Table des matières
- Pourquoi la confidentialité email est plus complexe qu'elle n'y paraît
- La réalité de l'auto-hébergement
- ProtonMail en profondeur
- Fastmail en profondeur
- Matrice comparative : 10 critères
- Calculateur TCO réel pour l'auto-hébergement
- Recommandations par profil
Pourquoi la confidentialité email est plus complexe qu'elle n'y paraît
L'email est un protocole vieux de 40 ans, conçu à une époque où les nœuds réseau se faisaient confiance par défaut. SMTP, la couche transport, a été défini dans le RFC 821 en 1982. IMAP est apparu en 1986. Aucun des deux n'a été conçu pour la confidentialité — tous deux ont été conçus pour la livraison.
Les conséquences pratiques se font encore sentir en 2026. Un email en transit passe par au minimum deux serveurs SMTP (le relais sortant de l'expéditeur, le MX entrant du destinataire) et souvent trois à cinq (relais intermédiaires, passerelles antispam, appliances d'archivage). À chaque saut, le message complet — en-têtes, corps, pièces jointes — est accessible à l'opérateur du serveur, à moins que le chiffrement TLS ne protège le saut et que le chiffrement zéro-connaissance ne protège le contenu.
Les en-têtes ne sont pas protégés par S/MIME ni PGP. Les métadonnées — expéditeur, destinataire, objet, horodatages, adresses IP enregistrées par les serveurs mail — voyagent en clair dans l'enveloppe SMTP même quand le corps du message est chiffré. Une agence gouvernementale avec accès légal à un seul relais peut reconstruire des graphes de communication sans jamais lire le contenu.
Les pièces jointes amplifient l'exposition. Un PDF de 10 Mo joint à un message non chiffré réside sur le serveur IMAP du destinataire indéfiniment en clair. La plupart des systèmes email d'entreprise n'expirent jamais les pièces jointes. Les conservations légales préservent routinièrement les pièces jointes email pendant 7 à 10 ans.
L'accès gouvernemental forcé est devenu la référence opérationnelle pour la modélisation des menaces. Le US CLOUD Act (2018) permet aux autorités américaines de contraindre les entreprises américaines à produire des données stockées n'importe où dans le monde. L'Assistance and Access Act australien (2018) peut contraindre les fournisseurs à construire des mécanismes d'accès. La juridiction n'est pas une note de bas de page — c'est une variable technique primaire.
Les trois options couvertes dans cet article — auto-hébergement, ProtonMail, et Fastmail — adressent ces menaces de manières fondamentalement différentes.
La réalité de l'auto-hébergement
Auto-héberger l'email signifie que vous opérez les serveurs SMTP et IMAP. La pile la plus courante en 2026 est Mailcow (orchestration Docker Compose de Postfix, Dovecot, Rspamd, ClamAV, SOGo, Nginx) ou Mailu, une alternative plus légère. Les deux sont des projets open source maintenus avec des communautés actives.
La configuration est documentée. La maintenance, non.
La réputation IP est le coût récurrent le plus élevé. Les adresses IP fraîches de Hetzner, Vultr ou OVH démarrent avec une réputation neutre. En quelques semaines d'envoi, la réputation se construit ou se détruit par les métriques de livraison. Un taux de plainte spam au-dessus de 0,1% suffit à ce que Gmail limite votre courrier sortant. Outlook/Hotmail utilise des listes de blocage IP qui nécessitent des demandes de délistage manuel avec un délai de 48 à 96 heures. En 2024, Google et Yahoo ont imposé l'application de DMARC pour les expéditeurs en masse.
La pile d'enregistrements DNS que vous devez configurer et maintenir :
| Enregistrement | Rôle | TTL recommandé |
|---|---|---|
| MX | Dirige le courrier entrant vers votre serveur | 3600 |
| SPF (TXT) | Autorise les IP d'envoi | 3600 |
| DKIM (TXT, clé 2048 bits) | Authentification cryptographique de l'expéditeur | 3600 |
| DMARC (TXT) | Politique pour les échecs SPF/DKIM | 86400 |
| BIMI (TXT, optionnel) | Indicateur de marque dans la boîte de réception | 86400 |
| PTR (DNS inverse) | IP → hostname, configuré chez le fournisseur VPS | variable |
Coût en temps : estimation honnête. D'après les données communautaires de r/selfhosted et plusieurs forums sysadmin interrogés au T1 2026 :
- Configuration initiale (Mailcow sur VPS vierge) : 8 à 12 heures pour un utilisateur Linux expérimenté, 20 à 30 heures pour un débutant
- Maintenance mensuelle (mises à jour, ajustement des règles spam, surveillance de la file, renouvellement de certificats, vérifications de listes de blocage) : 3 à 7 heures pour un serveur calme, 8 à 15 heures lors d'incidents de délivrabilité
- Rotation annuelle des clés et audit de sécurité : 4 à 6 heures
Coût total annuel en temps : 55 à 100 heures/an pour un déploiement personnel mono-domaine.
Ce que vous gagnez : souveraineté complète des données, aucune dépendance fournisseur, limites de stockage arbitraires, filtres spam personnalisés, et la possibilité d'héberger des services supplémentaires (listes de diffusion, mail transactionnel) sans frais par message.
Ce que vous risquez : échecs de délivrabilité quand la réputation IP se dégrade, perte de données si les procédures de sauvegarde échouent, et responsabilité si le serveur est compromis et utilisé pour relayer du spam.
ProtonMail en profondeur
ProtonMail a été fondé en 2013 par des chercheurs du CERN et du MIT. Proton AG est incorporée à Genève, Suisse. Les serveurs opèrent sous la loi fédérale suisse, notamment la Loi fédérale sur la protection des données (LPD révisée, en vigueur depuis septembre 2023) et les dispositions du code pénal qui exigent une ordonnance judiciaire suisse formelle avant toute divulgation de données.
Modèle de chiffrement. ProtonMail utilise le chiffrement asymétrique OpenPGP pour les messages entre utilisateurs ProtonMail. Chaque compte dispose d'une paire de clés primaire générée côté client ; la clé privée est chiffrée avec le mot de passe du compte et stockée côté serveur sous forme chiffrée. Proton ne peut pas la déchiffrer sans le mot de passe. Pour les messages vers des destinataires externes (adresses non-Proton), ProtonMail envoie du SMTP standard — le chiffrement de bout en bout ne s'applique qu'au sein de l'écosystème Proton, sauf à utiliser la fonction optionnelle de message protégé par mot de passe.
Le chiffrement zéro-accès s'applique à tout le stockage de boîte de réception : même les messages externes transmis sont re-chiffrés avec votre clé publique à l'arrivée. Proton ne peut pas lire les messages stockés même sous contrainte légale.
Limites du modèle. L'incident de journalisation d'IP de 2022 (Proton a divulgué l'IP d'un militant français à des autorités suisses sous ordonnance suisse valide) a démontré que les métadonnées — adresses IP, horodatages de connexion — ne bénéficient pas des mêmes protections zéro-accès que le contenu des messages. Proton a depuis introduit une option stricte sans journalisation et recommande le routage VPN/Tor pour les utilisateurs à haut risque.
Le bridge IMAP permet l'utilisation avec n'importe quel client mail standard (Thunderbird, Apple Mail, Outlook). Le bridge fonctionne comme un processus de fond local, déchiffre les messages depuis les serveurs Proton, et les réexpose via IMAP/SMTP localhost. Disponible sur Mail Plus, Proton Unlimited et Business — pas sur le niveau gratuit.
Tarifs 2026 :
| Plan | Mensuel (facturation annuelle) | Stockage | Domaines perso | Utilisateurs |
|---|---|---|---|---|
| Gratuit | €0 | 1 Go | — | 1 |
| Mail Plus | €3,99/mois | 15 Go | 1 | 1 |
| Proton Unlimited | €9,99/mois | 500 Go | 3 | 1 |
| Duo | €14,99/mois | 1 To | 10 | 2 |
| Famille | €23,99/mois | 3 To | 10 | 6 |
| Business (par utilisateur) | €6,99/mois | 15 Go+ | sur mesure | ≥1 |
Délivrabilité. Proton opère des pools d'IP dédiés avec réputation maintenue. La délivrabilité sortante vers Gmail, Outlook, Yahoo et Apple Mail est constamment au-dessus de 98% dans le monitoring PrivSec Lab (T4 2025–T2 2026).
Fastmail en profondeur
Fastmail est une entreprise australienne (Fastmail Pty Ltd, Melbourne), fondée en 1999 — l'un des fournisseurs email indépendants survivants les plus anciens. Elle n'a jamais été rachetée par une entreprise publicitaire.
Modèle de confidentialité. Fastmail ne vend pas de données et ne diffuse pas de publicité. La confidentialité est contractuelle et basée sur la confiance, pas sur la cryptographie. Les données au repos sont chiffrées au niveau de la couche de stockage, mais Fastmail détient les clés. Sous la loi australienne (Assistance and Access Act 2018), Fastmail pourrait être contraint de produire du contenu en clair ou de construire des capacités d'interception. Ils publient un rapport de transparence qui reconnaît cette réalité légale.
JMAP. Fastmail a co-développé et fait fonctionner JMAP (JSON Meta Application Protocol, RFC 8620), le remplacement moderne d'IMAP. JMAP est stateful, supporte les notifications push, regroupe les opérations efficacement et réduit typiquement la latence de synchronisation de 40 à 60% par rapport à IMAP pour les clients mobiles.
La recherche est un différenciateur significatif. La recherche plein texte sur Fastmail retourne des résultats en moins de 300 ms pour les boîtes de moins de 50 Go. La recherche de ProtonMail nécessite un déchiffrement côté client et est limitée aux métadonnées à moins d'activer l'indexation de recherche chiffrée — fonctionnel mais plus lent, particulièrement sur mobile.
Tarifs 2026 :
| Plan | Mensuel (facturation annuelle) | Stockage | Domaines perso |
|---|---|---|---|
| Basic | $3/mois | 2 Go | 1 |
| Standard | $5/mois | 30 Go | 3 |
| Professional | $9/mois | 100 Go | illimité |
| Teams (par utilisateur) | $5/mois | 30 Go | partagé |
Aux taux de change actuels EUR/USD (~1,08), Standard représente environ €4,63/mois — légèrement moins cher que ProtonMail Mail Plus pour plus de stockage.
Délivrabilité. La réputation IP de Fastmail est constamment solide. Le monitoring PrivSec Lab montre des taux de livraison sortants de 98,5 à 99,2% vers les principaux fournisseurs. La configuration SPF/DKIM/DMARC pour domaine personnalisé est gérée via leur panneau de contrôle avec des assistants guidés.
Matrice comparative : 10 critères
| Critère | Auto-hébergé (Mailcow) | ProtonMail | Fastmail |
|---|---|---|---|
| Chiffrement de bout en bout | Manuel (PGP optionnel) | Oui (Proton à Proton) | Non |
| Stockage zéro-accès | Oui (vous détenez les clés) | Oui | Non |
| Juridiction | Localisation de votre VPS | Suisse | Australie |
| Support IMAP | Natif | Via Bridge (payant) | Natif |
| Support JMAP | Non (roadmap Dovecot) | Non | Oui |
| Domaine personnalisé | Oui | Dès le plan €3,99/mois | Dès le plan $3/mois |
| Qualité app mobile | Clients tiers | Bonne (app native) | Excellente |
| Calendrier / contacts | SOGo (CalDAV/CardDAV) | ProtonCalendar | Oui (CalDAV/CardDAV) |
| Latence de recherche | Rapide (côté serveur) | Lente (déchiffrement client) | Très rapide (côté serveur) |
| Prix annuel (1 utilisateur) | €144–216 (VPS seul) | €48–120 | $36–108 |
| Délivrabilité (est.) | 85–96% (selon IP) | 98%+ | 98,5%+ |
| Anti-spam | Rspamd (configurable) | Géré par Proton | Excellent, règles Sieve |
| Coût temps/an | 55–100 heures | ~0 | ~0 |
Calculateur TCO réel pour l'auto-hébergement
Le calcul de coût de l'auto-hébergement que la plupart des billets de blog omettent est le coût d'opportunité du temps. Voici la décomposition complète pour un déploiement personnel mono-domaine typique sur infrastructure Hetzner en 2026.
Coûts directs (EUR/an) :
| Composant | Coût annuel |
|---|---|
| VPS Hetzner CX21 (2 vCPU, 4 Go RAM, 40 Go SSD) | €89,76 |
| Enregistrement de domaine (.com, Porkbun) | €10,00 |
| Stockage de sauvegarde déporté (Backblaze B2, ~10 Go) | €14,40 |
| Certificat SSL | €0 (Let's Encrypt) |
| Monitoring (UptimeRobot niveau gratuit) | €0 |
| Total direct | €114,16/an |
Coûts indirects (au coût d'opportunité de €40/heure) :
| Activité | Heures/an | Coût |
|---|---|---|
| Configuration initiale (amorti sur 3 ans) | 4–10 h | €160–400 |
| Maintenance mensuelle × 12 | 36–84 h | €1 440–3 360 |
| Gestion des incidents (listes de blocage, délivrabilité) | 5–15 h | €200–600 |
| Audit de sécurité annuel | 4–6 h | €160–240 |
| Total indirect | 49–115 h | €1 960–4 600 |
TCO annuel total : €2 074–4 714
À ces chiffres, l'auto-hébergement n'est économiquement justifié que si :
- Vous appréciez le travail de sysadmin et le feriez de toute façon (coût temps = hobby, pas coût)
- Vous avez des exigences de conformité qui interdisent les processeurs de données tiers
- Vous opérez à une échelle où la tarification par utilisateur devient significative (typiquement 100+ utilisateurs)
Pour un individu ou une petite équipe soucieux de la confidentialité, ProtonMail Unlimited (€119,88/an) ou Fastmail Professional ($108/an ≈ €100) est le choix rationnel.
Recommandations par profil
Paranoïaque — confidentialité maximale, aucun compromis de commodité
Utilisez Mailcow auto-hébergé sur un VPS dans une juridiction de confiance, derrière un VPN WireGuard ou un service caché Tor. Générez une paire de clés PGP RSA 4096 bits ou Curve25519. Exigez de tous vos correspondants qu'ils utilisent PGP ou communiquent via Signal. Acceptez que votre adresse email soit globalement inutilisable pour recevoir des messages de contacts non techniques et de services commerciaux.
Ce profil convient aux journalistes travaillant avec des sources confidentielles, aux militants dans des juridictions à haute surveillance, ou aux chercheurs en sécurité. Il ne convient pas à quiconque valorise la délivrabilité ou la commodité.
Pragmatique de la confidentialité — protection solide, utilisabilité réelle
Utilisez ProtonMail (Mail Plus au minimum, Unlimited si vous voulez la suite complète). La juridiction suisse, le stockage zéro-accès et le chiffrement E2E entre utilisateurs Proton couvrent le modèle de menace réaliste pour la plupart des individus soucieux de leur vie privée. Associez à ProtonVPN pour protéger les métadonnées IP. Utilisez le bridge IMAP si vous préférez un client desktop.
Coût : €3,99–9,99/mois. Coût en temps : quasi-nul.
Productivité avant tout avec une base solide de confidentialité
Utilisez Fastmail Professional ou Fastmail for Teams. Vous bénéficiez d'une excellente délivrabilité, de la rapidité JMAP, de l'intégration CalDAV/CardDAV, du filtrage côté serveur Sieve, et d'un historique de 20+ ans de non-revente des données utilisateur. L'absence de chiffrement E2E est une vraie limitation, mais le risque de juridiction australienne est théorique pour la plupart des utilisateurs.
Coût : $5–9/mois. Coût en temps : quasi-nul.
Minimaliste — l'email est un mal nécessaire
Utilisez un fournisseur d'alias email privé (SimpleLogin, addy.io, ou les alias Proton) pour transférer vers une adresse jetable. Acceptez que vous n'ayez essentiellement aucune confidentialité email pour le courrier entrant de correspondants inconnus, et utilisez Signal/Matrix pour tout ce qui est sensible.
Coût : €0–3/mois. Complexité : faible.
Pour une vue d'ensemble de la façon dont l'email s'inscrit dans une pile complète d'outils de confidentialité, consultez notre rapport pilier État de la confidentialité des navigateurs 2026. Pour les configurations de verrouillage au niveau de l'appareil, référez-vous à notre analyse JSC du mode Isolement iOS.
