eggshell

Politique de confidentialité — dernière mise à jour : 30 mai 2026

En une phrase

eggshell ne collecte aucune donnée. Tout ce que tu enregistres dans l'app — médication, prises, valeurs hormonales, journal, photos, notes vocales, rappels — reste chiffré sur ton téléphone et n'est jamais envoyé, partagé ou stocké ailleurs.

Qui édite cette app

eggshell est édité par douxev, développeuse indépendante. Contact : eggshell@douxev.com. Code source et architecture détaillés : voir le dépôt github.com/douxev/eggshell.

Ce que l'app ne fait jamais

• Aucune connexion à un serveur. L'app ne demande même pas la permission Internet : techniquement, elle ne peut pas envoyer quoi que ce soit hors du téléphone.
• Aucune publicité, aucun pisteur (Google Analytics, Crashlytics, Sentry, Firebase : aucun n'est inclus).
• Aucune création de compte, aucun identifiant utilisateur.
• Aucune sauvegarde automatique vers le cloud (Google Drive, iCloud : désactivés explicitement dans les paramètres système de l'app).
• Aucune télémétrie, aucune métrique d'usage, aucun rapport de crash distant.

Ce que l'app stocke et où

Toutes tes données vivent dans une base SQLite chiffrée (SQLCipher, AES-256-CBC) dans le dossier privé de l'app sur ton téléphone. Les photos et enregistrements audio sont stockés comme blobs chiffrés (AES-256-GCM) dans le même dossier. La clé de chiffrement est :

• soit générée aléatoirement et protégée par le Keystore Android de ton téléphone (mode par défaut) ;
• soit dérivée d'une passphrase que tu choisis (Argon2id) ;
• soit les deux (mode mixte ou "Paranoïaque" où la clé n'est jamais persistée).

Sans l'une de ces clés, le contenu de la base est inutilisable — même pour quelqu'un qui aurait un accès physique au téléphone et le déverrouillerait.

Permissions Android demandées et pourquoi

• POST_NOTIFICATIONS — afficher les rappels de prise de médication et d'analyses.
• SCHEDULE_EXACT_ALARM / USE_EXACT_ALARM — déclencher les rappels exactement à l'heure programmée (la précision est importante pour les schémas d'hormonothérapie).
• RECEIVE_BOOT_COMPLETED — re-planifier les rappels après un redémarrage du téléphone.
• USE_BIOMETRIC — utiliser ton empreinte / Face Unlock pour déverrouiller le coffre, si tu l'as activé.
• CAMERA — uniquement si tu choisis d'utiliser la timeline photo. La capture se fait dans l'app, la photo est chiffrée immédiatement et n'est jamais écrite dans la galerie système.
• RECORD_AUDIO — uniquement si tu choisis d'utiliser le suivi voix. Idem : capture in-app, chiffrement immédiat, jamais dans les fichiers système.

Aucune permission liée au réseau (INTERNET, ACCESS_NETWORK_STATE) n'est demandée.

Bibliothèques tierces utilisées

L'app embarque plusieurs bibliothèques techniques, toutes 100% on-device :

• SQLCipher — chiffrement de la base.
• ML Kit Text Recognition (variant bundled) — reconnaissance de texte sur les PDFs de résultats de laboratoire pour l'import automatique. Le modèle est embarqué dans l'app ; il ne contacte aucun serveur Google et ne dépend pas des Google Play Services.
• Android Keystore — gestion sécurisée de la clé maître.
• Jetpack Compose, Material 3, AndroidX — UI, ressources Android standard.

Aucune de ces bibliothèques ne fait de réseau à notre connaissance. Une vérification technique est possible : l'app ne demande pas la permission INTERNET dans son manifest.

Tes droits sur tes données

Comme aucune donnée ne quitte ton téléphone, il n'y a personne à qui demander la communication ou la suppression d'une donnée te concernant. Toutes les actions RGPD sont des actions locales que tu effectues directement :

• Accès — toutes tes données sont déjà affichées dans l'app après déverrouillage.
• Portabilité — Réglages → "Exporter une sauvegarde chiffrée" génère un fichier .transition.enc que tu peux conserver / déplacer / réimporter sur un autre téléphone.
• Suppression — Réglages → "Réinitialiser le coffre" supprime définitivement et irréversiblement l'ensemble du contenu, ainsi que les clés de chiffrement. Désinstaller l'app a le même effet.

Partage volontaire

L'app inclut deux fonctions de partage déclenchées explicitement par toi :

• Export PDF "bilan médecin" — génère un document local que tu choisis ensuite d'envoyer (ou pas) via le partage système Android.
• Sauvegarde chiffrée — produit un fichier .transition.enc protégé par une passphrase que toi seul·e connais.

Dans les deux cas, le destinataire (médecin, autre téléphone, clé USB…) est choisi par toi au moment du partage ; rien n'est envoyé automatiquement.

Sécurité du téléphone lui-même

eggshell ne peut pas te protéger d'un téléphone non verrouillé entre les mains de quelqu'un d'autre. Pour cette raison :

• L'aperçu dans le sélecteur d'apps récentes et les captures d'écran sont bloqués par défaut (réglable dans Réglages → Confidentialité).
• Un PIN de "leurre" optionnel permet de présenter une app calculatrice / notes factice à un regard indiscret.
• Un mode "Paranoïaque" oblige la saisie de la passphrase à chaque démarrage du téléphone.

Enfants

Cette app traite de sujets médicaux adultes (hormonothérapie). Elle n'est pas destinée aux moins de 18 ans et n'est pas conçue pour suivre les règles "Designed for Families" du Play Store.

Modifications de cette politique

Toute modification est publiée sur cette même URL avec la date de mise à jour en haut de page. Les changements substantiels (nouveau type de donnée, nouvelle permission, ajout d'un service tiers) sont annoncés explicitement dans une notification "What's new" à l'ouverture de l'app qui suit l'update.

Juridiction

eggshell est un projet indépendant développé en France. En cas de litige ou question relative au RGPD, le contact reste eggshell@douxev.com.