Confidentialité par l'architecture

Aucune donnée personnelle ne quitte l'appareil. Par conception, pas par promesse.

Tassello capture la structure de votre app — jamais son contenu. Cette page explique exactement ce qui est collecté et ce qui ne l'est pas, dans chaque mode.

« Data Not Collected » — par défaut

Dans le mode balanced par défaut (et en strict), le SDK ne capture aucune donnée personnelle, si bien que votre étiquette de confidentialité App Store affiche « Data Not Collected ». L'auto-rédaction s'exécute avant que quoi que ce soit ne quitte l'appareil, et le backend rescanne les données personnelles à l'arrivée comme seconde ligne de défense — si jamais une correspondance apparaît, l'événement est supprimé et une alerte se déclenche.

Ce que nous capturons — et ce que nous ne faisons jamais

Les wireframes sont des boîtes, des types et des positions. Jamais de pixels, jamais de contenu textuel, jamais vous.

Capturé

clean
  • Structure de l'écran — boîtes de wireframe, types d'éléments et positions
  • Interactions anonymes — taps, défilements et événements personnalisés
  • Fils d'Ariane réseau — méthode et hôte seulement, après rédaction
  • Identifiant d'appareil anonyme — un UUID aléatoire stocké dans le Keychain
  • Rapports de plantage — symboles et frames de pile, dans chaque mode

Jamais capturé

never
  • Le texte utilisateur ou le contenu dynamique affiché à l'écran
  • La saisie de texte ou le contenu de TextField / SecureField
  • Les images, pixels ou captures d'écran de tout type
  • E-mail, téléphone, carte bancaire ou IBAN — auto-rédigés sur l'appareil
  • IDFA, IDFV ou localisation précise
  • Les corps de requête ou de réponse réseau

Trois modes, un seul bouton

Réglé une fois au démarrage. L'auto-rédaction s'exécute dans tous, quel que soit le choix.

.strict

Confidentialité maximale

Événements anonymes uniquement — aucun wireframe ni texte. Toujours « Data Not Collected ».

.balanced

Par défaut

Structure en wireframe capturée, tout le texte supprimé. Le juste milieu — et toujours « Data Not Collected ».

.standard

Insight maximal

Ajoute les labels d'interface statiques comme les titres de boutons et les en-têtes. Déclare « User Content » sur votre étiquette.

Stockage exclusivement dans l'UE, sous-traitants transparents

Tout le stockage principal — Postgres, blobs R2 et Redis — réside dans l'UE (Francfort). La génération d'insights s'exécute sur Claude d'Anthropic aux États-Unis, sous clauses contractuelles types, et ne voit jamais que des wireframes et des séquences d'événements anonymisés qui ne portent aucune donnée personnelle dans les modes par défaut et strict.

Sous-traitants

Sous-traitantLocalisationFinalité
AnthropicÉtats-UnisAPI Claude pour la génération d'insights — données anonymisées uniquement, sous CCT
DigitalOceanUE (Francfort)Calcul et stockage Postgres / Redis managé
CloudflarePoints de présence UEStockage des blobs de wireframe R2 et CDN
PostmarkÉtats-UnisE-mails transactionnels — adresse et métadonnées de compte uniquement, sous CCT / DPA

L'ajout d'un sous-traitant nécessite un préavis au client conformément au DPA.

Vos données, votre décision

L'export et la suppression RGPD sont intégrés au SDK et au tableau de bord. Insights.exportUserData() renvoie les données d'un utilisateur sur demande, et Insights.requestDataDeletion() les marque comme supprimées immédiatement et les purge sous 30 jours. Pas de dark patterns, pas d'attente du support.