non autorisé à chaque étape.
• Nous ne partageons, ne vendons ni ne fournissons jamais de données personnelles brutes à des tiers, quelle qu'en soit la finalité, y compris le marketing, l'analyse ou la recherche. Votre confidentialité n'est pas une marchandise que nous échangeons.

Demandes légales et de retrait

Nous prenons nos obligations légales au sérieux et nous nous efforçons de concilier transparence et conformité légale :

• Nous répondons rapidement et de manière appropriée aux ordonnances légales valides, aux demandes des forces de l'ordre et aux directives des autorités de réglementation. Chaque demande est examinée afin de s'assurer qu'elle respecte les normes légales avant toute action.
• Lorsqu'un jeu de données de violation fait l'objet d'une injonction judiciaire, d'une restriction légale ou d'une demande de retrait valide, nous pouvons supprimer entièrement ces informations ou en limiter l'accès selon la localisation géographique afin de nous conformer aux lois et réglementations régionales.
• Nous croyons en la transparence concernant ces demandes. Les statistiques relatives aux demandes de retrait et aux demandes légales sont publiées dans le tableau d'indicateurs ci-dessous, mis à jour régulièrement afin de tenir la communauté informée des demandes légales que nous recevons.

Critère d'intérêt public

Nous décidons d'inclure ou non une violation selon les critères suivants :

• Vérification d'une source fiable : la violation est-elle authentique et vérifiée ?
• Impact significatif sur les personnes : touche-t-elle un nombre important de personnes ?
• Absence de risque persistant : la divulgation causera-t-elle un préjudice ou créera-t-elle des problèmes de sécurité ?

Si la divulgation d'une violation est susceptible de causer un préjudice ou enfreint une restriction légale, nous excluons ce jeu de données ou en limitons l'accès.

Confidentialité des requêtes des utilisateurs

Votre confidentialité est primordiale lorsque vous utilisez nos fonctions de recherche. Nous avons conçu notre système pour protéger votre anonymat :

• Les requêtes de recherche sont traitées en mémoire et ne sont enregistrées sous aucune forme identifiable. Une fois votre recherche terminée, les informations de la requête ne sont pas conservées d'une manière qui pourrait être reliée à vous.
• Nous ne stockons pas les adresses e-mail que vous recherchez, et nous ne vendons pas ces informations à des tiers ni ne les utilisons à des fins de marketing. Vos recherches restent privées.
• Nous n'associons pas les requêtes à des adresses IP au-delà de journaux de sécurité transitoires, conservés uniquement à des fins de protection du système et purgés automatiquement à intervalles réguliers.

Indicateurs de transparence

Vous trouverez ci-dessous les statistiques relatives aux demandes de retrait et aux demandes légales que nous avons reçues :