E-mail privée
Les services de messagerie privée sont des fournisseurs d'e-mail hébergés qui privilégient la minimisation des données, un chiffrement fort et un hébergement hors de portée du CLOUD Act américain. Le critère clé pour les acheteurs européens est le pays de constitution de l'opérateur et l'application du chiffrement de bout en bout au repos. Les meilleures options sur EU Vetted : Mailbox.org (Allemagne, 5/5), Tuta (Allemagne, 5/5), Posteo (Allemagne, 5/5) et Proton Mail (Suisse, 5/5).
Les services de messagerie privée sont des fournisseurs d'e-mail hébergés qui se distinguent des fournisseurs grand public (Gmail, Outlook, Yahoo) par un chiffrement plus fort, une collecte de données minimale et un hébergement hors de portée des outils d'accès des forces de l'ordre américaines. La catégorie couvre les fournisseurs pour lesquels la confidentialité et la souveraineté des données sont des décisions de conception explicites : des services chiffrés de bout en bout (Tuta, Proton Mail) aux fournisseurs compatibles IMAP avec une forte posture RGPD (Mailbox.org, Posteo, Mailfence).
Pour les acheteurs européens, la question de l'exposition au CLOUD Act est particulièrement importante pour la messagerie, car le contenu des e-mails est très sensible : communications professionnelles, contrats, conversations personnelles et identifiants. Si le fournisseur est une société constituée aux États-Unis, les autorités américaines peuvent en pratique accéder au contenu des e-mails et aux métadonnées via des demandes CLOUD Act, quel que soit le lieu physique des serveurs. Gmail, Outlook et Yahoo sont des services américains auxquels cela s'applique. Les fournisseurs appartenant à l'UE comme Mailbox.org (Allemagne, 5/5), Tuta (Allemagne, 5/5), Posteo (Allemagne, 5/5) et Mailfence (Belgique, 4/5) ne sont pas soumis à cette exposition directe et relèvent du RGPD. Les fournisseurs suisses Proton Mail et Infomaniak Mail (tous deux 5/5) opèrent sous le droit suisse de la protection des données, reconnu adéquat par l'UE.
La deuxième dimension clé est l'architecture de chiffrement. Un fournisseur qui chiffre les e-mails uniquement en transit mais les stocke dans une forme accessible signifie qu'une injonction judiciaire, une menace interne ou une violation de données peut exposer le contenu des messages. Le chiffrement de bout en bout, tel qu'utilisé par Tuta et Proton Mail, chiffre les messages sur votre appareil avant qu'ils ne le quittent ; le fournisseur ne stocke que du texte chiffré. La limitation pratique est que l'E2EE s'applique pleinement uniquement lorsque les deux correspondants utilisent des fournisseurs E2EE compatibles ou échangent des clés PGP — les e-mails vers des adresses Gmail ne sont pas chiffrés de bout en bout.
-
Infomaniak Mail (kSuite)VERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Swiss email + groupware (Infomaniak Group SA, Geneva, since 1994), own Swiss DCs, ISO 27001 + B Corp 2025, free tier with @ik.me address.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Cette fiche Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
CH · 0 sub-procs Ouvrir ↗ -
Mailbox.orgVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Berlin-based private email + drive + meet + office bundle (Heinlein Support GmbH); ISO 27001 + BSI C5, €1/mo entry.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
DE · 0 sub-procs Ouvrir ↗ -
PosteoVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Berlin one-person-shop privacy email at €1/mo (Posteo e.K., since 2009); anonymous signup, BSI TR-03108 certified.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
DE · 0 sub-procs Ouvrir ↗ -
Proton MailVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Swiss end-to-end encrypted email by Proton AG (Geneva); 100M+ users, Foundation-controlled since June 2024.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Cette fiche Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
CH · 0 sub-procs Ouvrir ↗ -
MailfenceVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Belgian secure email + calendar + docs (ContactOffice, est. 1999); browser-side PGP, donates 15% to EFF + EDRi.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
BE · 0 sub-procs Ouvrir ↗ -
TutaVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Hannover-based end-to-end encrypted mail (formerly Tutanota); post-quantum crypto, own DE data centre, ISO 27001.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
DE · 0 sub-procs Ouvrir ↗ -
Kolab NowVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Swiss open-source Kolab groupware SaaS (Apheleia IT AG, Bern; Kolab Systems since 2010, Kolab Now since 2013), board incl. FSF Europe founder Georg Greve.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Cette fiche Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
CH · 0 sub-procs Ouvrir ↗ -
MailoVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
French family-owned email since 1998 (Mail Object; founders Voyat & Lenoir, reacquired from Lagardère 2007), French-hosted, Free tier €0 + Premium from €1/mo.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
FR · 0 sub-procs Ouvrir ↗ -
RunboxVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Norwegian private email since 1999 (Runbox Solutions AS), own NO data centre, 100% renewable hydro, PGP + 2FA + PFS, double carbon-negative.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Cette fiche Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
NO · 0 sub-procs Ouvrir ↗ -
SoverinVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Independent Dutch paid email (from €3.25/mo); ISO 27001 + NIS2 Ready, all data in Netherlands, full IMAP/SMTP/CalDAV/CardDAV compatibility.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Cette fiche Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
NL · 0 sub-procs Ouvrir ↗ -
StartMailVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Dutch private email (StartMail B.V., est. ~2014, by Startpage founders), NL-hosted, one-click PGP, unlimited aliases, USD-priced from $4.99/mo annual.
PROPRIéTéOù se situe le contrôle ultime de la société exploitante.
-
Propriété UE Cette fiche Établie et contrôlée dans l'UE ; pas de participation américaine notable.
-
Siège UE, financement US Siège dans l'UE mais contrôlée par des capitaux américains (VC/PE).
-
Propriété US Siège aux États-Unis, ou avec société mère américaine.
-
Autre Suisse, Royaume-Uni ou autre juridiction hors UE.
EXPOSITION AU CLOUD ACTLe degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
-
Aucune Opérateur UE, sans société mère ni sous-traitant américain notable.
-
Mineure Cette fiche Un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE.
-
Significative Société mère américaine, ou un sous-traitant central est un hyperscaler américain.
-
Directe L'opérateur lui-même est établi aux États-Unis.
NL · 0 sub-procs Ouvrir ↗
| Compare | Owner | CLOUD Act | Cert. | Sub-procs | ||||
|---|---|---|---|---|---|---|---|---|
|
Infomaniak Mail (kSuite)
Swiss email + groupware (Infomaniak Group SA, Geneva, since 1994), own Swiss DCs, ISO 27001 + B Corp 2025, free tier with @ik.me address.
|
GENEVA · CH
Switzerland
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
ISO/IEC 27001
ISO9001
+2 more
|
0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Mailbox.org
Berlin-based private email + drive + meet + office bundle (Heinlein Support GmbH); ISO 27001 + BSI C5, €1/mo entry.
|
BERLIN · DE
Germany
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
ISO/IEC 27001
C5
|
0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Posteo
Berlin one-person-shop privacy email at €1/mo (Posteo e.K., since 2009); anonymous signup, BSI TR-03108 certified.
|
BERLIN · DE
Germany
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Proton Mail
Swiss end-to-end encrypted email by Proton AG (Geneva); 100M+ users, Foundation-controlled since June 2024.
|
GENEVA · CH
Switzerland
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
ISO/IEC 27001
|
0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Mailfence
Belgian secure email + calendar + docs (ContactOffice, est. 1999); browser-side PGP, donates 15% to EFF + EDRi.
|
BRUSSELS · BE
Belgium
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Tuta
Hannover-based end-to-end encrypted mail (formerly Tutanota); post-quantum crypto, own DE data centre, ISO 27001.
|
HANNOVER · DE
Germany
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
ISO/IEC 27001
|
0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Kolab Now
Swiss open-source Kolab groupware SaaS (Apheleia IT AG, Bern; Kolab Systems since 2010, Kolab Now since 2013), board incl. FSF Europe founder Georg Greve.
|
CH
Switzerland
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Mailo
French family-owned email since 1998 (Mail Object; founders Voyat & Lenoir, reacquired from Lagardère 2007), French-hosted, Free tier €0 + Premium from €1/mo.
|
FR
France
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Runbox
Norwegian private email since 1999 (Runbox Solutions AS), own NO data centre, 100% renewable hydro, PGP + 2FA + PFS, double carbon-negative.
|
NO
Norway
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
Soverin
Independent Dutch paid email (from €3.25/mo); ISO 27001 + NIS2 Ready, all data in Netherlands, full IMAP/SMTP/CalDAV/CardDAV compatibility.
|
NL
Netherlands
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
ISO/IEC 27001
|
0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ | |
|
StartMail
Dutch private email (StartMail B.V., est. ~2014, by Startpage founders), NL-hosted, one-click PGP, unlimited aliases, USD-priced from $4.99/mo annual.
|
NL
Netherlands
|
PROPRIéTé
Où se situe le contrôle ultime de la société exploitante.
|
EXPOSITION AU CLOUD ACT
Le degré d'exposition des données clients aux autorités américaines au titre du CLOUD Act.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Ouvrir ↗ |