Tes données restent là où elles doivent rester. Chez toi.

Toutes tes données de cycle — règles, symptômes, glaire, douleurs, humeur, contraception, grossesse — sont stockées uniquement sur ton téléphone. Elles sont chiffrées au repos par l'OS (Keychain sur iOS, EncryptedSharedPreferences sur Android).

NEW GAME, l'éditeur de Plumm, n'a aucun accès à ces données. Aucun serveur ne les voit passer. C'est la différence avec Flo, Clue ou Natural Cycles, qui synchronisent tout en cloud par défaut.

Tu peux nous écrire depuis l'app pour signaler un bug, partager une idée, poser une question. Ces messages-là (et eux seuls) sont envoyés à un serveur — pour qu'on puisse y répondre.

Ce qui transite alors : • Le contenu de tes messages • Un UUID anonyme généré par l'app (aucun lien avec ton identité) • Un jeton de notification pour t'envoyer la réponse

Aucun compte, aucun email, aucun prénom n'est demandé. Tu restes anonyme. Et tant que tu n'utilises pas la messagerie, rien n'est transmis.

On ne cache rien :

• Sentry (UE) — détection d'erreurs techniques. Reçoit des traces d'erreur pseudonymisées, jamais de données de cycle.
• Supabase (US) — héberge la base de la messagerie « On parle ? ». Reçoit uniquement le contenu de tes messages et l'UUID anonyme.
• Expo (US) — service d'envoi des notifications push. Reçoit un jeton anonyme.

Les transferts vers les États-Unis sont encadrés par les clauses contractuelles types de la Commission européenne.

On ne vit pas en vendant ton attention ou tes données. Pas de Google Analytics dans Plumm, pas de Facebook Pixel, pas d'identifiant publicitaire collecté. Aucune donnée n'est revendue, à personne.

Notre modèle économique : une future formule premium optionnelle et payante. Détails complets sur la page Transparence.

Tu disposes des droits classiques (accès, rectification, effacement, portabilité, opposition).

• Effacement local : Profil > Réinitialiser l'application. Tout disparaît, irréversiblement, en 1 tap.
• Effacement messagerie serveur : écris-nous à hello@plumm-app.com, on supprime sous 30 jours.
• Export : ton historique est exportable en JSON depuis le profil.

En cas de désaccord, tu peux saisir la CNIL (cnil.fr).

Aujourd'hui, tes données restent sur l'ancien appareil — c'est la rançon du local-first. On travaille sur une sauvegarde cloud chiffrée de bout en bout, opt-in : on ne pourra jamais lire ce que tu sauvegardes, même nous. Tu sauras quand elle est prête.