Your logbook is yours.
Four commitments that govern how Cumulo handles the most sensitive professional record you keep.
Where your data lives
Cumulo runs entirely on your device by default. Every flight you log is saved locally first. Sync to the cloud is optional — when you enable it, a copy goes to a Canadian server in Montréal, encrypted in transit and at rest. You can leave at any time and take your data with you.
What we do, and what we don't
What we do
- Keep your flights, profile, and a sync audit trail.
- Send transactional emails only (password resets, billing receipts).
- Anonymize crew names by default when data leaves your device, unless you've opted in explicitly.
What we don't do
- Sell your data. To anyone. Ever.
- Show advertising in the app.
- Train AI models on your flights or profile.
- Share data with third parties, except the infrastructure providers we contractually need (and a Canadian-warrant exception we'd disclose to you).
- Read your logbook entries unless you ask us to help debug something, and only with your consent.
Your controls
From inside the app, you can export a complete JSON copy of everything you've logged, restore from any backup file, and permanently delete your data — local and cloud — in a single action. There is no "contact support to close your account" step. We don't believe in exit friction.
Technical details, for the curious
Hosting
Cloud sync runs on Supabase in ca-central-1 (Montréal, Québec). Static pages and the iCal proxy run on Cloudflare's edge network. Any auxiliary service that briefly touches your data is explicitly disclosed in the Privacy Policy and is opt-in per feature.
Encryption
Transit: TLS 1.3 with modern ciphers, HSTS enforced. At rest: AES-256, managed by Supabase. On your device: relies on your operating system's disk encryption (FileVault, BitLocker, iOS Data Protection).
Access control
Database rows are tagged with your user ID and enforced by Postgres row-level security. There is no admin bypass — Cumulo's own queries follow the same policies. Authentication uses email and password with optional TOTP two-factor (no SMS, which is vulnerable to SIM swap).
Crew names & PIPEDA
Crew names on shared exports and cloud sync are anonymized to initials by default. You can opt in to full names in Settings → Privacy if you have crew consent or if the recipient is Transport Canada. Your personal logbook on this device always keeps full names — that's protected by PIPEDA s.7(1)(b) and Loi 25 art. 12 as a personal record required by other law (CAR 401.08).
Incident notification
If a breach affects your data, you will be emailed directly within 72 hours of discovery if it meets the PIPEDA "real risk of significant harm" threshold or Loi 25 equivalent. The Office of the Privacy Commissioner of Canada (and the CAI for Québec users) will be notified per legal requirements.
If Cumulo shuts down
You'll receive at least 90 days of notice. Export will remain online throughout. A final automated JSON backup will be emailed to every active user. Your local copy will keep working.
Found something off?
Email flycumulo@gmail.com. Security issues get a reply within 48 hours. If a sentence here doesn't match what we actually do, tell us — we'll fix it.
Last updated: 2026-05-26
Votre carnet vous appartient.
Quatre engagements qui régissent la façon dont Cumulo traite le dossier professionnel le plus sensible que vous tenez.
Où vivent vos données
Cumulo fonctionne entièrement sur votre appareil par défaut. Chaque vol que vous inscrivez est d’abord enregistré localement. La synchronisation infonuagique est optionnelle — lorsque vous l’activez, une copie est envoyée à un serveur canadien à Montréal, chiffrée en transit et au repos. Vous pouvez partir à tout moment et emporter vos données.
Ce que nous faisons, et ce que nous ne faisons pas
Ce que nous faisons
- Conserver vos vols, votre profil et un journal d’audit de synchronisation.
- N’envoyer que des courriels transactionnels (réinitialisation de mot de passe, reçus de facturation).
- Anonymiser les noms d’équipage par défaut lorsque les données quittent votre appareil, sauf si vous y avez consenti explicitement.
Ce que nous ne faisons pas
- Vendre vos données. À qui que ce soit. Jamais.
- Afficher de la publicité dans l’application.
- Entraîner des modèles d’IA sur vos vols ou votre profil.
- Partager des données avec des tiers, sauf les fournisseurs d’infrastructure dont nous avons besoin par contrat (et une exception de mandat canadien que nous vous divulguerions).
- Lire les entrées de votre carnet, sauf si vous nous demandez de l’aide pour diagnostiquer un problème, et uniquement avec votre consentement.
Vos contrôles
Depuis l’application, vous pouvez exporter une copie JSON complète de tout ce que vous avez inscrit, restaurer à partir de n’importe quel fichier de sauvegarde, et supprimer définitivement vos données — locales et infonuagiques — en une seule action. Il n’y a aucune étape « contactez le soutien pour fermer votre compte ». Nous ne croyons pas à la friction de sortie.
Détails techniques, pour les curieux
Hébergement
La synchronisation infonuagique fonctionne sur Supabase dans ca-central-1 (Montréal, Québec). Les pages statiques et le relais iCal fonctionnent sur le réseau périphérique de Cloudflare. Tout service auxiliaire qui touche brièvement à vos données est explicitement divulgué dans la politique de confidentialité et est optionnel par fonctionnalité.
Chiffrement
En transit : TLS 1.3 avec des algorithmes modernes, HSTS appliqué. Au repos : AES-256, géré par Supabase. Sur votre appareil : repose sur le chiffrement de disque de votre système d’exploitation (FileVault, BitLocker, protection des données iOS).
Contrôle d’accès
Les lignes de la base de données sont étiquetées avec votre identifiant d’utilisateur et protégées par la sécurité au niveau des lignes de Postgres. Il n’y a aucun contournement administrateur — les propres requêtes de Cumulo suivent les mêmes politiques. L’authentification utilise courriel et mot de passe, avec double authentification TOTP optionnelle (pas de SMS, vulnérable à l’échange de carte SIM).
Noms d’équipage et LPRPDE
Les noms d’équipage sur les exports partagés et la synchronisation infonuagique sont anonymisés en initiales par défaut. Vous pouvez activer les noms complets dans Paramètres → Confidentialité si vous avez le consentement de l’équipage ou si le destinataire est Transports Canada. Votre carnet personnel sur cet appareil conserve toujours les noms complets — c’est protégé par l’art. 7(1)b) de la LPRPDE et l’art. 12 de la Loi 25 à titre de dossier personnel exigé par une autre loi (RAC 401.08).
Notification d’incident
Si une atteinte touche vos données, vous serez avisé directement par courriel dans les 72 heures suivant la découverte si elle atteint le seuil de « risque réel de préjudice grave » de la LPRPDE ou l’équivalent de la Loi 25. Le Commissariat à la protection de la vie privée du Canada (et la CAI pour les utilisateurs du Québec) sera avisé conformément aux exigences légales.
Si Cumulo cesse ses activités
Vous recevrez un préavis d’au moins 90 jours. L’export restera en ligne tout au long. Une dernière sauvegarde JSON automatisée sera envoyée par courriel à chaque utilisateur actif. Votre copie locale continuera de fonctionner.
Vous avez remarqué quelque chose ?
Écrivez à flycumulo@gmail.com. Les problèmes de sécurité reçoivent une réponse sous 48 heures. Si une phrase ici ne correspond pas à ce que nous faisons réellement, dites-le-nous — nous la corrigerons.
Dernière mise à jour : 2026-05-26