Logiciel de transcription RGPD : évaluer la conformité et la souveraineté des données
Un logiciel de transcription qui traite une réunion enregistrée traite presque toujours des données personnelles — la voix, le nom et les propos identifiables des participants. À ce titre, il entre dans le champ du RGPD, et le choisir « parce qu'il est précis » sans regarder où vont les données est une erreur de conformité courante. La bonne approche n'est pas de chercher l'étiquette « RGPD-compliant » sur une page marketing : c'est de vérifier point par point ce que l'outil fait réellement des données — où elles sont hébergées, qui peut y accéder, sous quel contrat, et combien de temps elles sont conservées.
Avant d'aller plus loin, une mention d'intérêt : je dirige Subanana, l'un des outils de transcription du marché. Cet article n'est donc pas une publicité déguisée pour mon produit — c'est une grille d'évaluation que vous pouvez appliquer à n'importe quel outil, y compris le mien, et j'y indique sans détour là où Subanana coche les cases et là où il ne les coche pas (notamment : son cloud n'est pas hébergé en France). L'objectif est que vous repartiez avec une checklist utilisable, pas avec une conclusion toute faite.
Ce guide couvre les six points qui déterminent réellement la conformité, une checklist condensée à copier dans votre dossier de sélection, puis le cas particulier de la souveraineté des données — quand le simple respect du RGPD ne suffit pas et qu'il faut un hébergement qualifié ou un déploiement privé.
L'essentiel — les six points à vérifier
Pour qu'un logiciel de transcription soit utilisable sereinement sous RGPD, vérifiez ces six éléments dans la documentation de l'éditeur (et non dans son discours commercial) :
- Base légale et information — votre organisation doit pouvoir justifier une base légale (intérêt légitime, consentement, exécution d'un contrat) et informer les participants avant l'enregistrement.
- Contrat de sous-traitance (DPA) — l'éditeur agit comme sous-traitant ; un contrat conforme à l'article 28 du RGPD est obligatoire et doit être disponible à la signature.
- Résidence des données — où les fichiers audio, les transcriptions et les résumés sont-ils stockés et traités ? Dans l'UE, ou ailleurs ?
- Transferts hors UE — si les données quittent l'Espace économique européen, l'éditeur doit s'appuyer sur une décision d'adéquation ou sur des clauses contractuelles types (CCT).
- Sous-traitants ultérieurs — quels prestataires (hébergeur, fournisseurs de modèles d'IA) interviennent, et sont-ils listés et encadrés ?
- Durée de conservation et suppression — combien de temps les données sont-elles gardées, et comment obtenir leur suppression ?
Aucun de ces points n'exige d'être juriste : ce sont des questions factuelles auxquelles un éditeur sérieux répond par écrit. Si un éditeur ne peut pas répondre à l'un d'eux, c'est en soi un signal.
Note de cadrage. Je résume ici des obligations issues du RGPD et des publications de la CNIL ; ce n'est pas un avis juridique. Pour un cas précis (santé, secteur public, données sensibles), faites valider votre analyse d'impact par votre délégué à la protection des données (DPO).
Un logiciel de transcription traite-t-il des données personnelles ?
Oui, dès lors que l'audio contient des voix et des propos rattachables à des personnes identifiables. La voix est une donnée personnelle, et dans certains contextes elle peut même relever des données sensibles : la CNIL rappelle que la voix peut être utilisée comme facteur d'authentification et, à ce titre, être traitée comme une donnée biométrique au sens de l'article 9 du RGPD. Le contenu des échanges (santé, opinions, situation professionnelle) peut lui aussi faire basculer le traitement dans une catégorie plus exigeante.
La conséquence pratique : le RGPD s'applique au flux complet — captation, transcription, stockage, traduction et résumé — et pas seulement au fichier final. C'est pourquoi la question « où vont les données et qui les traite » prime sur la question « quelle est la précision affichée ».
La CNIL a d'ailleurs inscrit ce sujet à son programme de travail 2026 : elle annonce vouloir « clarifier les conditions dans lesquelles ces outils peuvent être mis en œuvre » pour les outils de transcription et d'analyse automatique « au sein des centres d'appels ou des logiciels de visioconférence notamment » (CNIL, programme de travail 2026). Autrement dit, l'encadrement de ces outils se précise — raison de plus pour bâtir dès maintenant un dossier de sélection propre.
Faut-il informer les participants avant de transcrire ?
Oui. L'information préalable est l'un des points les plus concrets et les plus souvent négligés. Pour l'enregistrement et l'écoute de conversations, la CNIL indique que chaque personne concernée doit être informée, au moment de l'échange, de l'objectif de l'opération, des destinataires des enregistrements, de son droit d'opposition et de son droit d'accès (CNIL — faut-il informer les personnes en cas d'enregistrement ?). L'information peut passer par un message au début de la réunion, une mention dans un document d'information, ou une clause contractuelle.
Pour une transcription de réunion, cela se traduit simplement : annoncez en début de séance que la réunion est enregistrée et transcrite, indiquez à quoi servira le compte rendu et qui y aura accès, et laissez une possibilité de s'y opposer. C'est une obligation qui pèse sur vous (le responsable de traitement), pas sur l'outil — mais un bon outil ne doit pas vous empêcher de la respecter (par exemple en rendant l'enregistrement invisible aux participants).
Que doit contenir le contrat de sous-traitance (DPA) ?
Quand vous confiez vos enregistrements à un éditeur de transcription, celui-ci agit comme sous-traitant au sens du RGPD, et l'article 28 impose un contrat écrit encadrant ce traitement. Ce contrat (souvent appelé DPA, Data Processing Agreement) doit notamment prévoir (RGPD, article 28 — gdpr-info.eu) :
- un traitement uniquement sur instructions documentées du responsable de traitement ;
- un engagement de confidentialité des personnes autorisées à traiter les données ;
- des mesures de sécurité appropriées (article 32) ;
- l'encadrement du recours à des sous-traitants ultérieurs (et l'information du client en cas de changement) ;
- l'assistance au responsable pour répondre aux demandes d'exercice des droits des personnes ;
- la suppression ou la restitution des données au terme de la prestation ;
- la mise à disposition des informations nécessaires pour démontrer la conformité (audits).
En pratique : demandez le DPA avant de signer, vérifiez qu'il liste les sous-traitants ultérieurs (l'hébergeur, et le cas échéant les fournisseurs de modèles d'IA utilisés pour la transcription ou le résumé), et confirmez la clause de suppression. Un éditeur qui ne propose pas de DPA standard n'est pas prêt pour un usage professionnel encadré.
Où sont hébergées les données, et que se passe-t-il en cas de transfert hors UE ?
C'est le point qui sépare la conformité de la souveraineté. Le RGPD n'interdit pas d'héberger ou de traiter des données hors de l'Union européenne : il encadre ces transferts. Le principe (chapitre V, article 44) est que le niveau de protection garanti par le RGPD ne doit pas être affaibli par un transfert (RGPD, article 44 — gdpr-info.eu).
Concrètement, un transfert hors UE est licite dans deux grands cas :
- le pays de destination bénéficie d'une décision d'adéquation de la Commission européenne (son niveau de protection est jugé équivalent) ; ou
- l'éditeur met en place des garanties appropriées, principalement les clauses contractuelles types (CCT) — des clauses pré-approuvées par la Commission européenne pour encadrer contractuellement le transfert en l'absence d'adéquation (Commission européenne — Standard Contractual Clauses).
La question à poser à chaque éditeur est donc double : (1) dans quelle région mes données sont-elles stockées et traitées ? et (2) si c'est hors UE, sur quel mécanisme (adéquation ou CCT) repose le transfert ? Beaucoup d'outils « grand public » hébergent aux États-Unis et s'appuient sur des CCT — c'est légal, mais ce n'est pas la même chose qu'un hébergement européen, et encore moins qu'un cloud souverain.
La checklist d'évaluation RGPD (à appliquer à tout outil)
Copiez ce tableau dans votre dossier de sélection et remplissez la colonne « Réponse de l'éditeur » pour chaque candidat. Une case que l'éditeur ne peut pas remplir par écrit est un signal d'alerte.
| Point à vérifier | Question précise à poser | Pourquoi c'est important |
|---|---|---|
| Données personnelles | L'outil traite-t-il de la voix / des propos identifiables, et le reconnaît-il ? | Détermine l'application du RGPD à tout le flux |
| Information | Puis-je informer les participants et recueillir leur opposition ? | Obligation à votre charge (CNIL) |
| DPA (art. 28) | Un contrat de sous-traitance standard est-il fourni à la signature ? | Obligatoire pour un usage professionnel |
| Résidence des données | Dans quelle région l'audio, les transcriptions et les résumés sont-ils stockés et traités ? | Sépare hébergement UE / hors UE |
| Transferts hors UE | Si hors UE : adéquation ou clauses contractuelles types ? | Condition de licéité du transfert (art. 44) |
| Sous-traitants ultérieurs | Quels prestataires (hébergeur, modèles d'IA) interviennent, et sont-ils listés ? | Transparence et chaîne de responsabilité |
| Conservation | Combien de temps les données sont-elles conservées par défaut ? | Principe de limitation de la conservation |
| Suppression | Comment supprimer un projet / l'ensemble de mes données ? | Droit à l'effacement, fin de prestation |
| Sécurité | Chiffrement, contrôle d'accès, journalisation : documentés ? | Mesures de l'art. 32 ; voir le guide CNIL |
| Souveraineté (si requise) | Hébergement qualifié (ex. SecNumCloud) ou déploiement sur site possible ? | Au-delà du RGPD, pour données sensibles |
Conformité RGPD ou souveraineté : ce n'est pas la même exigence
Un outil peut être parfaitement conforme au RGPD (DPA en règle, CCT pour les transferts, sécurité documentée) sans être souverain. La souveraineté ajoute une exigence : que les données ne soient pas exposées au risque d'une législation extra-européenne, et qu'elles restent sous le seul droit européen.
En France, le marqueur reconnu de cette exigence est la qualification SecNumCloud, délivrée par l'ANSSI. C'est un visa de sécurité destiné aux offres de cloud « de confiance », qui vise à protéger « les données et les traitements sensibles face à la menace cybercriminelle et à l'application de lois extraterritoriales » (ANSSI — SecNumCloud). Pour les données les plus sensibles — secteur public, santé, défense, services financiers — c'est souvent SecNumCloud, et non le simple respect du RGPD, qui constitue la véritable exigence d'achat.
Le bon réflexe : déterminez d'abord de quel niveau vous avez besoin. Pour la plupart des réunions internes, un hébergement avec DPA et CCT suffit. Pour des données réglementées ou classifiées, visez un hébergement qualifié ou un déploiement qui ne fait pas sortir les données de votre environnement (voir plus bas).
Où se situe Subanana — la position honnête
Puisque je m'engage à appliquer la même grille à mon produit, voici les réponses sans enjolivure.
Résidence des données. Le service cloud de Subanana s'appuie sur l'infrastructure AWS, en région Singapour — il n'est pas hébergé en France ni dans l'UE. Si votre exigence est un hébergement européen ou un cloud souverain, l'offre cloud standard de Subanana ne la satisfait pas, et je préfère vous le dire d'emblée. Un transfert d'organisations situées dans l'UE vers cette région relève du cadre des transferts hors UE décrit plus haut (clauses contractuelles types) — à valider dans votre propre analyse.
Conservation des données. Soyons précis, car ce point est souvent enjolivé ailleurs : Subanana ne pratique pas, à ce jour, de suppression automatique des contenus. Les fichiers, transcriptions et résumés sont conservés tant que vous ne les supprimez pas ; il n'y a pas de purge automatique au bout de N jours. La suppression se fait à votre demande. C'est une posture « vos contenus restent là où vous les avez mis » — pas une posture « effacement automatique pour la confidentialité ». Si une durée de conservation contractuelle vous est imposée, intégrez-la à votre évaluation.
Le cas de la souveraineté : le déploiement privé. Pour les organisations qui ont à la fois le budget et une exigence de conformité stricte (les données ne doivent pas quitter leur environnement), Subanana propose une option de déploiement privé / sur site : une installation autonome qui fonctionne dans votre propre environnement, où l'audio et le traitement restent à l'intérieur de votre réseau, sans transit par le cloud de Subanana. Cette option suit une tarification au projet, distincte des abonnements standards, et se traite uniquement via le contact commercial — ce n'est pas un parcours en libre-service. C'est la réponse adaptée quand l'hébergement Singapour est rédhibitoire pour des raisons de souveraineté.
Là où Subanana est pertinent malgré tout. Pour des réunions internes multilingues qui ne relèvent pas d'un régime de souveraineté strict, le service cloud reste un choix solide : transcription multilingue dans plus de 80 langues, compte rendu de réunion par IA, et un DPA peut être discuté pour un usage professionnel. La règle reste la même que pour tout outil : calez votre choix sur le niveau d'exigence réel de vos données, pas sur une étiquette.
Questions fréquentes
Un logiciel de transcription doit-il être hébergé en France pour être conforme au RGPD ?
Non. Le RGPD n'impose pas un hébergement en France ni même dans l'UE — il encadre les transferts hors UE (article 44). Un outil hébergé hors UE peut être conforme s'il s'appuie sur une décision d'adéquation ou sur des clauses contractuelles types. L'hébergement en France relève d'une exigence de souveraineté (souvent matérialisée par SecNumCloud), distincte de la simple conformité RGPD. Les deux ne se confondent pas.
Quelle est la différence entre conformité RGPD et souveraineté des données ?
La conformité RGPD signifie que le traitement respecte le règlement (base légale, information, DPA, sécurité, encadrement des transferts). La souveraineté ajoute une garantie : les données restent sous le seul droit européen et ne sont pas exposées à des lois extra-européennes. Un outil peut être conforme au RGPD sans être souverain. Pour des données très sensibles, c'est la souveraineté — pas seulement le RGPD — qui est l'exigence déterminante.
Quels documents demander à un éditeur de transcription avant de signer ?
Au minimum : le contrat de sous-traitance (DPA) conforme à l'article 28, la liste des sous-traitants ultérieurs (hébergeur, fournisseurs de modèles d'IA), la région d'hébergement des données, le mécanisme de transfert si les données quittent l'UE (CCT ou adéquation), la politique de conservation et de suppression, et la documentation des mesures de sécurité (chiffrement, contrôle d'accès). Une réponse écrite à chacun de ces points constitue votre dossier de conformité.
Faut-il le consentement de chaque participant pour transcrire une réunion ?
Pas nécessairement le « consentement » au sens strict : la base légale peut être l'intérêt légitime ou l'exécution d'un contrat selon le contexte. En revanche, l'information préalable des participants, elle, est attendue — la CNIL rappelle qu'il faut informer de l'objectif, des destinataires, du droit d'opposition et du droit d'accès. Concrètement : annoncez l'enregistrement et la transcription en début de séance et laissez une possibilité de s'y opposer.
Subanana est-il hébergé en France ?
Non. Le service cloud de Subanana s'appuie sur AWS en région Singapour ; il n'est pas hébergé en France ni dans l'UE. Pour les organisations qui exigent que les données ne quittent pas leur environnement, Subanana propose un déploiement privé / sur site à tarification au projet, via le contact commercial — c'est la voie adaptée aux exigences de souveraineté stricte.