Privacy by Design : pourquoi nous ne savons pas qui vous êtes (et l'impact sur la Sync Auto)
Chez Togglewear, la confidentialité n'est pas seulement une option ; c'est l'architecture même de notre application.
Notre mission est de vous aider à suivre votre temps, pas de vous suivre vous. À une époque où les applications aspirent autant de données que possible pour établir des profils publicitaires, nous avons pris le contrepied. Nous avons conçu un système où vos données ne font que « transiter », sans être stockées ni analysées par nous.
L'architecture du « Pont Aveugle »
Lorsque vous connectez Togglewear à votre compte Toggl Track, nous n'importons pas vos données dans une base de données. Au lieu de cela, votre montre établit un « pont » direct, sécurisé, point à point et chiffré de bout en bout entre votre poignet et Toggl Track.
Imaginez notre serveur comme un service postal dédié et anonymisé. Lorsque Toggl envoie une mise à jour d'entrée de temps, le pont la traite sans jamais en voir le contenu.
Ce que le pont ne sait PAS :
- Votre nom ou votre adresse e-mail.
- Le nombre d'appareils que vous possédez.
- L'appareil que vous utilisez actuellement.
- Ce que vous suivez exactement, ni quand.
La métaphore du service postal :
- Le colis : Toggl remet au pont une enveloppe (votre mise à jour d'entrée de temps).
- L'adresse : Le pont regarde l'adresse « Destinataire » chiffrée : un jeton unique
et sécurisé qui pointe vers votre montre spécifique. Cela ressemble à une suite de caractères
aléatoires :
1O2j93Xu102jero[j*ad!fha$shf%%12349190523o… - La livraison : Il transfère immédiatement l'enveloppe à cette adresse et l'oublie aussitôt.
Même si un tiers malveillant interceptait la transmission, les données seraient illisibles. Les données
internes (comme un numéro d'utilisateur Toggl : 12312312 ou un numéro de Workspace :
128812838) sont des valeurs numériques dénuées de sens en dehors de l'environnement privé
de Toggl. Elles ne peuvent être utilisées pour vous identifier ou vous contacter.
Grâce à cette architecture :
- Nous n'avons aucun accès à vos informations personnelles.
- Nous ne pouvons pas stocker votre historique de temps.
- Tout reste privé entre vous et Toggl. Nous ne sommes que le tuyau sécurisé.
Le revers de la médaille : la limite d'une seule montre
Notre engagement strict pour la confidentialité entraîne une limitation pour les utilisateurs qui portent plusieurs montres simultanément.
Le conflit multi-montres
Si vous utilisez la Montre A et la Montre B ensemble, le conflit suivant survient :
| Étape | Scénario | Le conflit | Le résultat (« Chrono fantôme ») |
|---|---|---|---|
| 1 | Vous cliquez sur « Sync » sur la Montre B. | La Montre B devient le « récepteur actif ». | La Montre A perd automatiquement sa connexion au pont unique. |
| 2 | Vous arrêtez un chrono sur votre téléphone. | Le signal est envoyé uniquement au récepteur actif (Montre B). | La Montre A ne reçoit jamais l'ordre d'arrêt. Le chrono continue de tourner indéfiniment sur son écran. |
La bataille de maintenance
Ce conflit est accentué par les appareils eux-mêmes. Les montres Wear OS effectuent une maintenance en arrière-plan (mises à jour et vérifications de synchronisation) environ une fois par jour, souvent pendant la charge.
Lors de cette vérification, si une montre (Montre A) remarque que la connexion active a été perdue, elle tente de la rétablir automatiquement. Ce faisant, elle « vole » la connexion à la Montre B. Cela provoque une lutte incessante entre vos montres pour le rôle de récepteur actif.
Pourquoi ne pas diffuser à toutes les montres ?
Une question revient souvent : « Pourquoi ne pas envoyer la mise à jour à toutes mes montres en même temps ? »
Pour remplacer notre architecture point à point par une diffusion générale, nous devrions construire un serveur intermédiaire qui :
- Crée un profil utilisateur unique pour chaque personne.
- Enregistre et mémorise tous vos appareils.
- Suit quels appareils sont actifs à tout moment.
- Intercepte et ouvre vos données pour les router vers plusieurs destinations.
Nous refusons de construire cette infrastructure de surveillance. Nous nous interdisons de stocker des informations utilisateurs. Tout le monde est 100 % anonyme pour nous. Maintenir une connexion directe entre Toggl et votre montre est la garantie que nous ne créons aucun profil sur vous.
La barrière de l'API
De plus, Toggl Track limite le nombre de connexions ouvertes (appelées webhooks) par utilisateur. Les comptes gratuits sont limités à un seul webhook. Nous devons concevoir un système qui fonctionne de manière fiable pour tous, quel que soit leur niveau d'abonnement Toggl.
La solution : le Mode Manuel est disponible
La dernière mise à jour inclut une option pour désactiver complètement la Sync Auto.
Cela vous permet de compter uniquement sur les synchronisations manuelles, évitant ainsi que vos montres ne se court-circuitent ou ne restent bloquées sur des chronos fantômes. Pour les utilisateurs de plusieurs montres, nous recommandons fortement de désactiver la Sync Auto dans les paramètres.
Transparence : la SEULE donnée que nous conservons
Nous croyons en une transparence totale. Bien que nous ne suivions ni votre activité ni votre identité, il existe une seule donnée que nous vérifions pour la gestion de l'application :
| Donnée | Exemple | Utilité |
|---|---|---|
| Numéro d'utilisateur Toggl | 123456789 |
Utilisé uniquement pour gérer les essais gratuits et prévenir les abus. |
Ce numéro est une chaîne numérique longue et unique générée par Toggl. Ce n'est pas votre e-mail, et il ne permet pas de vous contacter ni de vous identifier personnellement. C'est simplement un moyen de garantir que l'essai gratuit est utilisé équitablement.
Nous pensons que c'est la bonne manière de concevoir un logiciel : sécurisé, privé et respectueux de l'utilisateur.
Découvrez le suivi du temps respectueux de la vie privée
