Meilleurs gestionnaires de mots de passe européens 2026 : 7 testés, zéro accès US
Sept gestionnaires de mots de passe hébergés dans l'UE, testés sur trois mois. Passkeys, zero-knowledge, hors CLOUD Act. À partir de 0 €, premium à partir de 22 €/an. Tarifs vérifiés 2026-05.
Plan gratuit avec mots de passe illimités, alias email, confidentialité suisse
Essayer Proton Pass →UX soignée, scanner de fuites, 22 €/an
Essayer NordPass →Entièrement auditable, auto-hébergeable, offre gratuite généreuse
Essayer Padloc →Depuis l’arrêt Schrems II, hébergér des identifiants sensibles aux États-Unis n’est plus une simple case à cocher RGPD. La CNIL a publié plusieurs avis entre 2022 et 2024 pour rappeler qu’il faut des clauses contractuelles types, une analyse d’impact du transfert, et selon les cas du chiffrement côté client. Le tout demande du temps d’avocat, et la conclusion est souvent la même : c’est plus simple d’éviter le transfert dès le départ.
Pour un gestionnaire de mots de passe, le sujet est doublé. Le coffre-fort numérique contient les accès banque, le portail Ameli, l’espace personnel impôts, les comptes professionnels. Exactement le périmètre où la CNIL attend une vigilance renforcée.
Sept fournisseurs basés en UE ou en Suisse répondent à ces exigences. Aucun n’est joignable via le CLOUD Act, tous sont conformes au RGPD sans contorsions, et les prix vont de 0 € à 60 € par an. Tarifs et fonctionnalités vérifiés le 28/05/2026.
Classement express
| Rang | Gestionnaire | Idéal pour | Prix |
|---|---|---|---|
| 1 |  🇨🇭Proton Pass | Confidentialité absolue | Gratuit / 24 €/an |
| 2 |  🇱🇹NordPass | Équilibre des fonctions | 22 €/an |
| 3 |  🇨🇭pCloud Pass | Utilisateurs pCloud | 29 €/an |
| 4 |  🇩🇪Padloc | Adeptes de l’open source | Gratuit / 35 €/an |
| 5 |  🇱🇺Passbolt | Équipes et auto-hébergement | Gratuit / 49 €/an |
| 6 |  🇧🇪Hypervault | Conformité entreprise | 36 €/an |
| 7 |  🇩🇪heylogin | Futur sans mot de passe | 60 €/an |
Sécurité et RGPD
| Sécurité | 🇨🇭Proton Pass | 🇱🇹NordPass | 🇨🇭pCloud Pass | 🇩🇪Padloc | 🇱🇺Passbolt | 🇧🇪Hypervault | 🇩🇪heylogin |
|---|---|---|---|---|---|---|---|
| Siège | Suisse | Lituanie | Suisse | Allemagne | Luxembourg | Belgique | Allemagne |
| Chiffrement | AES-256 + Argon2 | XChaCha20 | AES-256 | AES-256 | OpenPGP | AES-256 | Lié au terminal |
| Zero-knowledge | Oui | Oui | Oui | Oui | Oui | Oui | Oui |
| Localisation des données | Suisse | UE | Suisse | Allemagne/UE | Auto-héb./UE | Belgique/UE | Allemagne |
| Risque CLOUD Act | Aucun | Aucun | Aucun | Aucun | Aucun | Aucun | Aucun |
| Audit indépendant | Oui (2023) | Oui (Cure53) | Non | Partiel | Oui | Non | Non |
| Contrat art. 28 RGPD | Oui | Oui | Oui | Oui | Oui | Oui | Oui |
| SOC 2 | Non | Non | Non | Non | Non | Oui | Non |
Tous sont en zero-knowledge. Le fournisseur ne peut pas lire le coffre, même contraint. Ce qui varie, c’est l’enveloppe juridique. Les sept relèvent du droit de l’UE ou du droit suisse. Aucun n’est joignable par National Security Letter ou par injonction CLOUD Act.
Pour les secteurs régulés (finance, santé, secteur public français), la liste se restreint. Hypervault apporte l’attestation SOC 2, Passbolt l’auto-hébergement qui sort le fournisseur du modèle de menace. Les deux passent en commission d’appel d’offres sans questions supplémentaires.
Tarifs
| Plan | 🇨🇭Proton Pass | 🇱🇹NordPass | 🇨🇭pCloud Pass | 🇩🇪Padloc | 🇱🇺Passbolt | 🇧🇪Hypervault | 🇩🇪heylogin |
|---|---|---|---|---|---|---|---|
| Gratuit | Illimité | 1 appareil | Non | 50 entrées | Auto-héb. | Essai 14 jours | Limité |
| Personnel/an | 24 € | 22 € | 29 € | 35 € | 49 € (cloud) | 36 € | 60 € |
| Famille/an | 48 € (6 utilisateurs) | 44 € (6 utilisateurs) | — | — | — | — | — |
| Pro/utilisateur/mois | 8 € | 4 € | — | — | 3 € | 3 € | 5 € |
Proton Pass dispose du seul plan gratuit réellement utilisable au quotidien. NordPass à 22 € l’année est l’offre payante la moins chère, souvent sous 15 € pendant les soldes de novembre et le Black Friday. Pour les équipes, Passbolt et Hypervault à 3 € par utilisateur et par mois coupent de moitié la facture 1Password Business.
Passkeys
Les passkeys remplacent le mot de passe par une paire cryptographique liée à un appareil. Plus rien à phisher, plus rien à exfiltrer en cas de fuite. Le standard FIDO Alliance est soutenu par Apple, Google et Microsoft, et l’adoption a accéléré en 2024 et 2025. En France, FranceConnect, le Crédit Mutuel et la Société Générale acceptent désormais les passkeys.
Deux des sept gestionnaires les prennent en charge : Proton Pass et NordPass. Les deux synchronisent les passkeys de bout en bout, sur tous les appareils. Padloc et Passbolt l’ont sur la feuille de route. Les trois autres ne se sont pas prononcés publiquement.
Si la prise en charge des passkeys est décisive, la liste courte tient en deux noms.
1. Proton Pass
Proton Pass est arrivé en 2023 comme complément naturel à l’écosystème ProtonMail. Même siège suisse, même architecture zero-knowledge, même historique d’audits indépendants. Quand on utilise déjà Proton pour le courrier, ajouter Pass tient sur le même compte.
La fonctionnalité la plus distinctive : les alias hide-my-email. Chaque site reçoit une adresse de réacheminement dédiée. Lorsque (et non pas si) un de ces sites perd sa base d’utilisateurs, on le voit immédiatement dans la boîte de réception et on désactive l’alias d’un clic. J’utilise actuellement 47 alias via Proton Pass. Trois ont déjà reçu du spam provenant de sites auxquels je n’ai jamais donné mon adresse réelle. Ces trois-là sont bloqués. Coût total : zéro.
Ce qui accroche : l’extension navigateur échoue parfois sur des formulaires de connexion qui injectent le champ mot de passe par JavaScript après le rendu de la page. Les applications mobiles sont compétentes, mais un cran derrière NordPass sur la finition.
L’offre gratuite est viable au quotidien. La version payante coûte 24 € par an et ajoute des alias illimités plus le partage avancé.
2. NordPass
De l’équipe derrière NordVPN. La communication est plus tapageuse que je ne le souhaiterais. Le produit lui-même est le gestionnaire le mieux fini de cette liste.
NordPass utilise XChaCha20 plutôt que l’AES-256 habituel. Les deux sont considérés comme sûrs. XChaCha20 est plus récent et tient mieux face à certaines attaques par canal auxiliaire, mais en pratique la différence est théorique. Ce qui se voit vraiment, c’est l’ergonomie. L’auto-remplissage fonctionne. Le scanner de fuites avertit lorsqu’un de vos mots de passe apparaît dans une base publique. Les versions desktop et mobile se parlent correctement.
Pas open source. C’est la seule vraie objection au modèle de confiance. NordPass commande des audits réguliers à Cure53 et les rapports sont publics. Selon votre modèle de menace, ce substitut tient ou non.
22 € l’année, souvent sous 15 € en promotion. L’offre gratuite est volontairement limitée à un appareil.
Essayer NordPass →3. pCloud Pass
pCloud Pass existe parce que pCloud veut couvrir l’ensemble du bouquet vie privée. Stockage plus mots de passe plus chiffrement, dans un compte suisse unique. Si vous payez déjà pCloud pour le stockage, ajouter Pass a une cohérence.
En produit autonome, c’est plus dur à défendre. 29 € l’année livrent moins de fonctions que NordPass à 22 € ou Proton Pass à 24 €. Pas d’offre gratuite pour essayer. Pas de prise en charge des passkeys. L’extension navigateur fait le strict nécessaire.
Recommandé si vous êtes déjà installé dans l’écosystème pCloud et que la consolidation du compte prime sur le catalogue de fonctions.
Essayer pCloud Pass →4. Padloc
Padloc est un petit projet allemand actif depuis 2015 qui n’a jamais pris la trajectoire de croissance de Proton. Tout est sous AGPLv3. Le module de chiffrement sur GitHub se lit dans l’après-midi. Pour sortir entièrement le fournisseur du modèle de menace, on auto-héberge le serveur sur un VPS Hetzner ou sur une Raspberry Pi à la maison.
L’équipe est petite. Le développement avance lentement. L’auto-remplissage manque dans l’extension navigateur de l’offre gratuite. L’interface est sobre, à la manière des logiciels libres : visiblement faite par des gens qui s’en servent, sans redesign marketing tous les six mois.
Pour qui valorise l’auditabilité plus que la finition, c’est le bon choix. 35 € par an pour le plan payant, gratuit jusqu’à 50 entrées.
5. Passbolt
Passbolt n’est pas un produit grand public. C’est un gestionnaire d’identifiants pour équipes, construit sur OpenPGP. Chaque utilisateur dispose d’une paire de clés. Les identifiants partagés sont chiffrés pour chaque destinataire individuellement. C’est ainsi que la cryptographie de courrier était censée fonctionner à l’origine. Les cryptographes hochent la tête.
La mise en place demande du travail. On administre un serveur (ou on paie l’offre cloud). Intégrer un nouveau membre suppose de générer et d’échanger des clés. Pas d’application mobile, uniquement une interface web. Rien de tout cela n’est accidentel. C’est le prix d’une cryptographie propre.
Pertinent quand l’équipe partage des identifiants AWS root, des mots de passe de base de données de production ou des clés d’API. Pour le coffre familial avec les abonnements de streaming, ce n’est pas l’outil.
Auto-hébergé gratuit. 49 € l’année pour l’offre cloud avec fonctionnalités professionnelles.
6. Hypervault
Hypervault est la réponse quand le service achats demande l’attestation SOC 2 et un contrat de sous-traitance signé avec entête officiel. Les deux y figurent. L’interface est du logiciel d’entreprise, ce qui est une façon polie de dire compétent et sans relief.
Pour un usage personnel, c’est surdimensionné. Pour les entreprises européennes avec un DPO en place, des audits ISO 27001 ou des questionnaires de sécurité fournisseurs, la couverture par cases cochées est exactement ce qu’il faut : console d’administration, journaux d’audit, gestion fine des rôles, SAML SSO. Le produit s’adresse à la personne qui signe le risque, pas à celle qui se connecte le lundi matin.
36 € l’année en version personnelle. La tarification entreprise se compte par utilisateur.
7. heylogin
heylogin supprime le mot de passe maître. Le smartphone devient le moyen d’authentification. Face ID ou empreinte déverrouillent le coffre. Plus rien à mémoriser, plus rien à phisher.
C’est un modèle réellement différent. La question philosophique consiste à se demander si un téléphone est plus sûr qu’un mot de passe maître mémorisé. Les téléphones se volent. Les batteries s’épuisent. Les appareils tombent en panne. Le flux de récupération « plus de téléphone » est la pièce maîtresse, et il apparaît naturellement au pire moment, c’est-à-dire quand on est déjà bloqué dehors.
60 € par an. La grille tarifaire suppose un early adopter convaincu par le concept et prêt à payer pour cela.
Bitwarden, en bref
Bitwarden revient dans toute discussion sur les gestionnaires open source. À juste titre. Le produit est excellent, l’offre gratuite est de qualité, le code est auditable.
Son siège est en Californie, et la juridiction américaine s’applique. National Security Letters et CLOUD Act jouent. Pour certains lecteurs, c’est sans conséquence. Pour ceux qui lisent ce guide précisément, c’est la raison pour laquelle Bitwarden ne figure pas sur la liste.
Si la juridiction américaine n’est pas un facteur dans votre cas, Bitwarden est probablement le meilleur gestionnaire disponible. Le texte au-dessus s’adresse à ceux qui ont décidé qu’elle en était un.
Matrice de décision
| Priorité | Choisissez |
|---|---|
| Confidentialité absolue, déjà sur Proton | 🇨🇭Proton Pass |
| Meilleure expérience grand public | 🇱🇹NordPass |
| Open source ou rien | 🇩🇪Padloc |
| Identifiants équipe ou dev | 🇱🇺Passbolt |
| Contraintes de conformité entreprise | 🇧🇪Hypervault |
| Convaincu par le sans-mot-de-passe | 🇩🇪heylogin |
| Déjà dans l’écosystème pCloud | 🇨🇭pCloud Pass |
Ce que j’utilise réellement
Pour le personnel, Proton Pass. Les alias se rentabilisent en quelques semaines par la réduction du spam, et le compte Proton existe déjà pour le courrier. Ajouter un second produit sur le même login est un petit pas.
Pour les identifiants d’infrastructure partagés avec des collaborateurs, Passbolt. Le modèle PGP par destinataire correspond à la bonne manière d’accorder un accès à la production : explicitement, destinataire par destinataire, avec une trace de clés.
Cette configuration n’est pas un conseil universel. Elle convient à mon flux de travail. Qui n’a besoin ni des alias ni du partage d’identifiants en équipe sera plus à l’aise avec NordPass et économisera 2 € par an.
Ce qui n’a pas de sens : rester sur un gestionnaire américain par inertie. La migration tient dans une soirée.
Migration depuis 1Password, LastPass ou Bitwarden
Le déroulé est le même chez les sept fournisseurs.
Exporter depuis l’outil actuel
- 1Password : Fichier → Exporter → CSV
- LastPass : Options du compte → Avancé → Exporter
- Bitwarden : Outils → Exporter le coffre → CSV
- Chrome : Paramètres → Mots de passe → Exporter
Importer dans le nouveau gestionnaire
Les sept acceptent le CSV standard. L’appariement des colonnes est généralement automatique. Comptez une dizaine de minutes import et vérification compris.
Garder les deux outils deux semaines
Ne supprimez pas l’ancien gestionnaire immédiatement. Conservez les deux installés. Si une connexion échoue dans le nouveau, le fallback est peu coûteux. Au bout de deux semaines d’usage normal, vous aurez détecté les éventuels manquants.
Faire tourner les mots de passe critiques
La migration est le bon moment pour changer les mots de passe des comptes bancaires, du courrier principal et des comptes cloud centraux. Le générateur du nouveau gestionnaire gère cela en un clic par site.
Une stratégie raisonnable : tout migrer en une fois, mais ne faire tourner que les vingt identifiants les plus utilisés. Le reste se renouvellera de lui-même au fil des connexions.
Questions fréquentes
Que dit la CNIL sur les gestionnaires hébergés aux États-Unis ?
Depuis Schrems II, le simple RGPD ne suffit plus. Il faut des clauses contractuelles types, une analyse d’impact du transfert et, selon le secteur, du chiffrement côté client. Les recommandations CNIL de 2023 et 2024 vont dans le sens d’éviter le transfert chaque fois que c’est possible.
Puis-je migrer depuis 1Password ou LastPass ?
Oui. Les sept fournisseurs acceptent l’import CSV. Les étapes décrites plus haut prennent une dizaine de minutes par source.
Quels fournisseurs prennent en charge les passkeys ?
Proton Pass et NordPass. Les deux synchronisent les passkeys de bout en bout, sur tous les appareils. Les cinq autres ne le font pas encore.
Lequel convient pour une équipe soumise au RGPD ?
Passbolt pour les équipes techniques (OpenPGP, auto-hébergement disponible). Hypervault pour la conformité entreprise (SOC 2, journaux d’audit, SAML SSO). NordPass pour un usage professionnel généraliste à 4 € par utilisateur et par mois. Les trois fournissent un contrat de sous-traitance article 28.
Et si le fournisseur fait faillite ?
Pour les options open source (Proton Pass, Padloc, Passbolt), on auto-héberge ou on exporte. Pour les options propriétaires, exporter régulièrement en CSV. Tous les outils de cette liste prennent en charge l’export CSV.
L’offre gratuite suffit-elle ?
Proton Pass : oui, pour la majorité des usages. NordPass : non, un seul appareil ne tient pas au quotidien. Padloc : limite, 50 entrées. Les autres : non.
Les gestionnaires européens sont-ils aussi sûrs que Bitwarden ou 1Password ?
Oui. AES-256, XChaCha20 et OpenPGP sont au même niveau pratique que le chiffrement déployé par les acteurs américains. Ce qui change, c’est la juridiction, pas la cryptographie.
Liens directs
- 🇨🇭Proton Pass : meilleure offre gratuite, idéal pour utilisateurs Proton
- 🇱🇹NordPass : meilleure expérience générale
- 🇩🇪Padloc : meilleure option open source
- 🇱🇺Passbolt : meilleur choix pour équipes
- 🇧🇪Hypervault : exigences de conformité
- 🇩🇪heylogin : approche la plus prospective
Articles liés :
- L’écosystème Proton expliqué : Mail, VPN, Drive, Pass dans un seul compte
- Stockage cloud UE comparé : pCloud, Proton Drive, Tresorit
- Pourquoi le logiciel européen compte
Tarifs et fonctionnalités vérifiés le 28/05/2026. Dernière révision substantielle : mai 2026.
Mention d'affiliation
Certains liens dans cet article sont des liens d'affiliation. Si vous vous inscrivez via notre lien, nous recevons une petite commission sans frais supplémentaires pour vous. Cela nous aide à maintenir EU Picks.