Aller au contenu
Tous les articles

L'avantage en matière de confidentialité des applications local-first

La donnée la plus confidentielle est celle que l'on ne collecte jamais. Le local-first n'est pas qu'un choix d'architecture — c'est la politique de confidentialité la plus simple qui soit.

MFKAPPS 4 min de lecture

Chaque politique de confidentialité que tu as parcourue est une liste de promesses au sujet de données que l’entreprise a déjà collectées. « Nous prenons votre vie privée au sérieux. » « Nous ne partageons qu’avec des partenaires de confiance. » « Nous pouvons conserver vos données si nécessaire. »

Il en existe une version bien plus courte : ne pas les collecter du tout.

C’est toute l’idée derrière le logiciel local-first, et c’est le fondement sur lequel repose chaque application MFKAPPS. Tes données vivent sur ton appareil. Pas sur mes serveurs, parce qu’aucun serveur ne détient tes données. L’octet le plus confidentiel est celui qui n’a jamais quitté ton téléphone.

Ce que signifie vraiment le local-first

Local-first veut dire que ton appareil est la source de vérité, pas une base de données dans le cloud. L’application lit et écrit d’abord en local, fonctionne entièrement hors ligne, et reste rapide parce qu’elle n’attend pas un aller-retour réseau pour chaque chose.

Dans Granyn, chaque dépense que tu enregistres est stockée sur ton appareil. Dans Hydrame, chaque verre d’eau aussi. Aucun compte à créer, aucun serveur de synchronisation qui reflète discrètement tes habitudes, aucun pipeline d’analyse qui reconstitue ton mois à partir de mille petits événements.

Ce n’est pas une fonctionnalité que je greffe à la fin. C’est une décision prise dès la première ligne, parce qu’elle change tout ce qui suit.

La confidentialité par l’architecture, pas par la promesse

Voici la différence qui compte. Une application cloud promet de protéger tes données. Une application local-first est structurellement incapable de faire un mauvais usage de données qu’elle ne possède pas.

Regarde les questions auxquelles une politique de confidentialité classique doit répondre :

  • Où mes données sont-elles stockées, et pour combien de temps ?
  • Qui peut y accéder en interne ?
  • Quels tiers les reçoivent ?
  • Que deviennent-elles si l’entreprise est vendue ou victime d’une fuite ?

Pour une application local-first, la plupart de ces questions se résument à une seule réponse : elles sont sur ton appareil. Pas d’accès interne parce qu’il n’y a pas de copie interne. Rien de significatif à faire fuiter en cas de violation d’un serveur. Si je fermais le studio demain, tes données seraient exactement là où elles ont toujours été — chez toi.

On ne peut pas perdre ce qu’on n’a jamais détenu.

Les compromis, en toute honnêteté

Je ne vais pas prétendre que le local-first est gratuit. Il ne l’est pas, et je préfère être direct sur ce qu’il coûte.

  • La synchronisation est plus difficile. Déplacer des données entre tes propres appareils sans serveur central est un vrai travail d’ingénierie. Quand je l’ajouterai, ce sera fait avec soin — idéalement chiffré de bout en bout, pour que même la synchronisation ne revienne pas à me confier tes données.
  • Les sauvegardes te reviennent (pour l’instant). Je m’appuie sur les systèmes de sauvegarde de la plateforme et je propose l’export, pour que tu ne sois jamais enfermé. Tes données sont à toi, dans un format que tu peux emporter ailleurs.
  • Certaines fonctionnalités exigent un serveur. Et c’est très bien — quand l’une d’elles en a réellement besoin, je le dirai clairement et je collecterai le strict minimum, rien de plus.

L’honnêteté sur les compromis fait partie du contrat. Les outils apaisés n’ont pas le droit d’escamoter les parties difficiles.

« Mais tu utilises Firebase et de la pub ? »

Question légitime. Certains services mobiles standard — rapports de plantage, analytics anonymisés basiques, publicités occasionnelles — peuvent traiter des données limitées, et je précise lesquelles exactement dans la politique de confidentialité. La ligne que je tiens est simple : le contenu que tu crées reste en local. Tes dépenses, tes journaux, tes réglages ne me sont jamais transmis. Les services de support voient tout au plus des signaux anonymisés et agrégés, et jamais les données personnelles elles-mêmes.

Pourquoi cela vaut l’effort

Construire ainsi est plus lent et parfois peu commode. Je le fais quand même, parce qu’une confidentialité qu’il faut croire sur parole est fragile, tandis qu’une confidentialité inscrite dans l’architecture est durable. L’une dépend à jamais de mon bon comportement. L’autre ne dépend pas de moi du tout.

C’est le genre de confidentialité que j’attendrais des applications sur mon propre téléphone. Alors c’est celle que je construis.