Pourquoi je n'ajouterai jamais la connexion bancaire à Penno
L'argument en une ligne : ajouter la connexion bancaire transformerait Penno en un autre produit — avec serveurs, comptes, dépendance à un agrégateur et une tout autre histoire en matière de confidentialité. Ce n'est pas le produit que je veux construire, et je pense que la version sans connexion bancaire occupe une niche permanente qui mérite d'exister. Voici l'argumentaire complet.
La connexion bancaire est la fonctionnalité la plus demandée pour Penno. Je reçois l'e-mail environ une fois par semaine : « Pourriez-vous ajouter Plaid ? Ça m'économiserait 20 minutes par mois. » La réponse honnête est non. Pas « non pour l'instant » — non, point.
La plupart des développeurs ne disent pas « jamais » à une demande de fonctionnalité. La posture par défaut est « bien noté, c'est sur la feuille de route ». Dire « jamais » ferme une porte que je pourrais vouloir rouvrir plus tard. Je le dis parce que cette porte fermée fait partie du produit.
Ce que la connexion bancaire changerait
Ajouter Plaid (ou équivalent) à Penno exigerait :
- Un système de comptes utilisateurs (Plaid doit associer token + utilisateur ; les tokens doivent se rafraîchir)
- Une infrastructure serveur (l'API de Plaid ne peut pas être appelée directement depuis une app mobile, pour des raisons de sécurité ; il faut un serveur qui fait l'intermédiaire)
- Un abonnement d'agrégateur permanent (Plaid facture par compte et par mois — ça se répercute sur le prix de l'utilisateur)
- Une politique de confidentialité plus lourde (je deviens dépositaire de données de transaction, même brièvement pendant le rafraîchissement)
- Un travail de mise en conformité type SOC 2 ou équivalent (traiter ces données est réglementé)
- Un autre modèle économique (la structure de frais par compte force la tarification par abonnement)
Chaque point, seul, est gérable. Ensemble, ils redéfinissent le produit. Le pitch « local d'abord, sans serveur, sans abonnement, sans compte » disparaît — non parce que j'ai trahi une promesse, mais parce que l'architecture a changé.
L'utilisateur qui veut les deux
L'utilisateur qui m'écrit au sujet de Plaid veut en général les deux : la confidentialité du stockage 100 % local ET la commodité de l'import automatique. Je comprends. Moi aussi je voudrais les deux, s'ils pouvaient coexister. Ils ne le peuvent pas.
Les données de transaction doivent bien venir de quelque part. Si elles viennent de votre banque via Plaid, Plaid les voit. Si Plaid les voit, l'affirmation « aucun tiers ne voit mes transactions » cesse d'être vraie. Il n'y a aucun moyen d'ajouter la connexion bancaire sans casser cette affirmation, car l'affirmation porte sur l'absence d'un tiers, pas sur le degré de confiance qu'on lui accorde.
Si votre priorité est la commodité, Copilot Money ou Monarch est la réponse. Ce sont d'excellents produits, bâtis honnêtement autour du modèle de connexion bancaire. Je les recommande sur nos pages de comparaison. La commodité a un coût — argent et partage de données — mais si l'échange en vaut la peine pour vous, faites-le.
Si votre priorité est l'absence de tiers, Penno est la réponse. La contrepartie est la saisie manuelle. Le choix vous appartient.
Le marché du « sans connexion bancaire » est permanent
Un nombre significatif de gens rejetteront toujours l'intégration de leur compte bancaire à une app de budget. Pour des raisons variées :
- Des utilisateurs soucieux de leur vie privée qui ne veulent aucun tiers dans leurs finances
- Des utilisateurs dans des pays où la couverture des agrégateurs est faible ou inexistante
- Des gens échaudés par d'anciennes pannes d'agrégateurs de comptes
- Des personnes qui ont essayé les apps reliées à la banque et ont trouvé le flux de données inconfortable
- Des utilisateurs de cash ou de banques moins courantes (banques en ligne, néobanques) où la couverture d'agrégation est inégale
- Des gens qui veulent la friction de la saisie manuelle comme outil de modification du comportement
Ce n'est pas une minorité bruyante — c'est une cohorte permanente. Mint comptait 25 millions d'utilisateurs à son pic, dont sans doute 1 à 3 millions auraient préféré une option sans connexion bancaire si elle avait existé. Penno n'a pas besoin de 25 millions d'utilisateurs. Il lui faut quelques milliers de cette cohorte « sans connexion bancaire » pour être viable comme entreprise indépendante.
L'argument de l'intégrité architecturale
La promesse de Penno n'est pas seulement « nous promettons de ne pas abuser de vos données ». C'est « nous ne pouvons pas abuser de vos données parce que nous ne les avons pas ». C'est une promesse plus forte, mais seulement parce que l'architecture la fait respecter.
Dès l'instant où j'ajoute un flux de connexion bancaire via serveur, j'ai des données de transaction — même brièvement, en transit. Là, ma promesse de confidentialité dépend d'une politique, pas d'une architecture. Les politiques changent. Les architectures ne changent pas aussi facilement.
Je veux que les utilisateurs puissent regarder le binaire et vérifier l'affirmation par eux-mêmes. Fiche de confidentialité App Store : aucune donnée collectée. SDK Plaid : absent du binaire. Affirmations au niveau du code source : vérifiées sur /claims. Ajouter la connexion bancaire casserait chacune de ces vérifications.
La pente glissante est réelle
Si j'ajoutais l'intégration de Plaid, l'e-mail suivant serait « Pourriez-vous ajouter la synchro cloud entre mon téléphone et mon iPad ? » Puis « Pourriez-vous ajouter les budgets partagés avec mon partenaire ? » Puis « Pourriez-vous ajouter un client web ? »
Chacune de ces demandes est raisonnable. Chacune exige plus d'infrastructure serveur. Chacune rapproche Penno de l'architecture contre laquelle j'ai démarré. Six itérations plus loin, Penno serait Monarch avec un moins bon design.
Le moyen de ne pas glisser sur une pente est de ne pas y mettre le pied. Donc je n'y mets pas le pied.
Ce que je ferai à la place
Rendre la saisie manuelle plus rapide et plus agréable. Raccourcis iOS pour une saisie en un geste. Une meilleure intégration des widgets. Un onboarding plus rapide pour les catégories que les gens veulent vraiment. La reconnaissance de caractères sur les tickets (entièrement sur l'appareil, via le framework Vision d'Apple — aucune donnée ne quitte le téléphone). Un meilleur import CSV pour ceux qui veulent récupérer leur historique d'une autre app.
Rien de tout cela ne touche à l'intégrité architecturale. Tout cela réduit la friction qui est la plainte centrale.
Si vous voulez vraiment la connexion bancaire
Utilisez une autre app. Copilot Money et Monarch Money sont tous deux excellents, et je les recommande sur nos pages de comparaison sans ironie. Ils coûtent plus que Penno et ils ont l'architecture qu'il faut pour ce qu'ils font.
Ce que je ne ferai pas, c'est bâtir un Frankenstein hybride qui promet les deux et n'en livre aucun.
— [Le fondateur]
S'abonner à The Quiet Finance Letter
Un essai toutes les 3 ou 4 semaines. Confidentialité, logiciel indé et industrie du budget. Aucun pixel de tracking. Désabonnement en une réponse.
S'abonner par e-mail →Ouvre votre app mail. On ajoute votre adresse à la main — pas de tracking, pas de double opt-in spammy.