Architecture de Sécurité
Vue d’ensemble
Six Couches de Protection
Couche 1 — Transport
Chiffrement TLS 1.2+ sur chaque connexion. Le trafic est chiffré de bout en bout, sans exception.
Couche 2 — RAM uniquement
L'audio ne touche jamais le disque. Traitement en mémoire volatile, suppression immédiate après transcription.
Couche 3 — Identité pseudonyme
Votre adresse e-mail et votre nom ne sont jamais stockés. Seul un hachage unidirectionnel de votre identifiant est conservé.
Couche 4 — Chiffrement local
Stockage AES-256 sur l'appareil. Clés uniquement dans le stockage sécurisé matériel (iOS Keychain / Android Keystore).
Couche 5 — Suppression des DCP
Les rapports de plantage sont purgés de toute donnée personnelle avant de quitter votre appareil.
Couche 6 — Suppression en cascade
Chaque étape de traitement supprime immédiatement les données de l'étape précédente. TTL de sécurité en secours.
Principe de conception
Traiter, Livrer, Supprimer
Les services de transcription classiques écrivent l’audio sur disque et peuvent le conserver indéfiniment. SafeScribe reçoit l’audio en RAM, le traite et le supprime dès que vous recevez votre transcription — aucun octet n’est écrit sur un stockage permanent. Le schéma de flux des données ci-dessous illustre l’ensemble du processus.
La différence fondamentale : même en cas de saisie physique du serveur, aucune donnée audio ou de transcription ne serait trouvée — elles n’existaient qu’en mémoire volatile.
Couche 1
Sécurité du Transport
| Protection | Ce qui est empêché |
|---|---|
| Chiffrement TLS 1.2+ | Écoute du trafic réseau |
| Somme de contrôle SHA-256 | Altération de la transcription en transit |
Couche 2
Traitement Serveur en RAM uniquement
C’est le cœur de la conception Privacy by Design de SafeScribe. Le serveur exécute les poids du modèle Whisper d’OpenAI via le moteur d’inférence auto-hébergé faster-whisper — aucun appel à une API tierce. Le stockage des données est configuré en mode purement volatile, sans aucune persistance sur disque.
- ✓ Un redémarrage du serveur efface définitivement toutes les données en mémoire — par conception
- ✓ Aucun fichier, aucune sauvegarde ni aucun journal ne contient vos données audio
- ✓ Une analyse forensique du serveur ne révélerait aucun contenu audio
Stockage serveur temporaire (RAM uniquement) :
| Données | Supprimées quand |
|---|---|
| Octets audio | Transcription terminée |
| Texte de la transcription | Réception confirmée |
| Métadonnées du traitement | Réception confirmée |
Stockage serveur permanent (sur disque) :
| Données | Finalité | Contient des DCP ? |
|---|---|---|
| Identifiant pseudonyme | Preuve de facturation | Non — hachage unidirectionnel, non réversible |
| Durée et coût | Preuve financière | Non |
| Taille du fichier (octets) | Analyse du service | Non |
| Nombre de mots | Analyse du service | Non |
| Horodatage | Piste d’audit | Non |
Couche 3
Identité Pseudonyme
SafeScribe utilise Google Sign-In et Sign in with Apple. Vos données personnelles ne sont jamais stockées :
| Ce que le fournisseur d’authentification transmet | Ce que nous stockons |
|---|---|
| Adresse e-mail | Non stockée |
| Nom d’affichage | Non stocké |
| Identifiant de compte | Hachage cryptographique unidirectionnel uniquement |
Le hachage unidirectionnel de votre identifiant :
- ✓ Ne peut pas être inversé pour révéler votre identité
- ✓ Vous est propre — utilisé uniquement pour la facturation
- ✓ Ne contient aucune information personnelle
Couche 4
Chiffrement Local
Les transcriptions stockées sur votre appareil sont protégées par :
| Protection | Technologie |
|---|---|
| Chiffrement | AES-256 |
| Stockage des clés | iOS Keychain / Android Keystore |
| Base de données | Conteneurs chiffrés |
Même avec un accès direct au système de fichiers, les données de transcription apparaissent comme du binaire illisible. La clé est conservée dans un stockage sécurisé matériel, hors des fichiers de l’application. Désinstaller l’application détruit définitivement la clé.
Couche 5
Suppression des DCP dans les Diagnostics
Si l’application rencontre une erreur, un rapport de plantage peut optionnellement être envoyé. Avant de quitter votre appareil, les éléments suivants sont automatiquement supprimés :
Vous pouvez désactiver entièrement les rapports de plantage dans les paramètres de confidentialité de l’application.
Couche 6
Suppression en Cascade
Chaque étape de traitement supprime immédiatement les données de l’étape précédente : l’audio est supprimé après la transcription, la transcription est supprimée après confirmation. Le schéma de flux des données présente l’ensemble du processus avec tous les points de suppression.
Ce n’est pas un processus de nettoyage en arrière-plan. La suppression intervient immédiatement dans le cadre du pipeline de traitement.
Parcours complet
Parcours de vos Données
Transparence
Vérification Indépendante
Nous encourageons les chercheurs en sécurité et les défenseurs de la vie privée à vérifier nos affirmations :
- Analyse réseau Wireshark ou Charles Proxy permet de confirmer que tout le trafic SafeScribe est chiffré TLS.
- Évaluations publiées Notre Analyse d'Impact sur la Protection des Données présente l'analyse complète des risques et le registre des décisions.
- Divulgation responsable Vous avez découvert une vulnérabilité ? Contactez security@safescribe.dev.