Tuta Mail
Messagerie et agenda chiffrés de bout en bout, basés à Hanovre, détenus par les fondateurs, sur son propre IP RIPE en Allemagne.
Profil mis à jour le : · Voir les sources
À propos de Tuta Mail
Tuta est le service grand public et professionnel de messagerie, d'agenda et de Drive (en bêta fermée) chiffré de bout en bout, exploité par Tutao GmbH (Deisterstr. 17a, 30449 Hannover, HRB 208014 Amtsgericht Hannover, n° de TVA DE280903265). Fondée en 2011 par Arne Möhle et Matthias Pfau (avec Hanna Bozakov, ils sont les trois Geschäftsführer), elle a été rebaptisée Tutanota en Tuta le 7 novembre 2023 ; plus de dix millions d'utilisateurs en mars 2025.
Tutao GmbH exploite son propre /24 attribué par le RIPE (185.205.69.0/24, AS210909) depuis des centres de données en Allemagne. Messages, objets, pièces jointes, agendas, contacts et index de recherche sont chiffrés de bout en bout avec AES-256 + HMAC-SHA-256 et un échange hybride post-quantique TutaCrypt (Kyber-1024 + x25519) livré le 11 mars 2024. Applications open source GPL-3.0 sur github.com/tutao/tutanota.
Fonctionnalités
- Gratuit 1 Go ; Revolutionary 3 EUR/mois (20 Go), Legend 8 EUR/mois (500 Go) ; Business à partir de 6 EUR/utilisateur/mois
- Apps et backend open source sous GPL-3.0 sur github.com/tutao/tutanota ; version Android aussi distribuée sur F-Droid
- Chiffrement de bout en bout des corps, objets, pièces jointes, agendas, contacts et de l'index de recherche côté client
- TutaCrypt post-quantique (Kyber-1024 + x25519) livré le 11/03/2024 ; nouveaux comptes par défaut ; agenda PQ dans la même fenêtre
- Services maison open source de notifications push et de CAPTCHA en remplacement de Google Firebase et reCAPTCHA
- Auto-hébergement sur le /24 propre de Tutao au RIPE (AS210909) en centres de données allemands ; pas de Cloudflare ni CDN tiers
- Rapport de transparence semestriel avec warrant canary ; S2 2025 environ 88 % de refus sur données d'inventaire ; contenus illisibles
- Détenue par les fondateurs, sans capital-risque ; seul apport externe : subvention BMBF d'environ 1,5 M EUR pour stockage PQ (mai 2023)
- Tuta Drive : stockage cloud chiffré de bout en bout en bêta fermée ; lancement public attendu en 2026 avec PQ dès le premier jour
Tableau de souveraineté
Signaux destinés aux achats sur la souveraineté des données, la propriété et la résidence en UE.
Nous évaluons chaque fournisseur européen selon six dimensions de souveraineté résumées par l'acronyme SHIELD. Chaque carte ci-dessous correspond à une lettre — utilisez-les comme une liste de vérification lors de vos comparaisons.
Les tiers qui traitent des données client : prestataires de paiement, services KYC, chatbots de support, analytique.
Où se trouve l'entité juridique, qui la contrôle, et quelles filiales opèrent au sein du même groupe.
Où les données client sont physiquement stockées, qui exploite la pile d'hébergement, quel CDN se trouve en amont.
Si le fournisseur ou ses sous-traitants relèvent du CLOUD Act américain ou d'une autre portée extraterritoriale.
CGU publiques, politique de confidentialité, DPA, liste des sous-traitants, mentions légales et pages sécurité ou confiance.
Audits et certifications indépendants (ISO 27001, BSI C5, TISAX, SOC 2) et transparence open source.
Société privée
Tutao GmbH (HRB 208014 Amtsgericht Hannover) is wholly owned by co-founders Arne Möhle and Matthias Pfau, both German nationals based in Hanover; Hanna Bozakov is the third Geschäftsführerin and has been with the company since launch. Tuta stated verbatim on its company blog: 'the company is wholly owned by Matthias and Arne, and is not liable to anyone else.' No outside venture capital has been raised. The only external capital is a roughly EUR 1.5 million BMBF KMU-innovativ grant awarded May 2023 (Northdata records EUR 1,528,635) for the PQDrive post-quantum storage research project, plus a state-aid bracket of EUR 100,000-500,000 recorded October 2024.
🇩🇪 Hanover, Germany
Tutao GmbH
- Tutao GmbH - Munich office — 🇩🇪 GermanySecond German office named on the careers page tuta.com/jobs; supports the same Tutao GmbH legal entity. Not a separate company.
Région fixe
Tuta's privacy policy states verbatim: 'All data is stored in ISO 27001 certified data centers in Germany.' The certification covers the data-centre operators, not Tutao GmbH as an entity. The secure-email page reinforces this with: 'All your data in Tuta is stored on our own servers in ISO 27001-certified data centers in Germany and in full compliance with the GDPR.' Personal data is deleted no later than 30 days after termination of the contract; IP addresses are not logged on login or send, and the mail server strips originating IP from outbound email headers.
Site web: Self-hosted on Tutao's own IPv4 /24 (185.205.69.0/24) and IPv6 /48 (2a10:e000:1::/48), RIPE-registered to Tutao GmbH (ORG-TG206-RIPE); no Cloudflare, no third-party CDN in the production path for tuta.com or app.tuta.com (both A-record into Tutao IP space)
Application: Tutao GmbH AS210909 (RIPE-Originated-Valid RPKI) inside ISO 27001-certified data centres in Germany. Webmail at app.tuta.com → 185.205.69.10; mail.tutanota.de → 185.205.69.211 / .213 / .214; tuta.com landing page → 185.205.69.12. Specific data-centre operator(s) are not named publicly.
E-mail: Self-hosted MX on mail.tutanota.de (Tutao IP space); SPF v=spf1 include:spf.tutanota.de -all on both tuta.com and tutanota.com (strict -all reject)
CDN: None on customer-data subdomains; AWS Route 53 used as authoritative DNS only (NS records ns-*.awsdns-*.{com,net,org,co.uk}); INWX GmbH is the registrar; DNSSEC signedDelegation with algorithm 13 (ECDSAP256SHA256)
| Nom | Pays | Finalité |
|---|---|---|
| Amazon Web Services, Inc. (Route 53) | 🇺🇸 United States | Authoritative DNS only for tuta.com and tutanota.com (ns-*.awsdns-*.com / .net / .org / .co.uk observed). Does not touch encrypted mailbox content; resolves only the public DNS zone for Tutao IP space. |
| INWX GmbH | 🇩🇪 Germany | Domain registrar for tuta.com and tutanota.com (Berlin-based German registrar). |
| PayPal (Europe) S.à r.l. et Cie, S.C.A. | 🇱🇺 Luxembourg | Subscription-payment processor for PayPal-funded subscriptions; named in the Tuta privacy policy and the transparency report (PayPal usernames listed among the inventory data that can be subpoenaed). |
| Apple Inc. (App Store) | 🇺🇸 United States | iOS in-app subscription billing since 2024-07-12 (Tuta blog post 'ios-payment') -- enables Revolutionary and Legend upgrades inside the iOS app, including non-EUR currency support (USD, GBP). Apple does not handle email content. |
| Google LLC (Google Play) | 🇺🇸 United States | Android subscription billing for users who install Tuta Mail from Google Play; the F-Droid build is the Google-Play-Services-free alternative. Google does not handle email content. |
| Arelion Sweden AB | 🇸🇪 Sweden | BGP transit upstream provider (AS1299) carrying AS210909 traffic. Telia Carrier predecessor; EEA-based. |
| kyberio GmbH | 🇩🇪 Germany | BGP transit upstream provider (AS24679) carrying AS210909 traffic. Frankfurt-region German transit. |
Tarifs
EUR 0
- 1 GB storage, 1 calendar, 3 labels
- No extra email addresses, no custom domains
- No subscriber support; iOS / Android / desktop / web clients all included
EUR 3/month
- 20 GB storage, unlimited calendars, unlimited labels
- 15 extra email addresses across 3 custom domains
- Email support, calendar sharing, autoresponder, inbox rules, schedule send, offline support
EUR 8/month
- 500 GB storage, unlimited calendars, unlimited labels
- 30 extra email addresses across 10 custom domains
- Priority email support and all Revolutionary features
EUR 6/user/month
- 50 GB storage per user, 15 aliases, 3 custom domains
- Freelancer-tier business product
- Tutao GmbH offers an Order Processing Agreement (Auftragsverarbeitungsvertrag) on request
EUR 8/user/month
- 500 GB storage per user, 30 aliases, 10 custom domains
- Team-tier business product
EUR 12/user/month
- 1 TB storage per user, 30 aliases, unlimited custom domains
- Larger-organisation tier; price unchanged since the June 2023 announcement
Questions et réponses
6 questions
Où se trouve le siège de Tuta, qui contrôle Tutao GmbH et où ma boîte aux lettres est-elle stockée ?
Tutao GmbH est immatriculée Deisterstr. 17a, 30449 Hannover, sous le numéro HRB 208014 à l'Amtsgericht Hannover. Les trois Geschäftsführer (gérants) sont le cofondateur Arne Möhle, le cofondateur Matthias Pfau et Hanna Bozakov. Möhle et Pfau sont les seuls associés -- Tuta a indiqué mot pour mot sur le blog de l'entreprise : « the company is wholly owned by Matthias and Arne, and is not liable to anyone else. » Les boîtes aux lettres sont stockées sur l'infrastructure propre de Tutao en Allemagne : Tutao GmbH est un Local Internet Registry du RIPE qui exploite AS210909 et annonce directement 185.205.69.0/24 et 2a10:e000:1::/48. Tuta indique que les centres de données sont « ISO 27001 certified data centers in Germany » ; la certification couvre les exploitants de centres de données, pas Tutao GmbH en tant qu'entité. Les conditions générales de Tuta désignent le droit allemand et Hanovre comme lieu de juridiction.
Tuta est-elle soumise à la procédure judiciaire américaine ?
Non, pas directement. Tutao GmbH n'a pas de société mère constituée aux États-Unis, pas de filiale américaine et aucun bureau hors d'Allemagne ; les fondateurs, le siège et l'infrastructure de production sont allemands. Tuta a indiqué mot pour mot que « Tutao GmbH only responds to valid warrants issued by German courts » et que « German companies are not allowed to share customer's information with foreign law enforcement. » Une exposition indirecte existe via un petit ensemble de sous-traitants domiciliés aux États-Unis : les DNS faisant autorité pour tuta.com et tutanota.com sont hébergés sur AWS Route 53 ; la facturation des abonnements iOS passe par Apple (achat in-app depuis le 12 juillet 2024) ; la facturation des abonnements Android passe par Google Play ; PayPal et un prestataire carte bancaire non nommé traitent les paiements d'abonnement. Aucun de ces sous-traitants ne peut déchiffrer le contenu chiffré des boîtes aux lettres.
Que couvre réellement le chiffrement de bout en bout chez Tuta ?
Les corps de messages, les objets et les pièces jointes ; les agendas entiers, y compris les métadonnées d'événements telles que les titres, notifications et rappels ; les contacts (date de naissance, commentaire, société, prénom, nom, surnom, rôle, titre, adresses, adresses e-mail, numéros de téléphone, identifiants sociaux) ; les règles et filtres de boîte de réception ; et l'index de recherche complet, construit et stocké sur l'appareil client. Les seules données qui restent non chiffrées sont les adresses e-mail de l'expéditeur et du destinataire ainsi que les horodatages, parce que les standards du protocole e-mail exigent que les métadonnées de routage restent en clair. Les notifications push sont délivrées via le service de notifications open source maison de Tuta, dissimulé à Apple et à Google. Les primitives cryptographiques sont AES-256 / HMAC-SHA-256 en symétrique, Argon2 / HKDF-SHA-256 pour la dérivation de clés, et depuis le 11 mars 2024 l'échange hybride post-quantique TutaCrypt Kyber-1024 + x25519 pour les nouveaux comptes (RSA-2048 conservé pour la rétrocompatibilité avec les anciens comptes).
Tuta est-elle open source ? Peut-on l'auto-héberger ?
Les clients web, iOS, Android et bureau (Windows / macOS / Linux) de Tuta ainsi que le code de l'infrastructure backend sont open source sous licence GPL-3.0 sur github.com/tutao/tutanota (7 580 étoiles, 619 forks, 938 versions étiquetées). L'application Android est publiée sur Google Play et sous forme de build sans Google Play Services sur F-Droid (Tuta est, selon Wikipédia, le premier fournisseur d'e-mail à publier sur F-Droid). Tuta est membre de l'Open Invention Network (rejoint en 2017). La marque Tutao est détenue par l'entreprise. Il n'existe pas de procédure d'auto-hébergement documentée pour la partie serveur -- faire tourner son propre cluster de boîtes aux lettres Tuta est techniquement possible à partir du code source public, mais ce n'est pas un chemin produit. La plupart des acheteurs en mode achats utiliseront les offres Business hébergées (Essential, Advanced ou Unlimited) dans le cadre d'un Auftragsverarbeitungsvertrag.
Que publie Tuta sur les demandes des autorités ?
Le rapport de transparence est mis à jour tous les six mois et inclut un warrant canary. Le rapport du second semestre 2025 (1er juillet - 31 décembre 2025) fait état de 165 demandes de données d'inventaire dont 19 satisfaites (environ 88 % de refus), 25 demandes de données de trafic en temps réel dont 19 satisfaites, 16 demandes de données de contenu stockées dont 8 satisfaites et 14 demandes de données de contenu en temps réel dont 12 satisfaites. Tuta a indiqué avoir rejeté 75 % de toutes les demandes des autorités sur l'ensemble de l'année 2025. Même sur ordonnance valide d'un tribunal allemand, Tuta ne peut pas déchiffrer le contenu des boîtes aux lettres -- seules les données d'inventaire (métadonnées bancaires, PayPal ou carte bancaire) et les métadonnées de routage (expéditeur, destinataire, horodatages) peuvent être communiquées. Le canary indique mot pour mot : « Tuta (formerly Tutanota) has never received any National Security Letters or FISA court orders, and we have not been subject to any gag order by a FISA court. »
Pourquoi Tuta ne publie-t-elle pas une page dédiée à la liste de ses sous-traitants ?
Tuta ne publie pas une URL unique de sous-traitants comme le font la plupart des éditeurs SaaS B2B. Les prestataires qui touchent aux données clients sont énumérés au fil du texte dans la politique de confidentialité, le billet de blog sur les paiements iOS et les mentions légales. La liste est volontairement réduite : AWS Route 53 pour les DNS faisant autorité, PayPal Europe S.à r.l. et Cie S.C.A. pour les paiements PayPal, un prestataire carte bancaire non nommé pour les paiements par carte, des établissements de crédit allemands pour le prélèvement SEPA, Apple Inc. pour les abonnements in-app iOS (depuis le 12 juillet 2024), Google LLC pour la facturation Android via Google Play, INWX GmbH comme bureau d'enregistrement de domaines, et le transit BGP via Arelion (AS1299, Suède) et kyberio GmbH (AS24679, Allemagne). Les offres Business incluent un Auftragsverarbeitungsvertrag sur demande via le canal commercial.
Alternatives
Autres entreprises européennes dans la même catégorie que Tuta Mail.
🇩🇪 Germany
🇧🇪 Belgium
🇩🇪 Germany
🇩🇪 Germany
🇩🇪 Germany
🇨🇭 Switzerland
🇱🇻 Latvia
🇨🇭 Switzerland
En bref
Sources & vérification
Chaque fait sur cette page est étayé par une source primaire ou indépendante. Dernière vérification : 15 mai 2026.
Vous avez repéré une erreur ? Signalez-le
Contenu du profil
- primaire · privacy-policytuta.com/privacy-policy
- primaire · impressumtuta.com/imprint
- primaire · dns-recordsbgp.he.net/AS210909AS210909 + 185.205.69.0/24 RIPE-registered to Tutao GmbH; tagline 'own RIPE-registered IP space'
- primaire · blogtuta.com/blog/tutanota-not-a-honeypotFounder-ownership verbatim statement; tagline 'founder-owned'
- primaire · impressumtuta.com/imprint
- primaire · blogtuta.com/blog/tutanota-is-now-tutaRebrand announcement 2023-11-07
- primaire · blogtuta.com/blog/10-million-users
- primaire · othertuta.com/encryptionEncryption technical document, AES-256 / HMAC / Argon2 / TutaCrypt details
- primaire · blogtuta.com/blog/post-quantum-cryptographyTutaCrypt launch 2024-03-11
- primaire · dns-recordsbgp.he.net/AS210909AS210909 Tutao own /24 + /48
- primaire · pricing-pagetuta.com/pricing
- primaire · blogtuta.com/blog/announcement-new-prices2023-06-06 new pricing announcement
- primaire · othertuta.com/businessBusiness-plan pricing
- primaire · impressumtuta.com/imprintHRB 208014, VAT DE280903265, managing directors
- registre · otherwww.northdata.com/Tutao+GmbH,+Hannover/HRB+208014Share capital, registration date, BMBF grant amount EUR 1,528,635, state-aid bracket Oct 2024
- primaire · blogtuta.com/blog/tutanota-not-a-honeypotFounder ownership statement verbatim
- primaire · dns-recordsbgp.he.net/AS210909AS210909 RIPE record
- primaire · othertuta.com/encryptionEncryption coverage details verbatim
- primaire · blogtuta.com/blog/post-quantum-cryptographyTutaCrypt launch 2024-03-11
- primaire · blogtuta.com/blog/celebrating-one-year-pq-launch50% migration mark 2025-03-11; calendar PQ; Wuppertal academic partner
- primaire · blogtuta.com/blog/what-is-a-tech-stackCustom push notification service replacing Google FCM; own CAPTCHA
- primaire · othertuta.com/open-sourceGPL-3.0 mention; OIN membership
- primaire · blogtuta.com/blog/transparency-reportH2 2025 statistics, warrant canary, German court requirement
- primaire · othergithub.com/tutao/tutanota7,580 stars, 619 forks, 938 releases, primary TypeScript
- primaire · about-pagetuta.com/about100% renewable energy claim
- primaire · othertuta.com/driveDrive closed-beta status
- primaire · impressumtuta.com/imprint
- primaire · blogtuta.com/blog/tutanota-not-a-honeypotFounder ownership statement verbatim
- primaire · blogtuta.com/blog/data-privacy-germanyGerman jurisdiction statement verbatim
- primaire · blogtuta.com/blog/transparency-reportH2 2025 statistics + warrant canary verbatim
- primaire · blogtuta.com/blog/post-quantum-cryptographyTutaCrypt construction details
- primaire · othertuta.com/encryptionEnd-to-end encryption coverage
- primaire · privacy-policytuta.com/privacy-policySubprocessor enumeration; data residency claim verbatim
- primaire · blogtuta.com/blog/ios-paymentApple in-app purchase since 2024-07-12
- primaire · othergithub.com/tutao/tutanotaGPL-3.0 license; 7,580 stars at fetch time
- primaire · termstuta.com/termsGerman law and Hanover place of jurisdiction
- primaire · othertuta.com/businessOrder Processing Agreement mention
Souveraineté (SHIELD)
- primaire · privacy-policytuta.com/privacy-policyPayPal, card processors, credit institutions for SEPA
- primaire · blogtuta.com/blog/ios-paymentApple in-app subscription 2024-07-12
- primaire · dns-recordswww.ripe.netAWS Route 53 NS records on tuta.com and tutanota.com via dig NS / whois; INWX as registrar
- primaire · dns-recordsbgp.he.net/AS210909BGP upstreams AS1299 Arelion (Sweden) and AS24679 kyberio (Germany)
- primaire · impressumtuta.com/imprint
- registre · otherwww.northdata.com/Tutao+GmbH,+Hannover/HRB+208014
- primaire · blogtuta.com/blog/tutanota-not-a-honeypotVerbatim ownership statement
- primaire · impressumtuta.com/imprintManaging directors
- registre · otherwww.northdata.com/Tutao+GmbH,+Hannover/HRB+208014BMBF grant amount EUR 1,528,635, state-aid Oct 2024
- primaire · blogtuta.com/blog/announcement-2023BMBF KMU-innovativ PQDrive grant May 2023
- primaire · about-pagetuta.com/jobsHanover HQ and Munich office
- primaire · privacy-policytuta.com/privacy-policyVerbatim Germany / ISO 27001 data centre claim
- primaire · othertuta.com/secure-emailOwn-servers claim verbatim
- primaire · blogtuta.com/blog/most-secure-email-serviceNo IP logging on login or send; IP stripping on outbound
- primaire · dns-recordsbgp.he.net/AS210909AS210909 and prefix announcements; BGP upstream providers
- primaire · dns-recordsbgp.he.net/net/185.205.69.0/24Hurricane Electric BGP toolkit deep link to 185.205.69.0/24: netname DE-TUTA-20201009, org Tutao GmbH (ORG-TG206-RIPE)
- primaire · privacy-policytuta.com/privacy-policyData-centre operator certification claim
- primaire · dns-recordsdnsviz.net/d/tutanota.de/dnssecDNSSEC chain (algorithm 13 ECDSAP256SHA256) and SPF -all reject on tutanota.de + tuta.com via dnsviz; A-record values mail.tutanota.de 185.205.69.211 / .213 / .214 and app.tuta.com 185.205.69.10 confirmed via dig
- primaire · blogtuta.com/blog/tutanota-not-a-honeypotNo US subsidiary, German court orders only verbatim
- primaire · blogtuta.com/blog/data-privacy-germanyGerman companies cannot share customer information with foreign law enforcement verbatim
- primaire · privacy-policytuta.com/privacy-policySubprocessor enumeration includes AWS DNS, Apple, Google Play, PayPal, card processors
- primaire · termstuta.com/terms
- primaire · privacy-policytuta.com/privacy-policy
- primaire · impressumtuta.com/imprint
- primaire · security-pagetuta.com/security
- primaire · blogtuta.com/blog/transparency-reportWarrant canary, transparency report cadence
- primaire · othertuta.com/businessOrder Processing Agreement available on request -- no public DPA URL
- primaire · privacy-policytuta.com/privacy-policyISO 27001 attribution is to the data-centre operators, not to Tutao GmbH as an entity; no Tutao corporate certifications publicly recorded
- primaire · othergithub.com/tutao/tutanotaGPL-3.0 license, primary repo
- primaire · otherraw.githubusercontent.com/tutao/tutanota/master/LICENSE.txtGPL-3.0 license verbatim
- primaire · othertuta.com/open-sourceOpen Invention Network membership since 2017