Livre blanc sécurité
Comment la confidentialité embarquée est implémentée chez Cove.
Ce document s'adresse aux équipes conformité, aux décideurs IT et aux utilisateurs sceptiques. Nous listons chaque appel réseau sortant que les applications Cove peuvent émettre, comment le modèle est vérifié, quelles données sont conservées où, et notre posture face aux référentiels du secteur (HIPAA / RGPD / ISO 27001).
Résumé exécutif
Les applications Cove traitent l'intégralité du contenu utilisateur (photos, voix, transcriptions, entrées santé, traductions) entièrement sur l'appareil Android de l'utilisateur. Aucune donnée de contenu n'est jamais envoyée vers les serveurs Cove, des fournisseurs IA tiers ou des plateformes d'analytique. Les seuls appels réseau sortants sont : téléchargement du modèle depuis Hugging Face, vérification d'achat Google Play, inscription opt-in à la newsletter facultative et rapports de plantage anonymes facultatifs. Aucun serveur contrôlé par Cove ne traite de contenu utilisateur.
Appels réseau sortants — liste exhaustive
Chaque appel réseau qu'une application Cove peut initier, par finalité. Nous nous engageons sur cette liste — ajouter un nouveau type d'appel exige une montée de version d'application et est documenté dans les notes de version.
-
Téléchargement du modèle depuis Hugging Face
- Purpose
- Au premier lancement, télécharger les poids Gemma 4 E2B (~2,5 Go, quantification Q4_0 — même fichier pour gratuit et Pro)
- Endpoint
- huggingface.co/litert-community (miroir LiteRT-LM de la version officielle Gemma de Google)
- Data
- Aucune sortante. Entrante : fichier de poids du modèle.
- Frequency
- Une fois par appareil — le même fichier Gemma 4 E2B est réutilisé entre les quatre applications Cove
- User control
- Peut être contournée en pré-plaçant le fichier de modèle dans /sdcard/GemmaApp/models/
-
Vérification d'achat Google Play
- Purpose
- Vérifier l'achat de la mise à niveau Pro via la Google Play Billing Library
- Endpoint
- Serveurs Google Play (gérés par la Play Billing Library, pas par Cove)
- Data
- E-mail du compte Google + jeton d'achat (gérés par Google, jamais vus par les serveurs Cove — nous n'en avons pas)
- Frequency
- À la tentative de mise à niveau Pro, à la revérification d'éligibilité Pro (silencieuse, ~quotidienne par les services Play)
- User control
- Requis pour utiliser les fonctionnalités Pro. Le palier gratuit ne déclenche jamais cet appel.
-
Inscription à la newsletter (opt-in)
- Purpose
- S'abonner à la newsletter Cove (site covebase.app uniquement)
- Endpoint
- Instance Listmonk auto-hébergée (infrastructure Cove)
- Data
- Adresse e-mail uniquement
- Frequency
- Une fois par tentative d'inscription
- User control
- Entièrement opt-in via le formulaire du site. Les applications ne collectent pas l'e-mail.
-
Rapports de plantage anonymes (opt-in)
- Purpose
- Aider à diagnostiquer les problèmes de stabilité
- Endpoint
- Instance Sentry auto-hébergée (infrastructure Cove)
- Data
- Stack trace, version Android, modèle d'appareil, version d'application. AUCUN contenu utilisateur. Données personnelles purgées avant envoi.
- Frequency
- À l'événement de plantage (que nous espérons rare)
- User control
- Désactivé par défaut. Paramètres → Confidentialité → Rapports de plantage pour activer.
Vérification de l'intégrité du modèle
Avant de charger le modèle Gemma 4 E2B, Cove vérifie son hash SHA-256 face à un hash attendu intégré pour cette version de modèle. Si le hash ne correspond pas, le modèle est rejeté et l'utilisateur est invité à retélécharger. Ceci protège contre (a) les téléchargements corrompus et (b) la falsification du fichier de modèle par des acteurs malveillants ayant accès au système de fichiers. Nous ne chargeons aucun poids non vérifié — c'est une contrainte stricte.
Registre des hashs de modèle
| Model variant | Approx. size | Hash algorithm | Hash source |
|---|---|---|---|
| Gemma 4 E2B (Q4_0, default) | ~2.5 GB | SHA-256 | embedded + signed |
| Gemma 4 E4B (Q4_0, optional upgrade) | ~3.6 GB | SHA-256 | embedded + signed |
| Gemma 4 E2B (Q4_0, prior release — kept for rollback) | ~2.5 GB | SHA-256 | embedded + signed |
Rétention des données — quoi est stocké où
Tout le contenu utilisateur reste sur l'appareil. Voici l'inventaire.
-
Historique des traductions
- Where
- Base SQLite locale (Room) dans /data/data/com.gemmaapp.travellens/databases/
- Retention
- Jusqu'à suppression par l'utilisateur (écran Historique in-app) ou désinstallation
- Encryption
- Chiffrement par défaut du système de fichiers Android (chiffrement intégral de l'appareil sur Android 6+)
-
Enregistrements vocaux + transcriptions
- Where
- Fichiers audio dans le stockage privé de l'application ; transcriptions en base Room
- Retention
- Jusqu'à suppression par l'utilisateur depuis la bibliothèque in-app ou désinstallation
- Encryption
- Chiffrement par défaut du système de fichiers Android
-
Analyses photo + historique
- Where
- Base SQLite locale dans /data/data/com.gemmaapp.photolens/databases/
- Retention
- Jusqu'à suppression par l'utilisateur ou désinstallation. Les photos d'origine ne sont stockées que si l'utilisateur sauvegarde explicitement.
- Encryption
- Chiffrement par défaut du système de fichiers Android
-
Entrées du journal santé
- Where
- Base SQLite locale dans /data/data/com.gemmaapp.healthlens/databases/, chiffrée AES-256 au repos avec une clé dérivée du Keystore Android
- Retention
- Jusqu'à suppression par l'utilisateur ou désinstallation. Les entrées pertinentes pour les urgences ne sont synchronisées nulle part.
- Encryption
- AES-256-GCM avec clé scellée dans Android Keystore (chiffrement supplémentaire au-delà du défaut appareil — les données santé justifient la couche en plus)
Posture de conformité
Nous sommes un petit studio indépendant et Cove est un logiciel grand public. Nous ne revendiquons pas de certifications que nous n'avons pas. Voici notre position honnête face aux référentiels les plus demandés.
-
HIPAA (santé US)
Non Business Associate. Cove Health n'est pas un système couvert par HIPAA. Cependant, la conception embarquée signifie que les données patient dictées dans Cove ne quittent jamais l'appareil — la question de savoir si la politique de votre organisation l'autorise se règle entre vous et votre équipe conformité.
-
RGPD (confidentialité UE)
Minimaliste sur les données par conception. Nous ne collectons aucune donnée de contenu. Les seules données personnelles traitées sont : e-mail facultatif (newsletter), rapports de plantage facultatifs (données personnelles purgées) et registres d'achat Google Play (gérés par Google comme sous-traitant distinct). Droit à la suppression : désinstaller l'application + se désabonner de la newsletter (un clic).
-
ISO 27001
Non certifié. Les petits studios indépendants ont rarement le budget pour une certification ISO — ce n'est pas adapté à une application grand public à 3,99 $. Les contrôles techniques décrits dans ce document adressent l'essentiel des menaces couvertes par ISO 27001.
-
SOC 2
Non certifié. Même raisonnement qu'ISO 27001. Nous n'opérons pas de services cloud pour le contenu utilisateur, ce qui supprime la majeure partie de la surface SOC 2.
Divulgation de vulnérabilités
Si vous trouvez un problème de sécurité, écrivez à [email protected] (alias de [email protected], mais cette adresse l'achemine comme un rapport sécurité). Nous nous engageons à : accuser réception sous 3 jours ouvrés, enquêter sous 14 jours, et créditer les rapporteurs dans les notes de version (s'ils souhaitent être nommés). Nous n'avons pas encore de programme de bug bounty — trop tôt — mais nous envoyons volontiers des clés Cove Pro en remerciement pour les rapports valides.
Questions pour les équipes conformité / juridiques
Si votre organisation évalue Cove pour un usage interne et a besoin d'une analyse plus détaillée (par ex. questionnaire signé, revue de politique de sécurité), écrivez à [email protected] avec vos exigences précises.