Politique de confidentialité
Dernière mise à jour : 9 mai 2026.
TL;DR — Cyora stocke tes données localement par défaut. Si tu actives la sync (Premium), elles sont chiffrées sur ton appareil avant tout envoi : nos serveurs ne peuvent pas les lire. Aucune publicité, aucune revente, aucun tracker tiers — jamais.
1. Qui sommes-nous ?
L'application Cyora est éditée par jpbenoit, micro-entreprise française (SIRET à compléter au lancement). Pour toute question : support@cyora.app.
2. Quelles données Cyora traite-t-elle ?
Cyora stocke localement, sur ton appareil uniquement, les données que tu choisis d'enregistrer :
- Date(s) de tes règles, durée, intensité, spotting éventuel
- Humeur, sommeil (heure de coucher / lever), douleurs (intensité, zone), médicaments et prises
- Événements personnels (stress, maladie, voyage) avec date et sévérité
- Tes préférences (thème clair/sombre, palette, heure du rappel quotidien)
- Ton statut Premium (plan en cours, fin de trial, prochaine échéance)
Aucune métadonnée d'utilisation, aucune télémétrie, aucun identifiant publicitaire, aucune adresse IP, aucune information sur ton appareil n'est collectée.
3. Où ces données sont-elles stockées ?
Par défaut : exclusivement sur ton appareil, dans une base de données SQLite locale et les préférences système.
Si tu actives la sync Premium : les données sont chiffrées sur ton appareil (AES-256-GCM, clé dérivée de ta passphrase via Argon2id) avant tout envoi vers notre serveur de stockage. Le serveur reçoit uniquement des blobs opaques et ne peut pas les déchiffrer. Si tu perds ta passphrase, personne — pas même nous — ne peut récupérer tes données.
La sauvegarde Android automatique (Google Drive) est désactivée explicitement par Cyora (android:allowBackup="false" + dataExtractionRules excluant tous les domaines). Tes données ne sont jamais remontées dans ton compte Google.
4. Tiers, sous-traitants, transferts
L'application ne contient aucun SDK publicitaire (AdMob, Meta Audience, etc.) ni aucun SDK de tracking (Firebase Analytics, Crashlytics, Mixpanel, Sentry, etc.).
Cyora utilise les sous-traitants suivants uniquement si tu souscris à Premium ou actives la sync :
| Sous-traitant | Rôle | Données traitées |
|---|---|---|
| Stripe (Irlande, USA) | Paiement par abonnement et lifetime | Email, moyen de paiement, statut d'abonnement |
| Supabase (USA, projet en région UE Stockholm) | Stockage des blobs chiffrés (sync) et auth | Blobs opaques chiffrés côté client + email d'authentification |
| Cloudflare (mondial) | Hébergement de cyora.app | Logs HTTP standard (IP, user-agent), conservés 24 h |
Le serveur de sync ne reçoit jamais tes données en clair. L'authentification Supabase utilise un email et un mot de passe que toi seule connais — ni Cyora, ni Supabase ne peut déchiffrer tes blobs.
Si tu n'actives ni Premium ni sync, aucune donnée ne sort de ton appareil.
5. Notifications
Si tu actives le rappel quotidien, les rappels de médicaments, ou les notifications de fin de trial, Cyora programme des notifications locales via le service système Android, aux heures que tu choisis. Ces notifications ne quittent jamais l'appareil. Aucun serveur push n'est utilisé.
La permission POST_NOTIFICATIONS (Android 13+) est demandée uniquement si tu actives un rappel.
6. Tes droits (RGPD)
Tu peux exercer tes droits RGPD à tout moment :
- Accès : ouvre l'application — toutes tes données y sont visibles. Si tu utilises la sync, tu peux aussi exporter une copie via Réglages > Exporter (CSV) ou Rapport PDF (Premium).
- Rectification : modifie ou supprime n'importe quelle entrée depuis l'écran Calendrier ou Detail.
- Effacement : utilise la fonction « Supprimer toutes les données » dans les Réglages — efface les données locales et côté serveur de sync si tu l'as activée. Tu peux aussi simplement désinstaller l'application.
- Portabilité : utilise la fonction « Exporter (CSV) » pour récupérer un fichier au format neutre.
- Opposition : n'utilise pas l'application, ou désactive la sync depuis les Réglages.
- Annulation d'abonnement : depuis le portail client Stripe accessible via Réglages > Cyora Premium > Gérer.
Pour toute question : support@cyora.app.
L'autorité de contrôle compétente est la CNIL (www.cnil.fr).
7. Sécurité
- Local : les données stockées localement sont protégées par les mécanismes natifs du système d'exploitation Android (chiffrement disque par défaut sur Android 6+ avec mot de passe d'écran de verrouillage).
- Sync (si activée) : les blobs envoyés au serveur sont chiffrés avec AES-256-GCM (chiffrement authentifié), clé dérivée de ta passphrase via Argon2id (memory 64 MiB, 3 itérations). Le sel et le nonce sont générés aléatoirement et stockés en clair en préfixe du blob. Le code de chiffrement est open-source et auditable.
Détails techniques complets sur la page Sécurité.
8. Enfants
Cyora n'est pas destinée aux enfants de moins de 16 ans. Aucune collecte de données ne ciblant ce public n'est effectuée — par construction, l'application ne collecte rien sans action explicite de l'utilisatrice.
9. Modifications de cette politique
Si cette politique évolue (ajout d'une fonctionnalité touchant au traitement des données par exemple), une nouvelle version sera publiée à la même URL et un avertissement clair sera affiché dans l'application avant toute modification du traitement.
10. Code source
Cyora est un logiciel open-source publié sous licence AGPL-3.0. Le code source est disponible publiquement à l'adresse github.com/jpbenoit/cyora et peut être audité par toute personne pour vérifier les affirmations de cette politique — notamment l'absence de SDK tiers et l'implémentation du chiffrement de bout en bout.