Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Keybase est une plateforme de messagerie chiffrée de bout en bout, partage de fichiers et vérification d'identité, rachetée par Zoom en 2020. Elle propose chat (1:1 et groupe), stockage fichiers chiffré (KBFS), dépôts git chiffrés et un système cryptographique liant un compte à des comptes de réseaux sociaux. Le contenu des messages est chiffré de bout en bout, mais Keybase traite des métadonnées (expéditeur, destinataire, timestamps, IP, identifiants d'appareil) sur une infrastructure US, ce qui en fait un sujet d'évaluation des transferts RGPD.
Keybase a démarré en 2014 comme annuaire public liant clés PGP et identités sociales vérifiées (Twitter, GitHub, sites web). Le service a évolué en plateforme complète de communications chiffrées E2E avec chat, équipes, stockage fichiers chiffré (KBFS), dépôts git chiffrés et intégration portefeuille Stellar. En 2020, Keybase a été racheté par Zoom Video Communications pour renforcer les capacités E2E de Zoom. Le développement actif a ralenti depuis, mais le service reste opérationnel et les clients open source sont toujours maintenus.
Même avec E2E, Keybase traite des métadonnées conséquentes : username, email optionnel, clés PGP publiques, preuves d''identité sur réseaux sociaux, réseau d''amis et équipes, identifiants d''appareil (un par installation), IP par session, timestamps des messages, tailles de fichiers et compteurs de chat. Les charges chiffrées sont stockées sur les serveurs Keybase mais ne peuvent pas être déchiffrées par Zoom. Le client web keybase.io dépose des cookies de session et CSRF à la connexion.
Keybase traite des données personnelles de résidents UE (username, email, IP, graphe social) et relève donc du RGPD. Zoom étant établi aux États-Unis, les transferts vers les serveurs Zoom aux États-Unis doivent être encadrés par les CCT et le Data Privacy Framework UE, États-Unis. Les métadonnées sont en soi à faible risque, mais elles révèlent schémas de communication et liens d''identité potentiellement sensibles dans certains contextes (journalisme, activisme, professions réglementées).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour un particulier s''inscrivant à Keybase, la base est l''exécution du contrat (art. 6(1)(b) RGPD) puisque le service est demandé par la personne concernée. Pour une organisation déployant Keybase à ses salariés, exécution du contrat et intérêt légitime à des communications sécurisées sont les bases typiques, avec obligation d''information. Pour les cookies du client web, l''ePrivacy s''applique et un consentement est requis pour les cookies non strictement nécessaires.
Depuis 2020, Keybase est exploité par Zoom (US) avec infrastructure AWS aux États-Unis. Cela place Keybase clairement dans la catégorie des transferts vers les États-Unis. Les CCT s''appliquent, Zoom est certifié au Data Privacy Framework UE, États-Unis et le chiffrement E2E robuste du contenu des messages offre une mesure supplémentaire substantielle. Menez une AIT en cas d''usage sensible.
Pour un usage organisationnel, signez le DPA Zoom (qui couvre Keybase), documentez Keybase dans votre registre, menez une AIT pour les transferts US, informez les utilisateurs (salariés ou membres), préférez des noms d''appareils non identifiants, évitez d''utiliser les preuves d''identité Keybase pour lier comptes personnels et identités professionnelles et envisagez une migration vers des alternatives activement développées pour avoir une feuille de route long terme.
Les sites web utilisant Keybase doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Keybase traite username, email, clés PGP publiques, preuves d'identité sur les réseaux sociaux, réseau d'amis, appartenances aux équipes, identifiants d'appareil (un par installation), IP par session et métadonnées de chat (timestamps, nombre de messages, tailles de fichier), même si le contenu est chiffré de bout en bout. Points clés AIPD : (1) depuis 2020, Keybase appartient à Zoom (US) et hérite de la posture de transfert US ; (2) les métadonnées peuvent révéler graphes sociaux et schémas de communication même sans accès au contenu ; (3) les preuves d'identité publiques relient comptes et handles sociaux, donc indexables ; (4) la suppression de compte ne supprime pas toujours immédiatement toutes les métadonnées serveur ; (5) Keybase n'est plus activement développé et son avenir long terme est incertain.
Exemple de texte de consentement
Nous utilisons Keybase pour des communications chiffrées de bout en bout. Le contenu des messages est chiffré côté client, mais Keybase (propriété de Zoom Video Communications, États-Unis) traite des métadonnées telles que votre nom d'utilisateur, votre IP et votre graphe de contacts aux États-Unis au titre des CCT et du Data Privacy Framework. Vous pouvez révoquer cet accès à tout moment en supprimant votre compte Keybase.
Domaines tiers contactes
keybase.ioapi.keybase.iokeybaseusercontent.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| session | Strictly Necessary | Session | Web client session cookie used to maintain authenticated state on keybase.io. |
| csrf | Strictly Necessary | Session | Cross site request forgery protection token for the keybase.io web interface. |
Keybase est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
Keybase est principalement un client desktop et mobile. La version web keybase.io dépose des cookies de session et CSRF sur le domaine keybase.io uniquement pour les utilisateurs authentifiés, pas pour les visiteurs anonymes consultant des profils publics. Il n'y a pas de widget de tracking tiers pour les sites clients.
Pour un particulier, le consentement n'est pas la base ; la base est l'exécution du contrat. Pour une organisation déployant Keybase à ses salariés, contrat ou intérêt légitime s'appliquent et les salariés doivent être informés. Le consentement cookies s'applique au client web keybase.io.
Exécution du contrat (art. 6(1)(b) RGPD) pour la messagerie, et intérêt légitime (art. 6(1)(f)) pour la télémétrie sécurité. Les communications marketing de Zoom à propos de Keybase nécessiteraient un consentement (art. 6(1)(a)).
Oui. Depuis le rachat par Zoom en 2020, toute l'infrastructure est opérée par Zoom sur AWS aux États-Unis. Les transferts s'appuient sur les CCT et le Data Privacy Framework UE, États-Unis pour lequel Zoom est certifié.
Une AIPD est recommandée dès qu'une organisation déploie Keybase, en particulier pour des usages sensibles (journalisme, santé, droit, secteurs régulés). Le chiffrement E2E est une mesure supplémentaire forte, mais le transfert de métadonnées vers les États-Unis justifie une évaluation documentée au titre de l'art. 35 RGPD.
En usage organisationnel, signez le DPA Zoom, documentez Keybase dans votre registre, menez une AIT, informez les utilisateurs via la notice interne, préférez des noms d'appareils non identifiants et envisagez des alternatives E2E basées dans l'UE pour une résidence UE complète.
Element (protocole Matrix, auto-hébergeable en UE), Threema (Suisse), Signal (association US), Wire (Suisse et Allemagne), Olvid (France) et Tutanota (Allemagne) sont des alternatives E2E. Pour une résidence UE complète et une roadmap certaine, Element avec hébergement UE ou Wire sont les comparables les plus proches.
Indiquez que Keybase (Zoom Video Communications Inc., États-Unis) est le sous-traitant pour les communications et l'identité, listez les catégories de métadonnées traitées (username, email, IP, graphe de contacts, identifiants d'appareil, métadonnées de message) et précisez que le contenu est chiffré E2E, la base légale, la rétention, l'hébergement US et le mécanisme de transfert (CCT, Data Privacy Framework).