Analyse d’Impact sur la Protection des Données
Conclusion principale : L'audio étant traité en mémoire volatile et immédiatement supprimé — aucune donnée personnelle ne subsistant sur nos serveurs après traitement — tous les risques identifiés sont réduits à Faible après application des mesures d'atténuation. Le traitement peut être effectué dans le cadre des bases légales et des garanties documentées.
Section 1
Description du Traitement
Ce que nous traitons et pourquoi
| Finalité | Données traitées | Base légale (RGPD) | Base KVKK (Turquie) |
|---|---|---|---|
| Transcription audio | Fichier audio (RAM uniquement, supprimé après traitement) | Art. 6(1)(b) — Exécution du contrat | Consentement explicite |
| Compte et facturation | Identifiant pseudonyme, solde, métadonnées d’utilisation | Art. 6(1)(b) — Exécution du contrat | Consentement explicite |
| Authentification | Identifiant OIDC (haché, original supprimé) | Art. 6(1)(b) — Exécution du contrat | Exécution du contrat |
| Achat intégré | Reçu IAP de l’App Store / Play Store | Art. 6(1)(b) — Exécution du contrat | Exécution du contrat |
| Confirmation d’âge | Confirmation d’âge déclarée (17+) | Art. 8 RGPD / Art. 6 KVKK | Obligation légale |
| Rapports de plantage | Rapports d’erreurs anonymisés (opt-in, DCP supprimées) | Art. 6(1)(a) — Consentement | Consentement explicite |
Inventaire des données
| Données | Conservation serveur |
|---|---|
| Fichier audio | RAM uniquement — supprimé après transcription |
| Texte de la transcription | Jusqu’à confirmation du client (TTL serveur de 24 heures en cas d’absence d’ACK) |
| Identifiant pseudonyme | Jusqu’à suppression du compte |
| Solde du compte + métadonnées d’utilisation | Jusqu’à suppression du compte |
| Adresse e-mail | Transit uniquement — non stockée |
| Adresses IP | Transit uniquement — non journalisées |
| Rapports de plantage (opt-in) | Point de terminaison de rapport de plantage de SafeScribe — non partagé avec des tiers |
Pour l'inventaire complet des données, voir Politique de Confidentialité § Données que nous collectons.
Métadonnées par traitement : durée audio (secondes), taille du fichier (octets), nombre de mots, montant facturé (USD) et horodatages de traitement. Elles ne contiennent aucun contenu audio, aucun texte de transcription ni aucune information permettant d'identifier l'utilisateur.
Conservation des sauvegardes. Une sauvegarde quotidienne des données de compte est conservée pour la continuité du service. Chaque sauvegarde écrase la précédente. Les données supprimées via la suppression de compte sont retirées des systèmes actifs immédiatement et de la sauvegarde sous 24 heures — aucune copie ne persiste au-delà de cette fenêtre.
Flux de traitement
1. L'utilisateur enregistre ou sélectionne de l'audio sur son appareil
2. Prétraitement audio côté appareil (filtre passe-haut 80 Hz, écrêtage du silence, normalisation de loudness à -16 LUFS, limitation de crête, rééchantillonnage 16 kHz, encodage FLAC)
3. Envoi chiffré vers les serveurs SafeScribe (TLS 1.2+)
4. Traitement audio en RAM côté serveur — auto-hébergé, un modèle puissant de la famille Whisper via faster-whisper / CTranslate2, aucun appel API tiers
5. Transcription retournée avec somme de contrôle d'intégrité SHA-256
6. Le client vérifie la somme de contrôle et confirme la réception
7. Le serveur supprime immédiatement la transcription et l'audio de la RAM
8. La transcription est stockée localement sur l'appareil dans un stockage chiffré AES-256
Section 2
Nécessité et Proportionnalité
- ✓Le téléchargement audio est nécessairele traitement IA côté serveur offre une précision supérieure aux alternatives actuelles sur appareil, au niveau de qualité requis par SafeScribe
- ✓L'authentification est nécessairerequise pour la facturation par utilisateur et l'isolation des traitements
- ✓Les rapports de plantage sont proportionnésles DCP sont supprimées avant transmission ; opt-in uniquement
- ✓Minimisation des donnéesl'audio est traité uniquement en RAM, jamais écrit sur disque
- ✓Conservation minimaleles transcriptions sont supprimées immédiatement à la confirmation ; TTL serveur de 24 heures en cas d'absence de confirmation du client
- ✓Aucune utilisation secondairel'audio n'est jamais utilisé pour l'entraînement de modèles ni pour des analyses
Droits des personnes concernées
Tous les droits des personnes concernées au titre du RGPD et du KVKK (accès, rectification, effacement, limitation, portabilité, opposition et retrait du consentement) peuvent être exercés dans l’application ou en contactant privacy@safescribe.dev. Ces droits sont détaillés dans notre Politique de Confidentialité § Ce que vous pouvez faire.
Section 3
Évaluation des Risques
Risques identifiés et mesures d’atténuation
| Risque | Inhérent | Mesures d’atténuation | Résiduel |
|---|---|---|---|
| L’audio contient des données personnelles sensibles (santé, juridique, financier) | Élevé | Traitement RAM uniquement ; suppression immédiate ; aucun stockage persistant ; aucun accès tiers | Faible |
| Accès non autorisé à la transcription en transit | Moyen | TLS 1.2+ ; somme de contrôle SHA-256 | Faible |
| Intrusion côté serveur exposant audio ou transcriptions | Moyen | Aucun stockage audio persistant ; API authentifiée ; isolation par traitement ; TTL de sécurité | Faible |
| Accès non autorisé au stockage local chiffré | Faible | Conteneurs chiffrés AES-256 ; clé dans iOS Keychain / Android Keystore | Faible |
| Fuite de DCP via les rapports de plantage | Faible | Suppression par motif des e-mails, téléphones, IP et tokens avant envoi au point de terminaison de rapport de plantage de SafeScribe | Faible |
| Transfert de données transfrontalier | Moyen | Turquie (KVKK — loi turque sur la protection des données personnelles) consentement explicite au premier lancement ; consentement explicite et éclairé au premier lancement conformément à l’art. 49(1)(a) du RGPD | Faible |
| L’IA produit une transcription inexacte de contenu sensible | Faible | La transcription est purement informative ; l’utilisateur examine toutes les sorties ; aucune décision automatisée | Faible |
Tous les risques résiduels sont Faibles. Le principal facteur de risque — le contenu audio sensible — est traité au niveau architectural : l'audio n'est jamais écrit sur disque, jamais conservé au-delà du traitement, et jamais partagé avec des tiers.
Section 4
Consentement et Transparence
Un écran de consentement granulaire est présenté aux utilisateurs avant la première utilisation, composé de quatre cartes indépendantes :
Traitement Audio (obligatoire)
Explique le traitement RAM uniquement, la suppression immédiate et que l'audio n'est jamais écrit sur disque ni partagé avec des tiers.
Données Stockées (obligatoire)
Explique quelles données persistantes sont conservées : identifiant pseudonyme, solde de crédits et métadonnées d'utilisation anonymes.
Confirmation d'Âge (obligatoire)
Confirme que l'utilisateur a 17 ans ou plus. Les cartes obligatoires doivent être acceptées pour continuer.
Rapports de Plantage (optionnel)
Permet l'opt-in aux rapports de plantage anonymes. Désactivé par défaut. Modifiable à tout moment depuis les Paramètres de Confidentialité.
- Les boutons Accepter et Refuser ont une importance visuelle égale (conformément aux lignes directrices EDPB sur les dark patterns)
- Les utilisateurs peuvent retirer leur consentement et supprimer leur compte à tout moment depuis les Paramètres de Confidentialité
- Cette AIPD est révisée annuellement ou lors de modifications significatives du traitement
- Publiée à cette URL dans un souci de transparence publique
Section 5
Décision
Sur la base de l'évaluation ci-dessus, tous les risques résiduels sont Faibles. Le traitement peut être effectué dans le cadre des bases légales identifiées avec les garanties documentées. Aucune consultation préalable d'une autorité de contrôle n'est requise.
Journal de révision
Historique des Versions
| Date | Version | Modifications |
|---|---|---|
| Mars 2026 | 1.0 | AIPD initiale pré-lancement couvrant le pipeline de transcription audio, la conception de l’écran de consentement, l’évaluation des risques et la documentation des bases légales |