Quand vous uploadez un fichier audio sur un service de transcription, où vont vos données ? Qui y a accès ? Et surtout, est-ce conforme au RGPD ? Ces questions sont cruciales, surtout si vous transcrivez des réunions d'entreprise, des consultations médicales ou des audiences juridiques.
Le problème : vos données transitent par des API tierces
La plupart des services de transcription automatique ne font pas la transcription eux-mêmes. Ils s'appuient sur des API de fournisseurs comme OpenAI (Whisper), Google (Speech-to-Text), ou AssemblyAI.
Cela signifie que votre fichier audio est envoyé à un serveur tiers pour être traité. Et c'est là que les questions RGPD se posent.
Attention : certains fournisseurs d'IA peuvent utiliser les données envoyées à leur API pour entraîner leurs modèles. Vérifiez toujours les conditions d'utilisation.
Ce que dit le RGPD
Le Règlement Général sur la Protection des Données impose plusieurs obligations aux services qui traitent des données personnelles :
Transfert de données hors UE
Le RGPD encadre strictement le transfert de données personnelles vers des pays n'offrant pas un niveau de protection adéquat. Les États-Unis bénéficient du Data Privacy Framework, mais celui-ci fait l'objet de contestations juridiques.
Minimisation des données
Le principe de minimisation impose de ne collecter que les données strictement nécessaires au traitement. Pour une transcription, cela signifie que le service ne devrait pas stocker votre fichier audio plus longtemps que nécessaire.
Droit à l'effacement
Vous devez pouvoir supprimer vos données à tout moment. Cela inclut les fichiers audio uploadés et les transcriptions générées.
Comment Écrivox protège vos données
Chez Écrivox, nous avons mis en place plusieurs mesures pour garantir la conformité RGPD :
Hébergement européen
Tous nos serveurs sont situés en Allemagne (Hetzner Cloud). Vos fichiers ne quittent jamais l'Union européenne pour le stockage.
Anonymisation des appels API
Quand nous envoyons votre audio à un moteur de transcription, nous anonymisons systématiquement les métadonnées :
- Le nom du fichier est remplacé par un identifiant aléatoire
- Aucune information utilisateur n'est transmise
- Les logs ne contiennent pas de données personnelles
// Fichier original
reunion_client_dupont_15fev.mp3
// Envoyé à l'API
audio-1708012800.mp3
Suppression des fichiers
Vous pouvez supprimer vos fichiers audio et transcriptions à tout moment depuis votre tableau de bord. La suppression est effective immédiatement et irréversible.
Les fichiers audio sont stockés sur un stockage objet chiffré (S3 compatible, hébergé chez Infomaniak en Suisse). Ils sont chiffrés en transit (TLS 1.3) et au repos (AES-256).
Checklist RGPD pour choisir un outil de transcription
Avant de choisir un service de transcription, posez-vous ces questions :
- Où sont hébergées les données ? Privilégiez l'UE
- Quels sous-traitants sont utilisés ? Vérifiez les API tierces
- Les données servent-elles à l'entraînement ? Refusez si possible
- Puis-je supprimer mes données ? Droit à l'effacement
- Le transfert est-il chiffré ? TLS 1.2 minimum
- Existe-t-il une DPA ? Data Processing Agreement
Tableau comparatif
| Critère | Écrivox | Service A | Service B |
|---|---|---|---|
| Hébergement UE | Oui (Allemagne) | Non (USA) | Oui (Irlande) |
| Anonymisation API | Oui | Non | Partiel |
| Chiffrement repos | AES-256 | AES-256 | AES-128 |
| Suppression données | Instantanée | 30 jours | 90 jours |
| DPA disponible | Oui | Sur demande | Non |
Conclusion
La conformité RGPD n'est pas optionnelle — c'est une obligation légale. Quand vous choisissez un outil de transcription, la protection des données doit être un critère aussi important que la précision ou le prix.
Découvrez comment Écrivox protège vos données
Essayer gratuitement