Quand l’IA s’invite dans vos réunions : Vos collaborateurs l’ont peut-être déjà fait sans vous le dire. Un petit bot nommé « Otter », « Fireflies », « PLAUD » ou « Noota » a rejoint leur dernière visioconférence Teams ou Zoom. Il a enregistré, transcrit, identifié chaque intervenant, résumé les échanges, extrait les décisions et généré un plan d’actions, le tout en quelques minutes. Pratique, non ?
Sauf que derrière cette prouesse technologique, c’est une chaîne de traitements de données personnelles qui s’est déclenchée. Voix capturées, propos transcrits, noms associés à des opinions, contenus analysés par des algorithmes d’intelligence artificielle, données potentiellement transférées sur des serveurs américains, et peut-être même utilisées pour entraîner des modèles de langage. Le tout, souvent, sans que personne ait réfléchi à la conformité RGPD.
Comment fonctionnent les assistants IA de réunion : la chaîne des traitements
Pour mesurer les enjeux RGPD, il faut d’abord comprendre ce qui se passe techniquement lorsqu’un outil d’IA prend en charge une réunion. Chaque étape de cette chaîne constitue un traitement de données personnelles distinct, avec ses propres implications.
Étape 1 – La captation audio (et parfois vidéo)
L’outil enregistre l’intégralité des échanges. En visioconférence, un bot rejoint la réunion comme participant virtuel (c’est le cas d’Otter.ai avec « OtterPilot« , de Fireflies avec « Fireflies Notetaker », ou de tl;dv). Certains outils comme Tactiq ou ScreenApp captent directement l’audio du poste de l’utilisateur, sans bot visible. Pour les réunions en présentiel, des accessoires dédiés (dictaphones IA comme le PLAUD NotePin, microphones omnidirectionnels Philips, ou simplement le micro du smartphone) capturent le son ambiant.
Données personnelles traitées : la voix (donnée personnelle par nature), l’image vidéo le cas échéant, les métadonnées de la réunion (date, heure, participants, durée).
Étape 2 – La transcription automatique (Speech-to-Text)
L’enregistrement audio est converti en texte par des algorithmes de reconnaissance vocale automatique (ASR : Automatic Speech Recognition). Les solutions actuelles atteignent des taux de précision de 92 à 98 % dans des conditions optimales. Certaines, comme Noota (développé en France), sont spécifiquement optimisées pour le français. D’autres, comme Fireflies, transcrivent dans plus de 100 langues.
Données personnelles traitées : le contenu textuel des propos tenus par chaque participant, associé à son identité.
Étape 3 – L’identification des locuteurs (Speaker Diarization)
L’IA identifie qui parle à quel moment, attribuant chaque segment de parole à un intervenant. Cette attribution se fait par analyse des caractéristiques vocales (timbre, fréquence, rythme), ce qui s’apparente à un traitement de données biométriques.
Données personnelles traitées : empreinte vocale utilisée pour la distinction des locuteurs, association nom/propos.
Étape 4 – L’analyse sémantique et la génération du compte rendu
C’est ici que l’IA générative entre en jeu. Des modèles de langage (LLM) analysent la transcription pour en extraire les points clés, les décisions, les actions de suivi, les questions ouvertes, et parfois même le « sentiment » ou le « ton » des échanges. Certains outils comme Noota proposent une « détection des émotions » et une analyse du taux de participation de chaque intervenant.
Données personnelles traitées : interprétation automatisée des propos, profilage comportemental (qui parle combien, sur quel ton), inférences sur l’état émotionnel des participants.
Étape 5 – Le stockage, le partage et l’exploitation
Les transcriptions, résumés et enregistrements sont stockés dans le cloud de l’éditeur, partagés avec les participants ou poussés vers des outils tiers (Slack, Notion, HubSpot, Salesforce). Certains outils permettent d’interroger l’historique de toutes les réunions passées via un chatbot IA (« AskFred » chez Fireflies, « AI Chat » chez Otter).
Données personnelles traitées : agrégation et croisement de données issues de multiples réunions, profilage longitudinal des individus.
Étape 6 (souvent invisible) – L’entraînement des modèles IA
Certains éditeurs utilisent (ou ont utilisé) les données des utilisateurs pour entraîner et améliorer leurs modèles d’IA. Otter.ai fait l’objet depuis août 2025 d’une action collective (Brewer c. Otter.ai) portant précisément sur ce point. Fireflies revendique une politique de rétention 0 jour pour l’entraînement, mais la vérification reste difficile.
Données personnelles traitées : réutilisation des contenus vocaux et textuels à une finalité distincte de celle initialement déclarée.
Le panorama des outils : qui fait quoi, et où vont vos données ?
Les solutions américaines dominantes
Otter.ai (San Francisco) : pionnier du marché, certification SOC 2, conformité HIPAA obtenue en juillet 2025. Transcription temps réel, résumés IA, recherche cross-réunions. Bot visible « OtterPilot » qui rejoint automatiquement les réunions. Hébergement aux États-Unis. Action collective en cours sur le consentement et l’utilisation des données.
Fireflies.ai (San Francisco) : transcription dans plus de 100 langues, chatbot « AskFred », intégrations CRM étendues. Chiffrement AES 256-bit, politique de rétention 0 jour pour l’entraînement IA. Option de résidence des données dans l’UE sur les forfaits Business. Traitement sur serveurs américains par défaut.
Fathom (États-Unis) : version gratuite illimitée mais uniquement sur Zoom. Résumés et actions de suivi automatiques. Pas de conformité EU AI Act.
Read.ai (États-Unis) : copilote IA couvrant réunions, emails et messages. Coaching des intervenants. L’Université Chapman a interdit cet outil pour des raisons de confidentialité.
Les alternatives européennes
1. tl;dv (Allemagne)
Positionnement RGPD
-
Ancrage dans l’Union européenne.
-
Information préalable des participants avant enregistrement.
-
Revendication de conformité à l’EU AI Act.
Points favorables
-
Localisation UE limitant les transferts hors UE.
-
Information préalable des participants compatible avec l’article 13 RGPD.
-
Positionnement proactif sur la conformité IA.
Points de vigilance
-
Vérifier :
-
L’enregistrement audio/vidéo constitue une donnée personnelle, souvent sensible en contexte RH ou santé.
-
L’analyse automatisée peut constituer un profilage au sens de l’article 4.
2. Noota (France, Paris)
Positionnement RGPD
-
Hébergement UE.
-
Double chiffrement.
-
Contrats de traitement conformes RGPD.
Points favorables
-
Localisation des données en UE.
-
Chiffrement renforcé annoncé.
-
Spécialisation linguistique française pertinente pour la minimisation des données.
-
Prix accessible, facilitant la conformité pour PME.
Points de vigilance
-
Détection des émotions :
-
Potentiellement assimilable à de l’analyse biométrique ou comportementale.
-
Risque de qualification en donnée sensible si utilisée en contexte RH.
-
Obligation probable d’AIPD selon article 35.
-
-
Nécessité d’un encadrement clair des finalités.
3. Leexi (France)
Positionnement RGPD
-
Hébergement en France.
-
Certification ISO 27001.
-
Chiffrement bout-en-bout.
-
Ciblage secteurs réglementés.
Points favorables
-
ISO 27001 : gage de maturité sécurité.
-
Hébergement France limitant les transferts.
-
Chiffrement fort annoncé.
-
Orientation secteurs sensibles rassurante.
Points de vigilance
-
Vérifier :
-
L’existence de sous-traitants ultérieurs.
-
Les modalités d’entraînement des modèles IA.
-
L’absence de réutilisation des données clients à des fins d’amélioration produit sans base légale.
-
-
En secteur santé ou juridique : attention aux données sensibles.
4. Dicte.AI (France, Livdeo SAS)
Positionnement RGPD
-
Modèles open source ou européens.
-
Option DicteBOX pour maîtrise locale.
-
Position assumée de sous-traitant.
Points favorables
-
Transparence sur la qualification juridique.
-
Option on-premise (DicteBOX) intéressante pour données sensibles.
-
Réduction potentielle des transferts internationaux.
Points de vigilance
-
Vérifier :
-
Les flux exacts de données en mode SaaS.
-
Les modalités de support et maintenance.
-
Les garanties contractuelles en cas d’installation locale.
-
5. Amberscript (Pays-Bas)
Positionnement RGPD
-
Focus européen.
-
Transcription multilingue.
Points favorables
-
Localisation UE.
-
Expérience européenne en conformité.
Points de vigilance
-
Vérifier :
-
L’hébergement réel des données.
-
Les sous-traitants cloud.
-
La réutilisation des données à des fins d’entraînement IA.
-
-
Absence d’informations publiques détaillées sur certifications sécurité.
Synthèse comparative RGPD
| Outil | Localisation | Chiffrement | Secteurs sensibles | Analyse IA avancée | Risque RGPD principal |
|---|---|---|---|---|---|
| tl;dv | Allemagne | À vérifier | Généraliste | Oui | Profilage / transferts |
| Noota | France | Double | Généraliste | Émotions | Données sensibles potentielles |
| Leexi | France | E2E + ISO | Réglementés | Oui | Données santé / RH |
| Dicte.AI | France | Variable | Public / santé | Oui | Paramétrage local |
| Amberscript | Pays-Bas | À vérifier | Généraliste | Oui | Transferts cloud |
Risque identifié : profilage et transferts internationaux éventuels.
L’outil analyse automatiquement les réunions. Si des résumés, scores ou analyses comportementales sont générés, cela peut constituer un profilage au sens de l’article 4 du RGPD.
Par ailleurs, il faut vérifier si l’infrastructure cloud est intégralement située dans l’Union européenne. Si une partie repose sur des fournisseurs américains, un transfert hors UE peut exister, même indirect.
Risque identifié : traitement de données potentiellement sensibles.:
La détection des émotions peut, selon l’usage, s’apparenter à une analyse biométrique ou à une inférence comportementale.
En contexte RH ou santé, cela peut faire basculer le traitement vers une zone juridiquement sensible. Une analyse d’impact relative à la protection des données peut devenir nécessaire.
Risque identifié : données sectorielles sensibles.
L’outil cible des secteurs réglementés (finance, juridique, santé).
Dans ces contextes, les réunions peuvent contenir des données de santé, des données pénales ou des informations couvertes par le secret professionnel. Le risque ne vient pas de l’outil lui-même mais de la nature des données traitées.
Risque identifié : maîtrise technique réelle selon le mode choisi.:
En mode SaaS, il faut vérifier précisément les flux, les accès de maintenance, et les sous-traitants techniques. Le risque dépend du paramétrage retenu.
Risque identifié : dépendance cloud et sous-traitants.
Comme pour tout outil SaaS, la question centrale est l’écosystème technique réel.
Le risque porte principalement sur les sous-traitants ultérieurs et la réutilisation éventuelle des données pour entraîner les modèles.
Recommandations DPO
-
Qualification juridique claire : responsable de traitement ou sous-traitant.
-
Vérification des flux de données et des sous-traitants ultérieurs.
-
Réalisation d’une AIPD si :
-
Enregistrements systématiques,
-
Analyse comportementale,
-
Usage RH ou santé.
-
-
Encadrement des durées de conservation.
-
Information claire des participants et base légale adaptée.
-
Clause interdisant la réutilisation des données pour entraînement IA sans autorisation.
Les solutions à traitement local
Meetily : traitement intégralement sur l’appareil de l’utilisateur. Aucune donnée ne quitte le poste. Architecturalement la solution la plus sûre pour la conformité RGPD, au prix de fonctionnalités plus limitées.
Les fonctions IA intégrées aux plateformes de visioconférence
Microsoft Teams (Copilot/Intelligent Recap), Zoom (AI Companion), Google Meet (Gemini) : ces fonctions intégrées ont l’avantage de rester dans l’écosystème existant de l’organisation, avec les contrats de sous-traitance déjà en place. La localisation des données dépend de la configuration du tenant.
L’analyse RGPD : six traitements, six analyses distinctes
L’erreur la plus fréquente est de traiter l’ensemble de la chaîne comme un seul traitement. En réalité, chaque étape décrite ci-dessus peut constituer un traitement distinct avec sa propre finalité, sa propre base légale et ses propres destinataires. Le registre des traitements doit en rendre compte.
3.1 – La base légale : un choix déterminant
Le consentement (art. 6.1.a RGPD) est la base la plus intuitive, mais aussi la plus fragile. Dans un contexte professionnel, la liberté du consentement est systématiquement questionnée : un salarié peut-il réellement refuser que son manager enregistre la réunion d’équipe ? La CNIL et le CEPD (Comité européen de la protection des données) ont rappelé à plusieurs reprises que le déséquilibre de pouvoir entre employeur et salarié rend le consentement difficilement « libre » au sens du RGPD.
De plus, le consentement doit couvrir chaque finalité distincte. Consentir à l’enregistrement pour rédiger un compte rendu ne vaut pas consentement à l’analyse émotionnelle ou au profilage comportemental.
L’intérêt légitime (art. 6.1.f RGPD) est souvent plus robuste en contexte professionnel. Il nécessite cependant une mise en balance documentée (test de proportionnalité) entre l’intérêt de l’organisation et les droits des personnes. Cet intérêt peut être légitime pour la transcription et la rédaction du compte rendu. Il sera beaucoup plus difficile à justifier pour l’analyse des émotions ou le profilage des participants.
Cas particulier du CSE : l’article D.2315-27 du Code du travail autorise l’enregistrement des réunions du CSE. L’employeur ne peut pas s’y opposer. La CNIL recommande la suppression de l’enregistrement dès la validation du procès-verbal.
3.2 – L’information des personnes : avant, pendant, et en détail
Le RGPD impose une information complète avant le début du traitement. Pour les assistants IA de réunion, cette information doit couvrir :
- Le fait même de l’enregistrement et de l’analyse par IA
- L’identité du responsable de traitement et du sous-traitant (l’éditeur de l’outil)
- Les finalités détaillées : transcription, résumé, analyse sémantique, détection d’émotions le cas échéant, recherche cross-réunions
- La base légale retenue pour chaque finalité
- Les destinataires (qui aura accès aux transcriptions ? les managers ? les RH ? un CRM ?)
- La durée de conservation de l’enregistrement ET de la transcription (qui peuvent différer)
- Les transferts hors UE le cas échéant
- Les droits des personnes (accès, rectification, effacement, opposition, limitation, portabilité, réclamation CNIL)
En pratique, cela suppose de mentionner l’utilisation de l’IA dans l’invitation à la réunion, de rappeler oralement les modalités en début de séance, et de s’assurer que les notifications de la plateforme sont bien visibles. Un simple « cette réunion est enregistrée » ne suffit pas.
3.3 – La minimisation : enregistrer moins, mieux, ou pas du tout
Le principe de minimisation (art. 5.1.c RGPD) impose de ne collecter que les données strictement nécessaires à la finalité. Plusieurs questions se posent :
Audio vs. vidéo : si l’objectif est de produire un compte rendu, l’audio suffit. L’enregistrement vidéo ajoute l’image des participants, le droit à l’image, et potentiellement des données biométriques. C’est rarement proportionné.
Enregistrement intégral vs. sélectif : faut-il capturer l’intégralité de la réunion, y compris les bavardages informels, ou uniquement les points à l’ordre du jour ? Certains outils comme Dicte.AI encouragent l’enregistrement sélectif de segments clés plutôt que de la totalité.
Transcription vs. analyse comportementale : la transcription des propos pour un compte rendu est une chose. L’analyse des émotions, du taux de participation ou du « style de communication » de chaque intervenant en est une autre, beaucoup plus intrusive et beaucoup plus difficile à justifier.
3.4 – La durée de conservation : le point de non-conformité le plus fréquent
La CNIL est très claire : l’enregistrement audio doit être supprimé dès que la finalité est atteinte. Si l’objectif est la rédaction du compte rendu, l’enregistrement doit être détruit dès la validation de celui-ci. Seul le compte rendu validé est conservé.
Or, les outils IA sont conçus pour conserver et indexer les données. C’est même leur valeur ajoutée : pouvoir chercher dans l’historique de toutes les réunions passées. Le chatbot « AskFred » de Fireflies, par exemple, fouille dans l’ensemble de vos réunions archivées pour répondre à une question. Cette fonctionnalité est séduisante mais directement contradictoire avec le principe de limitation de la conservation.
Une politique de conservation rigoureuse doit définir :
- La durée de conservation de l’enregistrement audio/vidéo (ex. : suppression sous 30 jours après validation du CR)
- La durée de conservation de la transcription brute (ex. : suppression après génération du résumé validé)
- La durée de conservation du résumé/compte rendu (selon les besoins métier)
- Les modalités de purge automatique (ne pas compter sur la suppression manuelle)
3.5 – Les transferts hors Union européenne : le risque structurel
C’est probablement le point le plus critique et le plus sous-estimé.
Otter.ai, Fireflies, Fathom, Read.ai : la majorité des assistants IA de réunion sont des entreprises américaines qui traitent les données sur des serveurs situés aux États-Unis. Même avec le Data Privacy Framework (DPF) de juillet 2023, l’incertitude juridique reste vive depuis l’arrêt Schrems II de la CJUE (2020). Un « Schrems III » n’est pas exclu.
Concrètement, utiliser ces outils implique :
- Un transfert de données personnelles (voix, transcriptions, analyses) vers les États-Unis
- L’obligation de documenter une analyse d’impact du transfert (Transfer Impact Assessment : TIA)
- La mise en place de garanties appropriées (clauses contractuelles types : CCT)
- La mention explicite du transfert dans l’information des personnes
- L’inscription dans le registre des traitements
Fireflies propose une option de résidence des données dans l’UE sur ses forfaits Business, ce qui réduit le risque sans l’éliminer totalement (les modèles IA eux-mêmes peuvent être hébergés ailleurs). Les solutions européennes comme tl;dv (Allemagne), Noota et Leexi (France) ou Dicte.AI (France) présentent un avantage structurel sur ce point.
Pour les organisations sensibles (santé, secteur public, défense, services publics de prévention : SPST), le recours à une solution européenne avec hébergement UE n’est plus une recommandation : c’est une quasi-obligation.
3.6 – La sous-traitance : un contrat obligatoire, des vérifications indispensables
L’éditeur de l’outil IA agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Un contrat de sous-traitance (Data Processing Agreement : DPA) est obligatoire. Il doit notamment préciser :
- L’objet et la durée du traitement
- La nature et la finalité du traitement
- Les catégories de données et de personnes concernées
- Les obligations et droits du responsable de traitement
- Les mesures de sécurité techniques et organisationnelles
- Les conditions de recours à des sous-traitants ultérieurs
- Le sort des données en fin de contrat (restitution ou suppression)
Point de vigilance : vérifiez les sous-traitants ultérieurs. Fireflies, Otter ou Read.ai font appel à des fournisseurs d’infrastructure cloud (AWS, GCP) et potentiellement à des fournisseurs de modèles IA (OpenAI, Anthropic, Google). Chaque maillon de cette chaîne doit être documenté et encadré contractuellement.
L’EU AI Act : une couche réglementaire supplémentaire
Depuis le 1er août 2024, le Règlement européen sur l’intelligence artificielle (EU AI Act) est en vigueur, avec une application progressive. Les assistants IA de réunion sont directement concernés.
Classification des systèmes
Les outils de transcription et de résumé de réunion relèvent a priori de la catégorie « risque limité » (limited risk) au sens de l’AI Act, soumise à des obligations de transparence (article 50). Les utilisateurs doivent savoir qu’ils interagissent avec un système d’IA et que le contenu est généré par IA.
Cependant, si l’outil est utilisé dans un contexte de recrutement (analyse des entretiens d’embauche) ou de gestion des salariés (évaluation des performances en réunion, analyse émotionnelle), il pourrait basculer dans la catégorie « haut risque » (high risk), avec des obligations beaucoup plus lourdes : système de gestion des risques, gouvernance des données, documentation technique, évaluation de conformité, enregistrement dans la base de données européenne.
L’interdiction de la reconnaissance des émotions au travail
Point crucial : l’AI Act interdit depuis le 2 février 2025 les systèmes d’IA de reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement (article 5). Or, certains outils de compte rendu IA proposent précisément une « détection des émotions » ou une « analyse du sentiment » des participants. L’utilisation de ces fonctionnalités dans un contexte professionnel est potentiellement interdite par l’AI Act.
Obligations de transparence
Depuis le 2 février 2025, l’obligation de « littératie en IA » (AI literacy, article 4) impose aux organisations de s’assurer que leurs collaborateurs comprennent suffisamment le fonctionnement des systèmes d’IA qu’ils utilisent. Déployer un assistant IA de réunion sans former les équipes est une non-conformité.
Conformité des fournisseurs extra-européens
Les fournisseurs américains (Otter, Fireflies, Fathom) qui ne sont pas conformes à l’EU AI Act exposent les organisations européennes qui les déploient. En tant que « déployeur » (deployer) au sens de l’AI Act, l’entreprise utilisatrice porte une responsabilité propre, indépendante de celle du fournisseur.
Ce qui est interdit : les lignes rouges
L’enregistrement clandestin
L’article 226-1 du Code pénal punit d’un an d’emprisonnement et de 45 000 € d’amende l’enregistrement de paroles prononcées à titre privé ou confidentiel sans consentement. Les bots qui rejoignent automatiquement les réunions sans information préalable des participants créent un risque pénal direct.
L’analyse des émotions en contexte professionnel
Comme vu ci-dessus, l’EU AI Act l’interdit depuis février 2025. Les fonctionnalités de « détection des émotions », « analyse du sentiment » ou « mesure de la confiance » proposées par certains outils ne doivent pas être activées dans un contexte employeur-salarié.
Le détournement de finalité
Enregistrer une réunion pour rédiger un compte rendu, puis utiliser la transcription comme preuve disciplinaire, outil d’évaluation, ou support de formation sans base légale distincte, constitue un détournement de finalité sanctionnable.
L’utilisation des données pour l’entraînement IA sans information
Si les données vocales et textuelles sont utilisées par l’éditeur pour améliorer ses modèles IA, cette finalité doit être explicitement déclarée et reposer sur une base légale propre. L’absence d’information sur ce point est un manquement grave.
La conservation systématique et illimitée
Conserver toutes les transcriptions et tous les enregistrements dans une base de données interrogeable sans durée de conservation définie est contraire au principe de limitation de la conservation du RGPD.
La grille d’évaluation du DPO : 20 questions avant de valider un outil
Avant d’autoriser le déploiement d’un assistant IA de réunion dans votre organisation, passez-le au crible de cette grille :
Localisation et souveraineté
- Où sont hébergées les données (enregistrements, transcriptions, résumés) ?
- Y a-t-il un transfert hors UE ? Si oui, quel mécanisme juridique l’encadre ?
- L’éditeur est-il soumis à des législations extra-territoriales (CLOUD Act, FISA) ?
- Une option d’hébergement UE est-elle disponible, et à quel coût ?
Traitement des données par l’IA
- Les données sont-elles utilisées pour entraîner les modèles IA de l’éditeur ?
- Quels modèles de langage sont utilisés (propriétaires, open source, européens) ?
- L’outil propose-t-il de la détection d’émotions ou de l’analyse comportementale ? (Si oui : alerte EU AI Act)
- Le traitement peut-il se faire localement (on-premise) ou est-il exclusivement cloud ?
Transparence et consentement
- L’outil notifie-t-il tous les participants de l’enregistrement et du traitement IA ?
- Le mécanisme de notification est-il suffisant au regard du RGPD (information complète, pas seulement une icône) ?
- Un participant peut-il refuser l’enregistrement sans quitter la réunion ?
Sécurité
- Quel niveau de chiffrement est appliqué (au repos, en transit) ?
- L’éditeur dispose-t-il de certifications (SOC 2, ISO 27001, HDS pour la santé) ?
- Quels sont les sous-traitants ultérieurs et où sont-ils localisés ?
- Quelle est la politique en cas de violation de données ?
Conservation et droits
- Les durées de conservation sont-elles configurables par l’administrateur ?
- La suppression est-elle effective (pas de copie fantôme, pas de backup non purgé) ?
- Les personnes concernées peuvent-elles exercer leurs droits (accès, effacement) directement ?
- La fonctionnalité de recherche cross-réunions est-elle désactivable ?
Contractuel
Les bonnes pratiques : enregistrer et transcrire en conformité
Élaborer une politique interne
Rédigez et diffusez une politique d’enregistrement et de transcription IA des réunions, validée par la direction, le DPO et le cas échéant le CSE. Cette politique doit couvrir : les outils autorisés, les finalités admises, les procédures d’information et de consentement, les durées de conservation, les modalités de stockage sécurisé, et les interdictions (notamment l’analyse émotionnelle).
Inscrire les traitements au registre
Chaque traitement doit figurer dans le registre des activités de traitement (article 30 RGPD) avec l’ensemble des informations requises. Un assistant IA de réunion génère typiquement plusieurs fiches de traitement distinctes.
Réaliser une AIPD si nécessaire
Une analyse d’impact relative à la protection des données (AIPD art. 35 RGPD) est recommandée, voire obligatoire, lorsque le traitement implique une surveillance systématique des salariés, un traitement à grande échelle de données vocales, ou l’utilisation de technologies innovantes d’IA. C’est le cas de la plupart des déploiements d’assistants IA de réunion à l’échelle d’une organisation.
Privilégier les solutions souveraines
Pour les organisations françaises, en particulier dans les secteurs réglementés (santé, collectivités, services de prévention : SPST), privilégiez les solutions françaises ou européennes avec hébergement UE : Noota, Leexi, Dicte.AI, tl;dv. Le surcoût éventuel est dérisoire comparé au risque d’une sanction CNIL ou d’un contentieux lié à un transfert hors UE.
Former les collaborateurs
L’obligation de littératie IA de l’EU AI Act (article 4, applicable depuis février 2025) impose de former les utilisateurs. Concrètement : expliquer ce que fait l’outil, comment les données sont traitées, quels sont les droits des participants, et ce qui est interdit.
Auditer régulièrement
Les conditions d’utilisation et les pratiques des éditeurs évoluent. Un audit annuel des outils IA utilisés dans l’organisation est un minimum. Vérifiez les mises à jour des DPA, les changements de sous-traitants, les modifications de politique de confidentialité, et les éventuels incidents de sécurité.
8. Tableau de synthèse : conformité RGPD et AI Act des principales solutions
| Critère | Solutions US (Otter, Fireflies, Fathom) | Solutions FR/EU (Noota, Leexi, Dicte.AI, tl;dv) | Traitement local (Meetily) | Fonctions natives (Teams, Zoom, Meet) |
|---|---|---|---|---|
| Hébergement par défaut | USA | France / UE | Appareil utilisateur | Configurable |
| Transfert hors UE | Oui | Non | Non | Configurable |
| DPA art. 28 RGPD | Disponible | Disponible | Non applicable | Inclus dans le contrat existant |
| Conformité EU AI Act | Non garantie | Revendiquée | Conforme | Variable |
| Détection d’émotions | Certains outils | Noota (à désactiver en contexte RH) | Non | Non |
| Politique entraînement IA | Variable / contentieux | Transparente | Pas de transfert | Variable |
| Notification participants | Bot visible (pas toujours suffisant) | Email préalable + notification | Invisible | Icône + message intégré |
| Purge configurable | Oui (forfaits payants) | Oui | Contrôle total | Oui |
| Certifications | SOC 2 | ISO 27001, SOC 2 | — | SOC 2, ISO 27001 |
| Adapté secteurs réglementés | Déconseillé | Recommandé | Adapté | À évaluer |
L’IA au service de la réunion, le RGPD au service des personnes
Les assistants IA de réunion représentent un gain de productivité indéniable. La transcription automatique atteint des niveaux de précision remarquables, les résumés générés par IA sont souvent plus exploitables que des notes manuelles, et l’extraction automatique des actions de suivi transforme réellement l’efficacité post-réunion.
Mais cette puissance crée une asymétrie inédite : un outil peut désormais capturer, transcrire, analyser, profiler et archiver l’intégralité des paroles prononcées par un individu au travail, sur des semaines et des mois, puis permettre à quiconque d’interroger cette base par simple requête en langage naturel. C’est un niveau de surveillance potentiel qui n’existait pas auparavant, et c’est précisément le type de situation pour lequel le RGPD a été conçu.
Le rôle du DPO n’est pas d’interdire ces outils — ce serait aller contre les besoins légitimes des organisations. C’est de les encadrer avec rigueur : choisir des solutions conformes, documenter les traitements, informer les personnes, limiter la conservation, sécuriser les données, et veiller à ce que la technologie reste au service de l’efficacité collective sans devenir un instrument de surveillance individuelle.
Dans un contexte où la CNIL intensifie ses contrôles (plus de 340 en 2024), où l’EU AI Act entre progressivement en application, et où les contentieux se multiplient (action collective contre Otter.ai, interdictions institutionnelles de Read.ai), la question n’est plus de savoir si ces outils seront scrutés, mais quand.
