Sécurité — sans jargon, sans promesse exagérée

Où sont stockées vos données

Le site et l'application Vastilia sont hébergés en Suisse (Infomaniak, à Genève). Vos données (souvenirs, photos, documents, fiches famille) sont stockées sur Supabase à Zurich, en Suisse (pays reconnu par l'UE comme offrant une protection adéquate ; loi suisse nLPD, RGPD pour les résidents de l'UE).

Aucune donnée ne quitte la Suisse ou l'UE. Pas de transit par les États-Unis, pas de Cloud Act applicable.

Comment elles sont protégées

Trois couches de chiffrement sont en place :

· En transit : toutes les communications entre votre navigateur et Vastilia passent par HTTPS (TLS 1.3). Personne ne peut intercepter ce qui circule, ni votre fournisseur Internet, ni un café Wi-Fi public.

· Au repos : vos données sont chiffrées sur les serveurs Supabase (encryption at rest, AES-256). Un vol physique de disque dur ne donne pas accès à votre contenu.

· Mots de passe : jamais stockés en clair. Hachés avec bcrypt, irréversibles. Personne, pas même nous, ne peut retrouver votre mot de passe — mais nous pouvons vous en envoyer un nouveau si vous le perdez.

Ce que nous voyons et ce que nous ne voyons pas

Honnêteté pleine — c'est rare dans ce secteur, mais c'est notre engagement.

Concrètement : nous ne pratiquons pas le chiffrement de bout-en-bout (E2EE). Si vous appelez le support pour un problème (« mon souvenir a disparu »), nous pouvons techniquement vérifier la base et vous aider. C'est ce qui rend l'assistance possible, mais c'est aussi ce qui veut dire que nous voyons, en cas de besoin, ce que vous écrivez.

En pratique : nous ne consultons jamais vos données par curiosité. Nous n'y accédons qu'en cas de demande de support écrite (de votre part ou d'un bénéficiaire identifié), et uniquement pour résoudre un problème technique précis. Un journal d'accès interne trace chaque consultation.

Faut-il y mettre des mots de passe ?

Non, pas dans le Carnet. Le Carnet vous aide à noter où sont vos comptes — votre banque, vos mails, vos abonnements, vos appareils — et comment vos proches peuvent les retrouver. Les mots de passe eux-mêmes restent ailleurs, plus en sécurité.

Pour vos mots de passe du quotidien, un gestionnaire dédié (1Password, Bitwarden, Dashlane, ou les trousseaux Apple et Google) est plus sûr : chiffré de bout en bout, conçu exactement pour ça, et transmissible à un proche si vous lui confiez le mot de passe maître.

Pour le mot de passe maître ou les codes les plus sensibles (banque, accès au gestionnaire, code PIN du téléphone) : une note manuscrite rangée chez vous, ou une enveloppe scellée chez un proche. Pas dans Vastilia, pas dans le Carnet.

Le Carnet vous sert à dire : « voici où sont mes comptes, voici qui contacter, voici comment retrouver mes affaires. » C'est cette orientation qui manque le plus souvent à ceux qui restent — pas les mots de passe.

RGPD et vos droits

Vastilia est conforme au Règlement Général sur la Protection des Données. Vous pouvez à tout moment :

· Accéder à toutes vos données et les exporter au format PDF ou ZIP.
· Demander la rectification ou la suppression de vos données.
· Retirer votre consentement et fermer votre compte.
· Vous opposer à un traitement.
· Porter plainte auprès de la CNIL si vous estimez vos droits non respectés.

Pour toute demande, écrivez à contact@vastilia.fr. Réponse sous 30 jours maximum (généralement 48h).

Sauvegarde et continuité

Vos données sont sauvegardées quotidiennement par Supabase, avec une rétention de 7 jours minimum. En cas d'incident, vous pouvez à tout moment télécharger une copie complète de votre capsule au format ZIP (photos, documents, souvenirs, transmission paramétrée) — c'est votre filet de sécurité personnel.

Si Vastilia devait fermer un jour : nous vous préviendrions au moins 6 mois à l'avance pour vous laisser le temps de tout récupérer et de migrer vers un autre support.

Une question spécifique ?

Écrivez à contact@vastilia.fr. Nous répondons en moins de 48h, en français, sans jargon.