Sécurité & Confidentialité
planar chiffre vos données de bout en bout et les garde sur vos appareils. Le serveur ne stocke pas vos missions, photos ni positions : il authentifie, contrôle les accès et met vos appareils en relation.
Vos données opérationnelles vivent sur vos appareils, chiffrées. Missions, marqueurs, photos, positions GPS et enregistrements sont stockés localement et se synchronisent directement entre vos appareils en pair-à-pair (WebRTC et Bluetooth) — y compris hors ligne. Le serveur ne les stocke pas.
Son rôle se limite à authentifier les utilisateurs, contrôler les accès et mettre vos appareils en relation (signaling et relais TURN). Les communications de bout en bout (protocole MLS, RFC 9420) sont relayées sous forme chiffrée que le serveur ne peut pas lire. Même compromis, il n'expose aucune donnée en clair.
Comment ça marche ?
Chiffrement sur l'appareil
Les données sont chiffrées localement (AES-256-GCM, clé non-extractable) avant toute transmission.
Synchronisation pair-à-pair
Les appareils se synchronisent directement entre eux via WebRTC (DTLS-SRTP) et Bluetooth, même sans connexion internet.
Serveur de mise en relation
Le serveur authentifie, contrôle les accès et connecte vos appareils (signaling et TURN). Il ne stocke pas vos données de mission.
Clés non-extractables
Les clés de chiffrement ne quittent jamais votre appareil (IndexedDB non-extractable sur web, Keychain matériel sur iOS).
Code PIN de chiffrement
Lors de votre première connexion, vous définissez un code PIN de 6 à 8 chiffres. Ce PIN est la clé de voûte de la sécurité de vos données.
À quoi sert le PIN ?
Votre PIN génère une clé de chiffrement unique via PBKDF2 avec 600 000 itérations (standard OWASP 2025). Cette clé chiffre toutes vos données localement.
Stockage sécurisé
Sur iOS, la clé dérivée est stockée dans le Keychain Apple. Sur navigateur, elle utilise l'API Web Crypto avec des clés non-extractables.
Changement de PIN
Vous pouvez changer votre PIN à tout moment. Toutes vos données sont automatiquement re-chiffrées avec la nouvelle clé.
Chiffrement de bout en bout (E2EE)
Toutes vos données sont chiffrées localement avant d'être synchronisées. Même en cas de compromission serveur, vos données restent illisibles.
Standards cryptographiques
| Usage | Algorithme | Détail |
|---|---|---|
| Messagerie de bout en bout | MLS (RFC 9420) | Ciphersuite hybride post-quantique X-Wing (X25519 + ML-KEM-768), ChaCha20-Poly1305, Ed25519 |
| Données au repos, média, sauvegardes | AES-256-GCM | Clé non-extractable (Web Crypto), IV 96 bits, tag 128 bits |
| Dérivation de clé | PBKDF2-HMAC-SHA256 | 600 000 itérations (OWASP 2025), sel aléatoire 128 bits |
| Transport | DTLS-SRTP (WebRTC), TLS 1.3 | Surmonté du chiffrement applicatif de bout en bout |
| Intégrité et preuve | HMAC-SHA256, Ed25519 | Chaîne de hachage incrémentale, signature par entrée |
| Stockage des clés (iOS) | Keychain matériel | kSecAttrAccessibleWhenUnlocked |
Horodatage certifié RFC 3161
planar intègre un système d'horodatage conforme à la norme RFC 3161, qui garantit l'intégrité et la date exacte de création de vos preuves numériques.
Comment ça fonctionne ?
- Quand vous créez un marqueur, prenez une photo, enregistrez une note vocale ou streamez en bodycam, un hash SHA-256 du contenu est généré localement sur votre appareil
- Ce hash (jamais le contenu) est envoyé à Certigna, une autorité d'horodatage (TSA) qualifiée eIDAS, qui retourne un jeton signé avec la date exacte
- Le jeton RFC 3161 est stocké avec la preuve, attestant cryptographiquement qu'elle existait à ce moment précis
- Pour la bodycam, chaque frame vidéo est géolocalisée et horodatée — le flux complet constitue une preuve continue vérifiable
Certigna est un prestataire de services de confiance qualifié eIDAS, inscrit sur la liste de confiance française (LSTI) et européenne. Ses horodatages bénéficient d'une présomption d'exactitude devant les tribunaux de tous les États membres de l'UE (article 41.2 du règlement eIDAS n°910/2014).
Quelles données sont horodatées ?
- Marqueurs et pièces jointes : Photos, documents, annotations géolocalisées
- Enregistrements audio : Notes vocales, messages walkie-talkie enregistrés
- Enregistrements vidéo : Captures bodycam avec métadonnées GPS par frame
- Tracks GPS : Parcours des agents avec historique de positions
- Incidents : Signalements, alertes Homme à terre, rapports terrain
Chaîne de preuve numérique Pro
Le plan Professional inclut un système de chaîne de preuve numérique qui trace chaque accès et manipulation d'une preuve depuis sa création jusqu'à sa présentation en justice.
Informations tracées
- Création : Qui a créé la preuve, quand, où (coordonnées GPS), avec quel appareil (identifiant unique)
- Consultations : Chaque visualisation est enregistrée avec l'identité de l'utilisateur et l'horodatage
- Transferts : Historique complet des partages, exports et transmissions entre appareils
- Modifications : Toute annotation ou modification est tracée (les originaux sont préservés et verrouillés)
- Intégrité : Hash HMAC-SHA256 chaîné — toute falsification est détectable
Chaînage HMAC-SHA256 : comment ça marche ?
Chaque entrée dans la chaîne de preuve est liée à la précédente par un hash cryptographique, formant un journal en ajout-seul infalsifiable :
- Entrée N : Un hash HMAC-SHA256 est calculé sur les données de l'événement (auteur, action, horodatage, GPS, hash du contenu)
- Chaînage : Le hash de l'entrée N-1 est inclus dans le calcul de l'entrée N, créant une dépendance cryptographique
- Vérification : Pour valider la chaîne, il suffit de recalculer chaque hash en séquence. Toute modification — même d'un seul octet — invalide tous les hashes suivants
La chaîne de preuve utilise un hash chaîné HMAC-SHA256. Il est mathématiquement impossible de modifier, supprimer ou réordonner une entrée sans invalider toutes les suivantes. L'intégrité de la chaîne complète est vérifiable indépendamment par un tiers (expert judiciaire, tribunal).
Hash chain incrémentale en temps réel
Chaque action probatoire dans une mission est enregistrée instantanément dans une chaîne de hachage incrémentale. Contrairement à un simple journal d'audit, chaque entrée est cryptographiquement liée à la précédente, rendant toute modification rétroactive détectable.
Actions enregistrées en temps réel
| Action | Données hashées |
|---|---|
| Enregistrement bodycam | ID enregistrement, fichier, mission, durée, qualité, hash SHA-256 du contenu |
| Capture photo | ID photo, mission, marqueur, coordonnées GPS |
| Marqueur (création, modification, suppression) | ID marqueur, mission, coordonnées GPS, type, opération |
| Notes texte, photo et vocales | ID marqueur, mission, type de pièce jointe |
| Documents mission | IDs documents, mission |
| Participation mission | ID mission, utilisateur, action (rejoindre/quitter) |
| Diffusion bodycam | ID mission, appareil, action (démarrer/arrêter) |
| Suivi GPS | ID mission, action (démarrer/arrêter) |
| Accès prestataire | ID session, prestataire, action (créer/valider/révoquer) |
| Incident homme à terre | ID incident, statut, mission |
Architecture cryptographique
| Opération | Algorithme | Entrée |
|---|---|---|
| Hash du contenu | SHA-256 | JSON canonique de l'événement (clés triées, déterministe) |
| Lien de chaîne | HMAC-SHA256 | contentHash|previousHash|sequence|timestamp |
| Dérivation de clé | HKDF-SHA256 | IKM = clé maître aléatoire 256 bits (générée et stockée localement), sel et contexte HKDF fixes |
| Ancrage périodique | SHA-256 (Merkle tree) | Arbre binaire des hashes d'entrées, feuille impaire dupliquée |
Ancrage Merkle + horodatage certifié RFC 3161
Toutes les 50 entrées ou 15 minutes, un point d'ancrage est automatiquement créé. Le Merkle root condense cryptographiquement toutes les entrées du segment en un seul hash. Chaque ancrage est horodaté par une autorité d'horodatage certifiée (TSA) via le protocole RFC 3161, produisant un jeton DER signé qui prouve l'existence de la chaîne à un instant précis. Ce mécanisme rend la falsification rétroactive non seulement détectable cryptographiquement mais aussi temporellement prouvable.
Lors de l'export judiciaire, la chaîne complète est incluse dans le dossier ZIP sous forme de trois fichiers vérifiables indépendamment : evidence_chain.json (chaîne complète), chain_anchors.json (points d'ancrage Merkle) et chain_verification.json (rapport d'intégrité automatique). Un expert judiciaire peut recalculer chaque hash pour vérifier qu'aucune preuve n'a été altérée, ajoutée ou supprimée après coup.
Recevabilité juridique
La combinaison de l'horodatage RFC 3161 qualifié eIDAS (Certigna) et de la chaîne de preuve HMAC-SHA256 offre un niveau de preuve reconnu par les juridictions françaises et européennes.
Conformité eIDAS
Les horodatages Certigna bénéficient de la présomption d'exactitude (art. 41.2 du règlement eIDAS n°910/2014), reconnue dans les 27 États membres de l'UE
Valeur probante
L'horodatage qualifié certifie l'existence d'un document à une date donnée. Combiné à la chaîne de preuve, il prouve que la preuve n'a pas été altérée depuis sa collecte
Vérification indépendante
Un expert judiciaire peut vérifier indépendamment l'intégrité de la chaîne de preuve et la validité des jetons RFC 3161, sans avoir besoin d'accéder à planar
Droit français
Conforme aux exigences de l'article 1366 du Code civil (preuve par écrit électronique) et de l'article 1367 (signature électronique qualifiée)
planar fournit les outils techniques pour la collecte de preuves numériques (horodatage qualifié, chaîne de preuve, chiffrement). La recevabilité effective d'une preuve dépend du contexte juridique et de la décision du magistrat. Consultez un avocat pour vos cas spécifiques.
Sauvegarde multi-appareils
Nous vous recommandons fortement d'ajouter au moins un appareil de backup (ordinateur, tablette ou second téléphone) dans les paramètres de l'application. En cas de perte ou panne de votre appareil principal, vos données seront immédiatement accessibles sur votre appareil de secours.
Comme vos données sont stockées localement et chiffrées avec votre clé personnelle, la perte de votre unique appareil signifierait la perte de toutes vos données. La synchronisation multi-appareils agit comme une sauvegarde distribuée en temps réel.
Pourquoi ajouter un appareil de backup ?
- Protection contre la perte/vol : Vos données restent accessibles sur l'appareil secondaire
- Protection contre la panne : Écran cassé, batterie morte, appareil endommagé
- Continuité d'activité : Basculez instantanément sur un autre appareil en mission
- Synchronisation automatique : Toutes les données sont répliquées en temps réel
Sauvegarde des clés de chiffrement
Vos clés de chiffrement sont stockées localement sur votre appareil. Si vous perdez accès à tous vos appareils et oubliez votre code PIN de sauvegarde serveur, vous pourriez perdre l'accès à vos données chiffrées. L'export des clés vous permet de créer une sauvegarde externe indépendante.
Exporter vos clés de chiffrement
L'export crée un fichier JSON chiffré contenant vos clés de chiffrement. Ce fichier est protégé par un mot de passe fort que vous choisissez.
- Allez dans Paramètres > Sécurité
- Dans la section "Sauvegarde des clés E2EE", cliquez sur Exporter
- Choisissez un mot de passe fort (minimum 12 caractères avec majuscules, minuscules et chiffres)
- Confirmez le mot de passe
- Le fichier
planar-e2ee-keys-AAAA-MM-JJ.jsonsera téléchargé
Le fichier est chiffré avec AES-256-GCM. La clé de chiffrement est dérivée de votre mot de passe via PBKDF2 avec 600 000 itérations (standard OWASP 2025). Sans le mot de passe, le fichier est inutilisable.
Où stocker le fichier d'export ?
Clé USB sécurisée
Idéal pour un stockage hors-ligne. Gardez la clé dans un lieu sûr.
Cloud sécurisé
Services chiffrés comme Proton Drive ou coffre-fort numérique de votre banque.
Coffre-fort physique
Imprimez le mot de passe et stockez-le séparément du fichier.
Restaurer vos clés de chiffrement
Si vous avez perdu accès à vos appareils ou devez récupérer vos données :
- Connectez-vous à planar (un nouveau compte sera créé si nécessaire)
- Allez dans Paramètres > Sécurité
- Dans la section "Sauvegarde des clés E2EE", cliquez sur Importer
- Sélectionnez votre fichier d'export
- Entrez le mot de passe que vous avez choisi lors de l'export
- Confirmez pour vous reconnecter et activer les clés restaurées
Après l'import, vous devrez vous reconnecter pour que les nouvelles clés soient activées. Les sessions E2EE existantes seront ré-établies automatiquement avec vos pairs.
Quand exporter vos clés ?
- Dès l'activation du chiffrement E2EE : Créez un export dès que vous configurez le chiffrement
- Après un changement de PIN : Les clés restent les mêmes, mais c'est une bonne pratique
- Régulièrement : Mettez à jour votre export tous les 6 mois
- Avant un voyage : En cas de perte ou vol d'appareil à l'étranger
Conservation des données
Vos données de mission bénéficient d'un stockage et d'une rétention illimités sur tous les plans :
| Plan | Stockage | Rétention des données |
|---|---|---|
| Starter | Illimité | Illimité |
| Professional | Illimité | Illimité |
Autres durées de conservation (obligations légales)
| Logs de connexion | 1 an (LCEN) |
| Journal d'audit | 2 ans |
| Sauvegardes chiffrées locales | 90 jours |
Conformité RGPD
planar est entièrement conforme au Règlement Général sur la Protection des Données (RGPD).
Vos droits :
- Droit d'accès : Consultez toutes vos données à tout moment
- Droit de rectification : Modifiez vos informations personnelles
- Droit à l'effacement : Suppression complète et définitive
- Droit à la portabilité : Exportez toutes vos données en format standard
Journalisation et audit
Toutes les actions sont enregistrées dans un journal d'audit immuable avec chaîne de hachage HMAC-SHA256, conformément aux exigences légales.
Actions journalisées
- Connexions et déconnexions
- Accès aux données de mission
- Modifications et suppressions
- Partages et invitations
- Changements de permissions
- Export de rapports
Sécurité hors ligne
Vos données restent chiffrées et accessibles même sans connexion internet. La synchronisation reprend automatiquement dès que la connexion est rétablie.
- Chiffrement permanent : Les données restent chiffrées même hors ligne
- Authentification locale : Votre PIN déverrouille l'accès sans serveur
- File d'attente : Les modifications sont stockées et synchronisées à la reconnexion
- Résolution de conflits : Fusion automatique des modifications concurrentes