Cactus

Confidentialité

Ce que Cactus fait (et ne fait pas) avec les URL et le contenu de courriels que vous lui soumettez.

Ce que Cactus recueille

Cactus ne traite que ce que vous collez explicitement dans l'outil :

  • L'URL que vous soumettez sur la page Vérifier un lien.
  • Le corps du courriel que vous soumettez sur la page Vérifier un courriel, ainsi que chaque URL que Cactus en extrait.

Cactus ne demande pas de compte, n'utilise pas de témoins (cookies) de suivi et ne conserve aucun profil personnel de vous.

Comment ces données sont utilisées

  • Vérifications de règles locales. L'URL est analysée selon les règles propres à Cactus (HTTPS, domaines sosies, TLD suspects, formulation liée aux comptes sensibles, etc.). Cela se fait entièrement sur le serveur Cactus.
  • Consultation Google Web Risk. L'URL normalisée est envoyée à Google Web Risk pour être comparée à des listes de menaces connues. La politique de confidentialité de Google s'applique à cette requête. Pour un courriel, chaque URL extraite peut être envoyée séparément à Google Web Risk (jusqu'à 10 par courriel).
  • Résolution des redirections. Pour les URL qui ne sont pas déjà sur un domaine de confiance, Cactus effectue une petite requête HEAD vers l'URL (et suit les redirections, jusqu'à 5 sauts, avec un budget de 4 secondes) afin de vous montrer où le lien mène réellement. Cactus ne télécharge pas le contenu de la page. L'opérateur du site verra l'adresse IP du serveur Cactus dans cette requête. Cactus refuse de contacter les hôtes qui résolvent vers des IP privées, de bouclage ou autrement non publiques.
  • Consultation de l'enregistrement de domaine. Cactus interroge le proxy RDAP public rdap.org avec la forme enregistrable du domaine (par exemple example.com, et non l'URL complète) pour récupérer sa date d'enregistrement. Les domaines de moins de 90 jours sont signalés, car les enregistrements récents sont un indicateur fréquent d'hameçonnage. Les résultats sont mis en cache pendant 24 heures.
  • Mise en cache. Les résultats d'analyse pour une URL donnée sont mis en cache en mémoire sur le serveur pendant un maximum de 6 heures (avec une fenêtre glissante de 30 minutes), de sorte que les vérifications répétées de la même URL sont rapides et n'appellent pas à nouveau Google Web Risk. Le cache est local au processus et est vidé chaque fois que le serveur redémarre.
  • Limitation de débit. Cactus applique une limite par IP (10 vérifications d'URL / minute, 5 vérifications de courriel / minute). Cela nécessite de traiter temporairement votre adresse IP en mémoire ; elle n'est pas conservée.
  • Journaux serveur. Le serveur Web peut journaliser des métadonnées de requête standard (horodatage, chemin de requête, état HTTP, IP) à des fins opérationnelles et de prévention d'abus, comme pour n'importe quelle application Web.
  • Historique de vérification du navigateur. Cactus enregistre un résumé de vos vérifications récentes (texte saisi, score et lien permanent) dans le localStorage de votre navigateur. Ces données ne quittent jamais votre appareil — elles ne sont pas transmises au serveur Cactus ni à des tiers. Vous pouvez les effacer à tout moment via le bouton « Effacer l'historique » sur la page d'accueil ou via les paramètres de données du site dans votre navigateur.

Services tiers et données hors du Québec

Certaines vérifications nécessitent l'envoi de données limitées à des services tiers. Chaque fournisseur ne reçoit que ce qui est décrit ci-dessous, et certains sont situés hors du Québec et du Canada (notamment aux États-Unis), ce qui signifie que les données sont traitées selon les lois de ces territoires :

  • Google Web Risk (Google LLC, États-Unis). L'URL normalisée — ou chaque URL extraite d'un courriel — est envoyée à Google pour comparaison avec des listes de menaces connues. Google reçoit cette URL et ses propres conditions de confidentialité s'appliquent.
  • rdap.org (consultation d'enregistrement de domaine). Seul le domaine enregistrable (par exemple example.com) est envoyé pour récupérer sa date d'enregistrement publique — jamais l'URL complète ni le contenu d'un courriel.
  • Résolveurs DNS publics. Les vérifications d'authentification du courriel interrogent les enregistrements DNS publics du domaine (SPF, DMARC et sélecteurs DKIM courants). Il s'agit d'information publique que tout serveur de courriel peut lire.

Cactus ne vend ni ne loue de renseignements personnels et ne les communique à personne d'autre que les fournisseurs énumérés ci-dessus, uniquement aux fins décrites.

Durée de conservation des données

Cactus est conçu pour conserver le strict minimum :

  • Cache d'analyse : les résultats d'une URL soumise sont conservés en mémoire du serveur pendant un maximum de 6 heures (fenêtre glissante de 30 minutes) et effacés au redémarrage. Ils ne sont jamais écrits dans une base de données.
  • Cache d'âge de domaine : les résultats RDAP sont mis en cache en mémoire pendant un maximum de 24 heures.
  • Adresse IP : traitée temporairement en mémoire uniquement pour appliquer les limites de débit ; elle n'est pas enregistrée dans une base de données ni utilisée pour créer un profil.
  • Journaux serveur : des métadonnées de requête standard peuvent être conservées à court terme à des fins de sécurité et de prévention d'abus, puis supprimées par rotation.
  • Sur votre appareil : votre historique de vérification et votre préférence de thème résident dans le localStorage de votre navigateur jusqu'à ce que vous les effaciez — ils ne sont jamais transmis à Cactus.

Témoins et stockage local

Cactus n'utilise aucun témoin (cookie) publicitaire ni de suivi. Le seul témoin déposé est un témoin strictement nécessaire qui mémorise votre choix de langue (français ou anglais) lorsque vous utilisez le sélecteur de langue. Votre préférence de thème et votre historique de vérification sont conservés dans le localStorage de votre navigateur et restent sur votre appareil.

Analyse automatisée

Le score de confiance et le verdict sont produits automatiquement par des règles locales et des consultations de renseignement sur les menaces — il n'y a aucune révision humaine des vérifications individuelles. Le résultat n'est qu'une indication à titre informatif et ne prend pas, à lui seul, de décision produisant des effets juridiques ou comparables à votre égard. Chaque page de résultat énumère, en langage clair, les facteurs derrière le score afin que vous puissiez voir pourquoi il a été attribué.

Ce que Cactus ne fait pas

  • Il ne clique pas, n'affiche pas et ne télécharge pas le contenu des pages des URL soumises. La résolution des redirections utilise uniquement des requêtes HEAD.
  • Il ne transfère pas le contenu des courriels à des tiers, sauf à Google Web Risk pour les URL extraites.
  • Il ne vend pas, ne partage pas et n'utilise pas le contenu soumis à des fins publicitaires ou d'entraînement de modèles.

Vos droits en matière de vie privée

En vertu de la Loi 25 du Québec et de la LPRPDE du Canada, vous avez le droit d'accéder aux renseignements personnels qu'une organisation détient à votre sujet, d'en demander la rectification et de retirer votre consentement. Comme Cactus n'exige aucun compte et ne conserve pas de façon persistante les soumissions ni de profil, il n'existe dans la plupart des cas aucun renseignement personnel conservé vous concernant à consulter ou à corriger. Si vous croyez que Cactus détient des renseignements à votre sujet, communiquez avec la personne responsable (ci-dessous). Vous pouvez aussi porter plainte auprès de la Commission d'accès à l'information du Québec ou du Commissariat à la protection de la vie privée du Canada.

Mesures de sécurité et notification d'incident

Cactus applique des mesures de sécurité raisonnables : le trafic est servi en HTTPS, les soumissions ne sont pas conservées dans un stockage durable et les requêtes sortantes sont restreintes pour empêcher l'abus des réseaux internes. Aucun système n'est parfaitement sûr. En cas d'incident de confidentialité présentant un risque de préjudice sérieux, Cactus prendra des mesures raisonnables et donnera les avis exigés par la Loi 25.

Personne responsable et coordonnées

La personne responsable de la protection des renseignements personnels chez Cactus peut être jointe à info@cactus.net pour toute question de confidentialité, toute demande d'accès ou de rectification, ou pour retirer votre consentement.

Ce que vous ne devriez pas coller

Comme Cactus envoie des URL à Google Web Risk et peut journaliser des métadonnées de requête standard, évitez de coller :

  • Des liens de réinitialisation de mot de passe, des liens magiques ou d'autres liens de connexion à usage unique.
  • Des liens de partage de documents qui donnent accès via l'URL elle-même (Google Drive, SharePoint, Dropbox, etc.).
  • Des invitations de calendrier ou des liens de rencontre contenant des jetons intégrés.
  • Du contenu de courriel contenant des noms, des numéros de compte, des identifiants de billets ou tout texte sensible que vous ne voudriez pas voir journalisé.

Si vous voulez seulement vérifier qu'un domaine semble sûr, collez uniquement le domaine (par exemple example.com).

Limite importante

Cactus fournit des indications, pas une garantie. Un résultat propre ne prouve pas qu'un lien ou un courriel est sûr. Les nouveaux sites d'hameçonnage, les attaques ciblées et les domaines récemment créés peuvent ne pas encore figurer dans les flux de renseignement sur les menaces.

Dernière mise à jour : mai 2026.