Всё это, конечно, должным образом шифруется и защищается
Должным будет, когда ты сертифицированные СКЗИ купишь. А пока что извини.
Можно никого не уведомлять, особенно если пет-проект для кучки единомышленников. Но даже тут всплывает парочка
очень неприятных проблем.
1. Персональные данные. Если у тебя мессенджер без 2FA, только по логину (которым обычно является мыло) - это шляпа а не мессенджер, угонять его будут со свистом (если кому-то понадобится). Если же с 2FA, то мыло плюс номер телефона уже образуют кортеж данных, по которому можно идентифицировать. То есть тебе прилетает все, что описано в ФЗ-152
Но это еще не самое неприятное. Самое неприятное - это
УК РФ 205.1 п.3 (от двенадцати до двадцати лет). Если через этот твой "мессенджер" будут общаться люди, готовящие террористические акты - ты автоматически влетаешь в "пособничество посредством предоставлением средств или орудий совершения преступления либо устранением препятствий к его совершению"
Так что подумай несколько раз прежде чем.