Vos finances ne quittent jamais votre téléphone.

Cette page n'est pas le texte juridique RGPD — pour ça, voyez la politique de confidentialité. C'est la doctrine produit : pourquoi nous avons choisi le 100% local, comment c'est implémenté, et ce contre quoi cette architecture vous protège (ou non).

Ce que Sandouq stocke (SQLite local, chiffré par Android)

Toutes les données que vous saisissez dans Sandouq sont écrites dans une base de données SQLite embarquée dans le dossier privé de l'application :

• Transactions : montant, devise, catégorie, date, note, compte associé.
• Comptes : nom, type (espèces, courant, épargne, dette), solde initial.
• Catégories et budgets : alimentation, transport, Sadaqah, famille, vos catégories personnalisées.
• Objectifs d'épargne, données religieuses : configuration Zakat, historique Sadaqah, dates Hijri marquées, choix de Nisab.
• Préférences : langue, devise, thème, format de date.

Ce fichier SQLite réside dans le sandbox privé d'Android (/data/data/app.sandouq/databases/). Sur Android 8.0+, le système chiffre le stockage interne au repos : la clé est dérivée de votre code PIN ou empreinte. Aucune autre application ne peut lire ce fichier sans accès root.

Nous ne posons pas de chiffrement applicatif par-dessus, parce que ce serait un faux sentiment de sécurité : la clé devrait vivre quelque part sur le téléphone pour que l'app puisse l'utiliser. La protection réelle vient du sandbox Android + de votre verrouillage d'écran. C'est la même approche que Signal pour ses méta-données locales.

Ce qui n'existe pas : pas de serveur, pas de compte, pas d'email demandé

La meilleure manière de protéger une donnée, c'est de ne jamais la collecter. Sandouq pousse ce principe à l'extrême :

• Aucun serveur backend. Il n'existe pas d'api.sandouq.app. Si nos serveurs étaient piratés demain, l'attaquant ne trouverait rien sur vous — il n'y a rien à trouver.
• Aucun compte à créer. Pas de mot de passe, pas d'email, pas de téléphone, pas d'OAuth Google ou Apple. Vous installez, vous ouvrez, vous utilisez.
• Aucun email demandé. Ni pour s'inscrire, ni pour « récupérer » quoi que ce soit. La seule fois où vous nous écrivez, c'est si vous envoyez un retour à [email protected].
• Aucune télémétrie d'usage. Nous ne savons pas combien d'écrans vous ouvrez, ni à quelle heure vous notez vos dépenses. Aucun SDK analytique (Firebase, Amplitude, Mixpanel, AppsFlyer : tous absents).
• Aucun SDK publicitaire. Pas d'AdMob, pas de Meta Audience Network, pas de pixel de retargeting. L'app n'affichera jamais de publicité.

Mettez votre Pixel en mode avion juste après l'installation : l'application fonctionne intégralement. La seule connexion utile est la vérification d'achat « Étendre Sandouq » auprès de Google Play, qui ne transmet aucune donnée financière.

Pourquoi nous refusons la connexion bancaire — décision, pas limitation

Beaucoup d'utilisateurs nous écrivent en pensant que la connexion bancaire est « à venir ». Non : nous l'avons explicitement écartée. Voici pourquoi.

1. C'est incompatible avec une app sans serveur. Connecter un compte via un agrégateur (Plaid, Tink, Bridge, Budget Insight) implique de stocker des jetons OAuth. Les héberger sur le téléphone seul est trop fragile ; les héberger sur un serveur impose d'avoir un serveur, donc un compte, donc une cible. Le 100% local et la connexion bancaire sont mutuellement exclusifs.

2. C'est une délégation de confiance massive. Connecter votre compte à un agrégateur donne à un tiers un accès lecture permanent à l'historique de vos transactions. C'est l'inverse de ce que nous voulons construire.

3. Pour beaucoup de familles MENA, ce n'est pas applicable. Au Maroc, en Algérie, en Égypte ou dans une partie du Golfe, l'open banking n'est pas mûr, et une part significative des revenus circule en cash, en transferts informels, ou via des produits de finance non conventionnelle. Une app qui en dépend exclut cette audience.

4. La saisie manuelle est une fonctionnalité. Noter vos dépenses force la conscience financière — les études comportementales sont constantes là-dessus. Sandouq compense en rendant la saisie ultra-rapide (3 taps pour une dépense type) et avec les transactions récurrentes pour les charges fixes.

Changer de téléphone sans rien perdre : la sauvegarde JSON manuelle

Conséquence directe du local : pas de sync cloud automatique. Si vous changez de téléphone sans précaution, vos données restent sur l'ancien appareil. C'est honnête à dire — et nous fournissons l'outil : l'export JSON.

Depuis Paramètres → Sauvegarde, Sandouq génère un fichier .json qui contient l'intégralité de votre base. Ce fichier :

• Vous appartient. Vous décidez où le placer : Google Drive, OneDrive, clé USB, carte SD, email à vous-même, NAS familial.
• Reste lisible. Format JSON standard, ouvrable dans n'importe quel éditeur de texte. Aucun lock-in.
• Restaure à l'identique. Sur le nouvel appareil, installez Sandouq, ouvrez Paramètres → Restauration, sélectionnez le fichier. Tout revient — 10 000 transactions ou 50.
• Versionné par schéma. Un export ancien restauré dans une version récente déclenche les migrations automatiquement.

Notre recommandation : exportez fin de mois, en même temps que vous vérifiez vos catégories. Un rappel mensuel optionnel existe. Si l'idée d'une sauvegarde automatique vers votre cloud vous intéresse, c'est dans la roadmap v2 — pas le nôtre, le vôtre.

Rapports de crash Sentry : opt-in et anonymisés

Une seule exception au « zéro transmission » : les rapports d'erreur. Quand l'app plante, nous avons besoin de savoir où et pourquoi. Nous utilisons Sentry avec trois garde-fous :

• Désactivé par défaut. Au premier lancement, l'envoi de crash reports est OFF. À activer dans Paramètres → Confidentialité → Aide à l'amélioration.
• Contenu strictement technique. Stack trace (fichier, ligne, type), version Android (ex. « Android 14 »), modèle (ex. « Pixel 7a »), version d'app. Aucune transaction, aucun nom de compte, aucun montant ne transitent — les breadcrumbs susceptibles de contenir de la donnée utilisateur sont strippés à la source.
• Réversible à tout moment. Désactivez le bouton, l'envoi s'arrête.

Pourquoi Sentry et pas « rien du tout » ? Une app livrée sans télémétrie de crash est une app qui plante et que personne ne répare. Le compromis assumé : opt-in explicite, données techniques uniquement, fournisseur identifié — même approche que Standard Notes, Bitwarden mobile, Signal Android.

Modèle de menace : ce contre quoi Sandouq vous protège (et ce contre quoi non)

Toute promesse de sécurité sans modèle de menace explicite est du marketing. Voici la réalité.

Ce contre quoi le 100% local vous protège

• Fuites de données massives côté éditeur. Aucun enregistrement côté éditeur, donc rien à perdre lors d'une intrusion serveur.
• Revente à des courtiers de données. Beaucoup d'apps gratuites de budget revendent l'historique agrégé. Comme nous n'avons pas vos données, ce business est mécaniquement exclu.
• Profilage publicitaire. Aucun SDK pub embarqué : Meta, Google Ads, TikTok n'apprennent rien de votre comportement financier via Sandouq.
• Changement de politique unilatéral. Une app qui possède vos données peut changer ses CGU pour les exploiter autrement. Nous ne pouvons pas faire ça.
• Discontinuité de service. Si l'éditeur disparaît demain, votre app continue à tourner sur votre téléphone, indéfiniment.

Ce contre quoi le 100% local ne vous protège PAS

• Téléphone perdu ou volé sans verrouillage. Si quelqu'un attrape un Pixel déverrouillé, il voit tout. Activez un code PIN ou empreinte — au minimum.
• Malware avec accès root. Un appareil compromis peut lire la base SQLite. Gardez Android à jour.
• Sauvegarde JSON dans un cloud mal sécurisé. Un export .json dans un Google Drive sans 2FA devient le maillon faible. Traitez-le comme un document bancaire.
• Quelqu'un derrière votre épaule. Le local protège des serveurs, pas du voisin. L'app propose un mode confidentiel qui masque les montants.
• Erreurs de calcul religieux. Nisab, Zakat et conversions Hijri sont des aides, pas des fatwas — voyez nos conditions d'utilisation.

Une application qui promet la sécurité absolue ment. Une application qui vous dit quel compromis elle fait vous laisse décider en adulte.

Vérifiez par vous-même

Trois manières de confirmer ce que cette page affirme :

1. Coupez Internet juste après l'installation. Sandouq fonctionne intégralement — à la seule exception de la vérification d'achat unique.
2. Inspectez le trafic réseau avec NetGuard ou PCAPdroid (gratuits, F-Droid). Aucune connexion vers sandouq.app, aucune télémétrie — seulement play.google.com et, si vous l'avez activé, *.sentry.io.
3. Lisez les permissions sur la fiche Play Store. Pas de localisation, contacts, SMS, caméra, microphone — strictement celles décrites dans notre politique de confidentialité.

Si vous avez d'autres interrogations, la page questions fréquentes couvre les cas pratiques — y compris la compatibilité halal au sens financier.

Voir aussi : page d'accueil Sandouq · Calculateur Sandouq Zakat · Questions fréquentes · Étendre Sandouq · Politique de confidentialité