PrivacyNotes beta

Aide et FAQ

Réponses et guides pas à pas : sécurité, sync, prix et migration depuis d'autres applis.

// Premiers pas

Puis-je essayer PrivacyNotes sans créer de compte ?

Oui. La démo sur try.privacynotes.app est l'application complète avec des contenus d'exemple : pas d'inscription, pas d'e-mail, et rien de ce que tu tapes n'est enregistré. Elle tourne entièrement dans ton navigateur et n'envoie rien à nos serveurs.

Fermer l'onglet efface tout, et c'est exactement le but. Quand tu veux garder tes notes, crée un vrai coffre sur privacynotes.app. Le contenu de la démo n'est pas repris, alors copie d'abord ce que tu veux conserver.

Ai-je besoin d'une adresse e-mail pour m'inscrire ?

Non. Un nouveau compte, c'est une phrase de récupération de 12 mots fraîchement générée, rien d'autre. Pas d'e-mail, pas de nom d'utilisateur, pas de numéro de téléphone, pas d'étape de vérification. Si tu te connectes avec la phrase, on ne pourrait même pas t'écrire si on le voulait : on ne sait jamais qui tu es.

Tu préfères un parcours familier ? La connexion avec Google, Apple ou GitHub fonctionne aussi. Cette voie nous révèle forcément l'e-mail lié à ton compte chez le fournisseur, mais tes notes restent chiffrées de bout en bout dans tous les cas, et tu obtiens quand même une phrase sous le capot.

Comment importer mes notes depuis une autre appli ?

Ouvre Paramètres > Import et export et choisis ta source. Il existe des importateurs dédiés pour Apple Notes, Obsidian, Standard Notes, Google Keep, Simplenote, Samsung Notes et Bitwarden (identifiants, cartes et notes sécurisées atterrissent dans le Coffre), plus un importateur Markdown générique pour n'importe quel dossier de fichiers .md.

Les imports s'exécutent entièrement sur ton appareil : tes fichiers exportés sont lus, chiffrés et stockés localement, rien n'est envoyé pour traitement. Chaque note importée reçoit un tag avec sa source pour relire le lot ensuite, et les checklists Google Keep deviennent même de vraies listes de tâches.

L'éditeur comprend-il le Markdown ?

Oui. Tape du Markdown et il se met en forme en direct : # titres, **gras**, listes, - [ ] cases à cocher, citations et callouts. Les notes s'exportent aussi en Markdown propre, ce que tu écris reste donc portable.

Tu peux aussi relier tes notes entre elles : tape [[ et une autocomplétion propose tes notes existantes. Un note-link ouvre sa cible en un clic, et le panneau de plan plus la recherche dans la note gardent les longs documents navigables.

// Sécurité et confidentialité

Que peut voir PrivacyNotes de mes notes ?

Rien de lisible. Notes, titres, tags et pièces jointes sont chiffrés sur ton appareil avant de se synchroniser. Le serveur stocke un texte chiffré qu'il ne peut pas déchiffrer, et il n'existe aucune clé de notre côté pour changer ça.

Ce que nous voyons, c'est le minimum pour faire tourner le service : la quantité de stockage chiffré que tu occupes, le nombre d'appareils liés, et des horodatages de sync. Si tu te connectes avec une phrase plutôt qu'avec Google ou Apple, nous ne connaissons même pas ton adresse e-mail.

Pourquoi une phrase de récupération plutôt qu'un identifiant et un mot de passe ?

Ça semble contre-intuitif au début, mais une phrase de récupération unique est la construction la plus solide. Avec identifiant et mot de passe, l'identifiant n'est pas un secret (il apparaît dans toutes les fuites de données), toute la sécurité repose donc sur le mot de passe - et les mots de passe choisis par des humains plafonnent en moyenne à 30 ou 40 bits d'entropie. Ta phrase de 12 mots, ce sont 128 bits garantis, générés par ton appareil, jamais choisis par un humain et jamais réutilisés d'un autre site.

Il n'y a rien à perdre chez nous non plus. Un login par mot de passe implique que le serveur stocke au moins un hash de mot de passe, qui peut fuiter, être cassé ou hameçonné. Ta phrase ne quitte jamais ton appareil : elle dérive tes clés de chiffrement localement, et le serveur ne voit jamais que des données chiffrées. Il n'y a pas de hash à voler ni de réinitialisation de mot de passe à détourner.

Si taper 12 mots te paraît lourd : tu peux enregistrer la phrase dans ton gestionnaire de mots de passe en un geste (Paramètres > Sécurité > Ta phrase), et la connexion ressemble à n'importe quel login. Tu préfères la voie classique ? La connexion avec Google ou Apple marche aussi, et tu obtiens quand même une phrase sous le capot.

Puis-je choisir mon propre équilibre entre confort et confidentialité ?

Oui, et c'est voulu. Tout le monde ne se défend pas contre les mêmes menaces, le modèle de compte est donc une échelle plutôt qu'un dogme unique. À chaque barreau, tes notes restent chiffrées de bout en bout ; ce qui change, c'est qui détient la clé et ce que nous savons de toi.

Le bout confortable : connecte-toi avec Google, Apple ou GitHub et choisis "Keep it simple" quand on te le propose. Nous conservons ta phrase de récupération pour toi, chiffrée au repos sur notre serveur : chaque appareil se connecte avec ton seul compte fournisseur, et il n'y a rien à sauvegarder ni à perdre. Le prix honnête : nous connaissons l'e-mail derrière ton compte fournisseur, et un serveur totalement compromis pourrait en principe exposer la clé conservée. Si ta menace réaliste est de perdre tes propres identifiants plutôt qu'une intrusion ciblée, l'échange est raisonnable.

Le milieu : connecte-toi avec un fournisseur mais choisis "Maximum privacy". Ta phrase ne touche jamais nos serveurs et le chiffrement est entièrement zero-knowledge ; un nouvel appareil demande la phrase ou un scan QR depuis un appareil déjà connecté. Nous connaissons forcément encore ton e-mail fournisseur, mais nous ne pourrions pas lire une seule note, même sous contrainte.

Le bout privé : ignore les fournisseurs et n'utilise que la phrase de 12 mots. Pas d'e-mail, pas de nom, pas d'identité - et associé à un achat Pro anonyme, même payer ne laisse ton nom nulle part. En échange, la garde de la clé t'appartient entièrement : perds la phrase sans plus aucun appareil connecté, et personne ne peut aider.

Le cliquet ne tourne que dans un sens : tu peux passer à tout moment de la garde par nos soins à l'auto-garde (nous supprimons notre copie de ta phrase), mais il n'existe aucun retour discret en arrière. Et chaque barreau accepte les protections locales en plus : verrouillage de l'appli par PIN, déverrouillage biométrique et protection par note.

Une phrase de 12 mots est-elle assez sûre ? Pourquoi pas 24 comme les portefeuilles Bitcoin ?

Oui, 12 mots suffisent. Une phrase BIP-39 de 12 mots encode 128 bits d'entropie. Casser 128 bits par force brute n'est pas un problème du type "il faut un plus gros ordinateur", mais du type "il faut plus d'énergie que l'humanité n'en produit". Aucune attaque réaliste ne casse 128 bits tout en échouant à 256.

La comparaison avec Bitcoin montre justement pourquoi 24 mots relèvent surtout du marketing : les clés Bitcoin vivent sur la courbe secp256k1, qui n'offre elle-même qu'environ 128 bits de sécurité. Une phrase de 24 mots injecte 256 bits d'entropie dans une serrure qui ne demande toujours qu'environ 128 bits de travail pour céder. C'est aussi pour ça que beaucoup de grands portefeuilles restent par défaut à 12 mots.

PrivacyNotes vise le même niveau de sécurité 128 bits de bout en bout : ta phrase passe par une fonction de dérivation de clé, et le chiffrement qu'elle protège (XChaCha20-Poly1305) est calibré pareil. Passer à 24 mots doublerait ce que tu notes et tapes sans aucun gain pratique de sécurité, nous ne prévoyons donc pas de le proposer.

Les vrais points faibles de toute phrase de récupération sont le phishing et l'endroit où tu ranges le papier, pas sa longueur. Protège la phrase elle-même et 12 mots nous survivront à tous.

Si quelqu'un devine mes 12 mots, peut-il se connecter à mon compte ?

Réponse courte : oui. Ta phrase est la clé, donc quiconque la détient peut se connecter, exactement comme quiconque tient la clé de ta maison peut ouvrir ta porte. C'est voulu : c'est l'unique clé maîtresse de tes notes, et rien de plus faible ne se dresse devant. La vraie question n'est donc pas de savoir si détenir la phrase donne accès (oui), mais si quelqu'un pourrait la deviner - et là, la réponse est non, avec aucun ordinateur existant ou prévisible.

Voici l'échelle. Une phrase de 12 mots est une possibilité parmi 2^128 : environ 340 sextillions, un nombre à 39 chiffres (3,4 x 10^38). La probabilité de deviner la tienne du premier coup est de 1 sur 340 sextillions - moins probable que de gagner quatre fois de suite un jackpot de loterie à 1 sur 300 millions. La traiter comme une recherche plutôt qu'un coup de chance n'aide pas : même à un milliard de milliards de tentatives par seconde (10^18, bien au-delà de tout matériel réel, États compris), tout parcourir prendrait environ 10 000 milliards d'années, près de 800 fois l'âge actuel de l'univers. Et c'est la version fantasmée, car chaque tentative réelle doit traverser une dérivation de clé volontairement lente, et toute attaque en ligne doit passer par nos serveurs - ce qui ralentit le vrai essai de plusieurs ordres de grandeur supplémentaires. Le procédé n'a d'ailleurs rien d'inédit : la même construction 128 bits sécurise les portefeuilles Bitcoin depuis plus d'une décennie, et personne n'en a jamais deviné un.

On est tenté d'imaginer la phrase comme un mot de passe, qu'on renforcerait avec des majuscules, des chiffres et des symboles. Une phrase de récupération ne marche pas comme ça, et tu ne dois jamais essayer d'en construire ou d'en modifier une à la main. Ton appareil génère 128 bits d'aléa cryptographiquement sûr et les encode en 12 mots issus d'une liste publique fixe de 2048 mots : cet aléa est toute la force. Le dernier mot porte même une somme de contrôle intégrée, une phrase mal tapée ou inventée est donc rejetée d'emblée. L'ordre des mots compte, la casse non (nous la normalisons à la connexion), et ajouter des symboles ne ferait que rendre la phrase invalide. Tape les mots exactement comme ils t'ont été donnés.

Pourquoi n'y a-t-il pas d'authentification à deux facteurs (2FA) ?

Parce que c'est un arbitrage délibéré, pas un oubli. La 2FA familière - code par SMS ou appli d'authentification - existe pour consolider des mots de passe faibles choisis par des humains, et elle repose sur un secret partagé et un chemin de récupération hébergés sur un serveur. C'est exactement la surface d'attaque que le modèle à phrase supprime : ton appareil prouve qu'il détient la clé en signant un défi, nos serveurs ne reçoivent donc jamais qu'une clé publique et une signature - jamais la phrase, jamais un hash de mot de passe. Boulonner un code par-dessus réintroduirait la machinerie serveur que ce design évite précisément, sans rien apporter contre la devinette, puisque 128 bits ferment déjà cette porte.

Le seul second facteur qui apporterait vraiment quelque chose est un facteur résistant au phishing, comme une clé de sécurité matérielle ou une passkey, car les vrais risques résiduels ne sont pas la devinette mais le phishing, les malwares et une phrase volée ou lue par-dessus ton épaule. Sur un appareil laissé déverrouillé, le verrouillage de l'appli (PIN) et le déverrouillage biométrique sont le garde-fou local.

Au-delà, la phrase est la clé, alors sauvegarde-la le jour où tu crées ton compte : range-la dans un gestionnaire de mots de passe sérieux, ou imprime-la ou écris-la et garde cette copie en lieu sûr. Et ne la colle jamais ailleurs que dans l'appli elle-même.

Utilisez-vous la même liste de mots que les portefeuilles Bitcoin (BIP-39) ?

Oui, la liste BIP-39 standard (anglaise) : 2048 mots, exactement la même liste que les portefeuilles Bitcoin. Nous générons les phrases avec @scure/bip39, une bibliothèque open source auditée. Pas de liste maison ni de crypto bricolée.

La liste est conçue pour l'écriture à la main : les quatre premières lettres de chaque mot sont uniques, un mot bavé ou abrégé reste donc sans ambiguïté, et les mots visuellement proches ont été volontairement exclus.

Comme c'est la liste standard, tu peux vérifier ta phrase contre n'importe quelle référence BIP-39 publique, et notre couche de chiffrement est publiée en open core, tu peux donc contrôler l'implémentation toi-même.

La recherche dans mes notes envoie-t-elle quelque chose à vos serveurs ?

Non. La recherche interroge un index plein texte construit et stocké sur ton appareil. Les requêtes ne le quittent jamais, les résultats s'affichent même sans aucune connexion, et rien de ce que tu cherches n'est jamais transmis.

Ce n'est pas une politique que nous pourrions discrètement inverser, c'est imposé par l'architecture : le serveur ne détient que du texte chiffré, il n'y a donc rien de lisible de notre côté à indexer ou à fouiller. Un serveur qui ne peut pas lire tes notes ne peut pas non plus les chercher.

PrivacyNotes utilise-t-il de l'IA sur mes notes ?

Non. Il n'y a aucune fonction d'IA dans l'appli, aucun traitement d'IA en arrière-plan et aucun entraînement de modèle sur tes contenus. Tes notes sont chiffrées avant de quitter ton appareil - il n'y a donc rien de lisible sur nos serveurs à donner à quoi que ce soit.

Si nous construisons un jour une fonction dans cette direction, elle devra tourner entièrement sur ton appareil et être strictement opt-in. Envoyer des notes en clair à un modèle cloud briserait la promesse zero-knowledge, c'est donc hors de question.

Que sont les burn notes ?

Une burn note est un moyen autodestructeur de partager une note avec quelqu'un qui n'utilise pas PrivacyNotes. L'appli chiffre le contenu avec une clé à usage unique et te donne un lien. La clé voyage dans le fragment du lien, que les navigateurs n'envoient jamais aux serveurs - notre serveur stocke donc un texte chiffré qu'il ne peut pas lire.

À la première ouverture du lien, le serveur livre le texte chiffré et le supprime dans le même geste : une lecture, puis c'est parti. Les liens jamais ouverts expirent d'eux-mêmes après 24 heures. Dans tous les cas, rien ne traîne.

PrivacyNotes est-il open source ?

Les parties qui te protègent le sont déjà. Le code de chiffrement, le schéma de base de données et le modèle de menace sont publiés en open core : chacun peut auditer comment tes notes sont sécurisées au lieu de nous croire sur parole.

Les applis suivent. Une fois les applis natives livrées sur toutes les plateformes, nous ouvrirons le code des clients (web, desktop et mobile). La seule pièce qui reste fermée est le backend de sync, et il ne détient jamais que des données chiffrées que nous ne pouvons pas lire. Le garder privé ne te coûte rien en confidentialité, mais empêche quiconque de cloner tout le service et de faire passer notre travail pour le sien. Ouvert là où ça te protège, fermé là où ça nous protège.

// Compte et récupération

J'ai perdu ma phrase de récupération. Pouvez-vous récupérer mon compte ?

Si tu es encore connecté sur n'importe quel appareil : oui, tu peux la récupérer toi-même. Ouvre Paramètres > Sécurité > Ta phrase et enregistre-la tout de suite dans ton gestionnaire de mots de passe.

Si tu n'as plus ni appareil connecté ni phrase : non, et personne ne le peut. Ta phrase n'atteint jamais nos serveurs, il n'y a donc rien à réinitialiser et aucun ticket de support qui puisse aider. Ce n'est pas une règle que nous pourrions assouplir - c'est la définition même du chiffrement de bout en bout. Tout service capable de restaurer tes données chiffrées après une perte totale détient tes clés.

La précaution coûte dix secondes : range la phrase dans un gestionnaire de mots de passe le jour où tu crées ton compte.

Je me connecte avec Google ou Apple. Et si je perds l'accès à ce compte ?

Tu as quand même une phrase de 12 mots sous le capot, et la phrase seule te connecte sur n'importe quel appareil - sans Google ni Apple. Ouvre Paramètres > Sécurité > Ta phrase et enregistre-la dans ton gestionnaire de mots de passe.

Fais-le une fois, et perdre le compte du fournisseur ne te coûte rien : tu te connectes simplement avec la phrase à la place.

J'ai oublié mon PIN. Mes données sont-elles perdues ?

Non. Le PIN est un verrou de confort contre les regards indiscrets sur ton propre appareil, pas une clé de chiffrement. Tes notes sont chiffrées avec des clés dérivées de ta phrase de récupération, et la phrase donne toujours l'accès complet, sans aucun PIN.

C'est un choix de conception délibéré : lier le chiffrement à un PIN à 4 chiffres signifierait qu'un PIN oublié détruit des données. Ça n'arrive jamais ici.

Comment supprimer mon compte ?

Dans l'appli : Paramètres > ID & Sync, puis "Supprimer le compte et les données". Cela retire définitivement du serveur tes notes synchronisées, fichiers, appareils, réglages et le compte lui-même. Il n'y a ni délai de rétention ni sauvegarde que nous pourrions restaurer ensuite - exporte donc d'abord ce que tu veux garder (Paramètres > Import et export).

Deux détails : un abonnement de stockage actif doit être résilié avant la suppression (un abonnement déjà programmé pour s'arrêter ne bloque pas), et comme un compte à phrase n'a jamais contenu d'e-mail ni de nom, il n'y a aucun profil ni liste marketing à nettoyer. Effacer les données locales d'un appareil est une action séparée qui ne touche pas ton compte.

// Sync et appareils

Qu'est-ce qui se synchronise exactement entre mes appareils, et qu'est-ce qui reste local ?

Tout ce que tu attends, chaque élément chiffré sur ton appareil avant la sync : notes, tâches, entrées de journal, ton coffre et les fichiers chiffrés qu'il contient. Tes réglages te suivent aussi - tags favoris, préférences de tri et d'affichage, thème de couleur, ton PIN (sous forme de hash salé, jamais le PIN lui-même), verrouillage de l'appli, configuration des trackers et médicaments, et vidage automatique de la corbeille. Configure une fois, chaque appareil suit.

Quelques éléments restent volontairement locaux : mode clair ou sombre (chaque appareil suit son propre réglage système), déverrouillage biométrique (lié au matériel de chaque appareil) et ton état de déverrouillage (fermer l'appli reverrouille toujours). Le serveur ne stocke jamais que des blobs chiffrés et ne peut rien en lire.

PrivacyNotes fonctionne-t-il hors ligne ?

Oui. L'appli est local-first : tes notes vivent dans une base de données sur ton appareil, donc lire, écrire et chercher fonctionnent sans aucune connexion. Les changements se synchronisent automatiquement dès que tu repasses en ligne.

Que se passe-t-il si je modifie la même note sur deux appareils en même temps ?

Rien n'est écrasé en silence. Si les deux appareils ont modifié la même note chacun de leur côté (l'un étant hors ligne, par exemple), l'appli détecte la collision à la sync suivante et affiche un dialogue de conflit : garder la version de cet appareil, garder l'autre, ou garder les deux comme notes séparées.

Au quotidien, tu le verras rarement. En ligne, les modifications se synchronisent en quelques secondes, et le dialogue n'apparaît que quand deux versions de la même note ont réellement divergé.

Comment retirer un appareil que je n'utilise plus ?

Paramètres > Compte liste chaque appareil enregistré. Retire celui que tu mets au rebut : la place se libère immédiatement (utile dans l'offre gratuite à 2 appareils), et l'appareil retiré est déconnecté à sa prochaine tentative de sync. Il reste visible 72 heures sous "Récemment retirés", pour que tu confirmes qu'il a bien disparu.

Une précision honnête : le retrait n'est pas une frontière de sécurité en soi, car quiconque détient ta phrase de récupération peut se reconnecter. Si un appareil a été perdu ou volé, c'est la phrase qu'il faut protéger - et le verrouillage de l'appli (PIN ou biométrie) est ce qui empêche un appareil retrouvé d'être une porte ouverte.

// Tes données

Où mes données sont-elles stockées ?

D'abord sur ton appareil - c'est cette copie que tu utilises réellement. La copie de sync vit sur des serveurs à Zurich, en Suisse.

Comme tout est chiffré avant de quitter ton appareil, l'emplacement du serveur est un bonus plutôt qu'une promesse porteuse : les données synchronisées seraient illisibles où qu'elles se trouvent.

Puis-je exporter mes notes, ou suis-je enfermé ?

Tu peux tout exporter à tout moment, entièrement généré sur ton appareil : des fichiers Markdown dans un zip avec les pièces jointes, une sauvegarde JSON complète, ou du HTML autonome - par note ou pour tout le compte.

L'import marche aussi : rapatrie tes notes depuis Obsidian, Apple Notes, Google Keep, Standard Notes, Simplenote et Samsung Notes. L'enfermement ne fait pas partie du modèle économique.

Quels fichiers puis-je joindre, et quelle taille peuvent-ils faire ?

N'importe quel type de fichier : images, PDF, audio, archives, tout ce que tu déposes. Chaque fichier est chiffré sur ton appareil avant l'envoi, exactement comme le texte des notes, et la vue Fichiers rassemble toutes les pièces jointes au même endroit.

La limite par fichier est de 5 MB dans l'offre gratuite et de 50 MB avec Pro. Les fichiers comptent dans ton stockage de sync total (50 MB gratuit, 500 MB avec Pro, extensible à 5,5 GB avec les extensions de stockage), et la barre de stockage dans Paramètres > Stockage montre toujours où tu en es.

Qu'est-ce que le Coffre ?

Le Coffre est un espace dédié aux secrets structurés : identifiants avec nom d'utilisateur et mot de passe, cartes de crédit et de débit, et clés SSH. Les entrées ont de vrais champs plutôt que du texte libre, les identifiants affichent l'icône du site, et tout est chiffré de bout en bout comme le reste de tes données.

Il offre un foyer rangé et protégé à la poignée d'identifiants qui finissent sinon éparpillés dans les notes. Combine-le avec le verrouillage de l'appli et la protection PIN pour une seconde barrière devant tes entrées les plus sensibles. Un import Bitwarden atterrit ici automatiquement.

Quelle longueur peut faire une note, et que signifient les avertissements de taille ?

Écris autant que tu veux - pour des notes normales, la taille ne se pose jamais. Quand une note grossit vraiment beaucoup, une petite indication apparaît dessous et monte en trois paliers : vers 50 000 mots, elle signale que la note devient longue et pourrait ramer sur des appareils lents ; vers 75 000 mots, elle passe à l'ambre, la frappe peut commencer à accrocher ; et vers 100 000 mots, elle suggère de scinder la note car tu approches de la limite de sync. Ce sont des repères, pas des arrêts durs - rien ne t'empêche de continuer.

Cette limite de sync est le seul vrai plafond. Une note peut contenir environ 1 MB de texte une fois chiffrée - très grossièrement 120 000 mots d'anglais courant, moins avec une écriture non latine ou beaucoup de mise en forme. Une note au-delà continue de fonctionner et reste en sécurité sur l'appareil où tu l'as écrite, mais cette note-là ne se synchronisera plus vers tes autres appareils (tu verras un avis "échec de la sync"). Le reste de tes notes n'est pas affecté : une note trop grosse ne bloque jamais rien d'autre.

La solution est simple : découpe une très longue note en quelques plus petites. Le contenu est identique, la sync passe sans souci, et l'éditeur reste rapide. Un compteur de mots en direct sous chaque note te laisse surveiller la taille en écrivant. Et si tu comptais tester où se trouve le mur : plus besoin.

Qu'arrive-t-il à mes notes si PrivacyNotes ferme ?

Tu ne perds rien. L'intégralité des données est déjà sur ton appareil puisque l'appli est local-first, et l'export en Markdown, JSON ou HTML fonctionne entièrement hors ligne.

La couche de chiffrement est en plus publiée en open core : le format reste lisible de façon indépendante, même dans un monde où nos serveurs disparaîtraient du jour au lendemain.

// Prix et Pro

Qu'est-ce qui est gratuit et qu'est-ce qui est Pro ?

Le gratuit est le produit complet, pas un amuse-bouche : notes, tâches, journal et coffre chiffrés de bout en bout, usage hors ligne, import et export - sur jusqu'à 2 appareils avec 50 MB de stockage de sync.

Pro est un achat unique qui ajoute des appareils illimités, 500 MB de stockage de sync (extensible), l'historique de versions des notes, des pièces jointes plus grandes, le verrouillage de notes et la protection PIN, le suivi bien-être avancé, le mode zen et tous les thèmes de couleur.

Comment un paiement unique peut-il financer un service de sync pour toujours ?

Parce que le service est volontairement peu coûteux à faire tourner. L'appli est local-first et les notes sont de petits blobs chiffrés : le serveur ne fait guère plus que les stocker et les relayer entre tes appareils. Pas de pipeline d'analytics, pas de fonctions d'IA qui brûlent du calcul, pas de service client.

Le seul coût qui grandit avec le temps est le stockage, et il est tarifé en conséquence : le stockage au-delà des 500 MB inclus est une petite extension annuelle. Les coûts uniques se paient une fois, les coûts récurrents se paient en récurrent. Le modèle doit seulement s'autofinancer, et c'est le cas.

J'ai acheté Pro sur une plateforme. L'ai-je partout ?

Oui. Pro est rattaché à ton compte, pas à un appareil, une plateforme ou une boutique. Achète-le une fois, connecte-toi avec la même phrase (ou le même login Google, Apple ou GitHub) n'importe où, et Pro y est actif aussi.

Y compris sur les plateformes qui n'existent pas encore : quand une nouvelle appli sort, ton Pro existant l'accompagne sans surcoût.

Comment fonctionnent les extensions de stockage ?

Pro inclut 500 MB de stockage de sync chiffré. S'il t'en faut plus, des forfaits s'empilent par-dessus : 1 GB pour $4.80 par an, 2 GB pour $8.40, ou 5 GB pour $18, jusqu'à 5,5 GB au total. Les extensions sont le seul achat récurrent du produit, car le stockage est la seule chose qui nous coûte de l'argent chaque mois où tu l'utilises.

Tout se gère dans Paramètres > Stockage : passe à un forfait plus grand (tu ne paies que la différence au prorata) ou résilie quand tu veux et garde l'espace jusqu'à la fin de la période payée. Pro, lui, reste à toi pour toujours dans tous les cas.

Quelle est la politique de remboursement ?

30 jours, sans poser de questions. Si Pro n'est pas fait pour toi, demande un remboursement complet dans les 30 jours suivant l'achat et il repart sur le moyen de paiement d'origine. Les clients de l'UE conservent en plus leur droit de rétractation légal de 14 jours.

Les paiements sont traités par Paddle, notre merchant of record, les remboursements sont donc gérés directement par Paddle : réponds à l'e-mail de reçu de ton achat ou visite paddle.net. La politique complète se trouve dans les conditions d'utilisation.

Qu'apprenez-vous sur moi quand je paie ?

Moins que tu ne l'imagines. Le paiement passe par Paddle, le merchant of record : ton nom, ton numéro de carte et ton adresse de facturation vont chez Paddle pour le paiement et les taxes, et ne touchent jamais nos serveurs.

Ce qui nous parvient, c'est la confirmation que la clé publique de ton compte est désormais Pro, plus le montant de la commande. La relation de facturation, y compris l'e-mail de reçu saisi au paiement, reste chez Paddle. Un compte à phrase seule reste donc pseudonyme pour nous, même en client payant : nous savons que tu as payé, pas qui tu es.

Puis-je acheter Pro sans révéler qui je suis ?

Oui, avec deux outils standards. Pour le reçu, utilise un alias e-mail : Apple Hide My Email, DuckDuckGo Email Protection, SimpleLogin, Firefox Relay ou addy.io transfèrent tous vers ta vraie boîte sans l'exposer. Pour le paiement, utilise une carte masquée : privacy.com aux États-Unis génère des cartes virtuelles qui acceptent n'importe quel nom, et beaucoup de banques et services ailleurs (Revolut, par exemple) proposent des cartes virtuelles jetables qui font le même travail.

Au paiement, Paddle demande un e-mail, un moyen de paiement et un pays (plus un code postal dans certaines régions) pour calculer la taxe. L'alias reçoit le reçu, la carte masquée porte le nom que tu lui as donné, et la localisation fiscale ne te situe qu'à l'échelle d'une région, rien de plus. Garde l'alias vivant, cela dit : l'e-mail de reçu est ta preuve d'achat et ton canal de remboursement.

Combiné à un compte à phrase, aucune partie ne détient au final le tableau complet : ta banque voit une recharge de carte, Paddle voit un alias et une carte masquée, et nous voyons seulement qu'une clé publique est passée Pro.

// Applis et plateformes

Sur quelles plateformes PrivacyNotes fonctionne-t-il ?

Web, macOS, Windows, Linux et Android aujourd'hui, iOS arrive bientôt. Chaque appli est bâtie sur le même cœur avec le même chiffrement de bout en bout et se synchronise via le même compte. La section téléchargements a toujours les derniers builds.

L'appli web est un citoyen de première classe, pas une roue de secours : elle garde une copie locale complète de tes données et fonctionne hors ligne - n'importe quel navigateur moderne est donc toujours une porte d'entrée.

L'appli Android se met-elle à jour toute seule ?

Si tu l'as installée depuis le Google Play Store : oui, elle se met à jour toute seule comme tes autres applis. Si tu l'as téléchargée directement depuis notre site, ton téléphone ne la mettra pas à jour automatiquement - c'est simplement ainsi qu'Android traite les applis qui ne viennent pas du Play Store.

À la place, l'appli vérifie les nouvelles versions et affiche un message "Nouvelle version disponible" dès qu'une est prête. Touche-le, et la mise à jour s'installe par-dessus l'ancienne version, avec toutes tes notes et réglages intacts. La vérification ne cherche qu'une version plus récente, elle ne touche jamais tes notes, qui restent chiffrées tout du long.

Quelles langues parle l'appli ?

Anglais, allemand, français, italien, espagnol et portugais brésilien. L'appli suit ta langue système par défaut, ou tu en fixes une explicitement dans Paramètres > Langue sur chaque appareil.

Les traductions sont gratuites pour tout le monde, pas un avantage Pro. D'autres langues sont prévues ; si la tienne manque, dis-le-nous sur GitHub ou Reddit.