Comment ça marche
Mailfence fonctionne comme une suite webmail et bureautique hébergée par l'opérateur belge ContactOffice Group SA. À l'inscription, l'utilisateur choisit une adresse @mailfence.com, un mot de passe et fournit un e-mail de récupération externe ; aucun numéro de téléphone ni pièce d'identité n'est demandé. Les serveurs se trouvent en Belgique, sous l'égide de la loi belge sur la vie privée et du RGPD. Au-delà de la boîte de réception, le même compte expose un agenda, un gestionnaire de contacts et un coffre-fort documentaire de 500 Mo, plus les protocoles POP3S, IMAP et SMTP pour les clients de bureau et ActiveSync pour la synchronisation mobile. OpenPGP est intégré au trousseau du webmail, avec la possibilité d'importer des clés existantes ou d'en générer côté serveur. Là où Proton Mail et Tuta chiffrent chaque message en zéro-accès par défaut, Mailfence traite le chiffrement de bout en bout comme un choix délibéré, message par message — pratique pour échanger en clair avec le reste d'internet, moins protecteur quand l'utilisateur oublie d'activer l'option.
KYC et vie privée
Il n'y a pas de KYC. La création de compte exige un identifiant, un mot de passe, un e-mail de récupération externe et la reconnaissance que l'utilisateur a au moins seize ans — une exigence du RGPD. Mailfence bloque les domaines d'e-mails jetables connus et indique pouvoir restreindre temporairement les inscriptions par IP ou par pays lors de pics d'abus. La politique de confidentialité est étonnamment franche : elle liste les adresses IP, les identifiants de message, les expéditeurs et destinataires, les sujets, les versions de navigateur et les horodatages parmi les données collectées, avec une rétention de quarante-cinq jours pour les sauvegardes de mails et de documents. La société publie un rapport de transparence tous les six mois et un warrant canary. Le rapport S1 2025 fait état de sept demandes d'identification d'utilisateur, dont une honorée au titre d'une décision de justice belge valide. Le droit belge n'a pas d'équivalent des National Security Letters américaines, ce qui rend le canary réellement informatif.
Forces et limites
Les points forts sont la posture juridictionnelle et la longévité. Vingt-six ans d'exploitation sans incident sous le droit belge, un reporting de transparence semestriel et un OpenPGP qui interopère avec n'importe quel client PGP standard — Thunderbird, K-9 Mail, GnuPG en ligne de commande — donnent à Mailfence une clarté qui manque à bien des concurrents plus récents. Bitcoin et Litecoin sont acceptés pour les abonnements, ce qui réduit la trace de paiement. Les limites sont bien réelles. Le code est fermé et aucun audit n'a été publié par une firme de sécurité nommée ; l'opérateur indique seulement que le code reste « ouvert à l'examen par des experts reconnus », ce qui n'est pas la même chose. Le chiffrement optionnel plutôt que par défaut rapproche le modèle de menace d'un fournisseur prudent plus que d'une messagerie à connaissance nulle. Le webmail conserve un look de la fin des années 2000, et de petits conforts modernes comme l'envoi différé manquent. La journalisation des IP sans durée de rétention déclarée est le point que la plupart des testeurs signalent.
Verdict
Mailfence est une suite e-mail et bureautique compétente, ancrée dans le droit belge, pour qui veut une interopérabilité OpenPGP et un opérateur transparent — pas pour qui veut un chiffrement zéro-accès par défaut ou une pile open source. La confiance vient du parcours et de la cadence de divulgation ; le plafond de confidentialité est fixé par le modèle de chiffrement optionnel. Note : B (7,3/10). Confiance : TRUSTED.
Messagerie et suite bureautique sous droit belge, avec interopérabilité OpenPGP et vingt-six ans de parcours propre. Le chiffrement optionnel et le code fermé maintiennent le plafond de confidentialité sous celui des rivaux à zéro-accès par défaut. Note : B (7,3/10). Confiance : TRUSTED.
