Gestionnaires de mots de passe
Les gestionnaires de mots de passe stockent et chiffrent vos identifiants afin qu'un seul mot de passe maître solide suffise. Pour les acheteurs européens, le critère clé est le lieu d'hébergement du coffre chiffré et la soumission de l'opérateur au CLOUD Act américain. Parmi les meilleures options européennes sur EU Vetted : Passbolt (Luxembourg, 5/5), Psono (Allemagne, 5/5) et Proton Pass (Suisse, 5/5).
Les gestionnaires de mots de passe sont des outils qui génèrent, stockent et saisissent automatiquement des identifiants forts et uniques pour chaque compte. Plutôt que de mémoriser des dizaines de mots de passe ou d'en réutiliser de faibles, un seul mot de passe maître sécurise un coffre chiffré local ou synchronisé dans le cloud. La catégorie comprend les outils purement locaux (KeePassXC), les gestionnaires individuels synchronisés dans le cloud (Proton Pass, pCloud Pass) et les plateformes pour équipes ou entreprises (Passbolt, Psono, Uniqkey).
Pour les acheteurs européens, la juridiction d'hébergement et la structure de propriété ont une importance particulière : un gestionnaire de mots de passe gère les identifiants de tous les systèmes qu'une organisation utilise. Si l'opérateur est une société constituée aux États-Unis, le groupe consolidé — y compris toute filiale européenne — relève du CLOUD Act américain, qui peut contraindre une entreprise à produire les données qu'elle contrôle, quel que soit le lieu de stockage. Les opérateurs appartenant à l'UE tels que Passbolt (Luxembourg, 5/5), Psono (Allemagne, 5/5) et Uniqkey (Danemark, 4/5) ne sont pas soumis à cette exposition directe. Les opérateurs suisses comme Proton Pass (5/5) relèvent du droit suisse de la protection des données, qui offre des garanties comparables ou supérieures en pratique.
Les fiches ci-dessous indiquent pour chaque produit le pays d'incorporation, le signal de propriété (appartenant à l'UE, suisse ou autre), la région d'hébergement et le score de conformité éditorial d'EU Vetted sur une échelle de 1 à 5 — fondé sur les DPA et listes de sous-traitants publiés par chaque fournisseur, jamais sur des placements payants. Utilisez les filtres pour affiner par signal de propriété si votre exigence est strictement EU, ou par score de conformité pour présélectionner les options les mieux notées quelle que soit leur origine.
-
KeePassXCVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
GPLv3 fully-offline desktop password manager (KeePassXC Team, Weimar DE, est. 2016) — no cloud, no servers, no telemetry; structurally zero CLOUD Act exposure.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
0 sub-procs Ouvrir ↗ -
PassboltVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Luxembourg-incorporated AGPLv3 open-source team password manager (Passbolt SA), SOC 2 Type II, self-hostable, used by LU/FR government.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
LU · 0 sub-procs Ouvrir ↗ -
Proton PassVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Swiss zero-knowledge password manager (Proton AG / Proton Foundation), open-source apps + extensions, Cure53-audited, free unlimited tier.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Cette fiche Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
CH · 0 sub-procs Ouvrir ↗ -
PsonoVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
German Apache-2.0 open-source team password manager (esaqa GmbH), self-hostable on EU infrastructure, Cure53-audited 2026, free up to 10 users.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
DE · 0 sub-procs Ouvrir ↗ -
VaultwardenVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
AGPLv3 Rust Bitwarden-compatible server by Daniel García (Spain), self-host-only, no company, no telemetry — clean 5/5 when run on EU infrastructure.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
0 sub-procs Ouvrir ↗ -
UniqkeyVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Danish business password & access manager (Uniqkey A/S, Copenhagen), Danish-hosted, zero-knowledge E2E, ISO 27001, EIFO-backed, NIS2-focused.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
DK · 0 sub-procs Ouvrir ↗ -
NordPassVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Lithuanian password manager by Nord Security, zero-knowledge XChaCha20, ISO 27001 + SOC 2 — but hosted on AWS (US): material CLOUD Act exposure.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Cette fiche Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
0 sub-procs Ouvrir ↗ -
PadlocVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
German AGPLv3 open-source password manager (MaKleSoft, Bavaria), audited 3×, self-hostable — but hosted cloud uses Stripe + defunct Privacy Shield ref.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Cette fiche Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
0 sub-procs Ouvrir ↗ -
pCloud PassVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Swiss zero-knowledge password manager (pCloud AG, Baar), client-side AES-256, free single-device tier, Luxembourg or US data residency.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Cette fiche Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Cette fiche Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
LU · 0 sub-procs Ouvrir ↗
| Compare | Owner | CLOUD Act | Cert. | Sub-procs | ||||
|---|---|---|---|---|---|---|---|---|
|
KeePassXC
GPLv3 fully-offline desktop password manager (KeePassXC Team, Weimar DE, est. 2016) — no cloud, no servers, no telemetry; structurally zero CLOUD Act exposure.
|
—
Germany
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Passbolt
Luxembourg-incorporated AGPLv3 open-source team password manager (Passbolt SA), SOC 2 Type II, self-hostable, used by LU/FR government.
|
BELVAUX · LU
Luxembourg
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
SOC 2
|
0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Proton Pass
Swiss zero-knowledge password manager (Proton AG / Proton Foundation), open-source apps + extensions, Cure53-audited, free unlimited tier.
|
GENEVA · CH
Switzerland
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Psono
German Apache-2.0 open-source team password manager (esaqa GmbH), self-hostable on EU infrastructure, Cure53-audited 2026, free up to 10 users.
|
DE
Germany
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Vaultwarden
AGPLv3 Rust Bitwarden-compatible server by Daniel García (Spain), self-host-only, no company, no telemetry — clean 5/5 when run on EU infrastructure.
|
—
Spain
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Uniqkey
Danish business password & access manager (Uniqkey A/S, Copenhagen), Danish-hosted, zero-knowledge E2E, ISO 27001, EIFO-backed, NIS2-focused.
|
DK
Denmark
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
ISO/IEC 27001
|
0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
NordPass
Lithuanian password manager by Nord Security, zero-knowledge XChaCha20, ISO 27001 + SOC 2 — but hosted on AWS (US): material CLOUD Act exposure.
|
—
Lithuania
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
ISO/IEC 27001
SOC 2
|
0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Padloc
German AGPLv3 open-source password manager (MaKleSoft, Bavaria), audited 3×, self-hostable — but hosted cloud uses Stripe + defunct Privacy Shield ref.
|
—
Germany
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
pCloud Pass
Swiss zero-knowledge password manager (pCloud AG, Baar), client-side AES-256, free single-device tier, Luxembourg or US data residency.
|
LU
Switzerland
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ |