Choisir un assistant de réunion conforme au RGPD est l'un de ces casse-tête modernes dont personne ne veut.

Vous organisez un simple appel vidéo, vous appuyez sur « enregistrer » et soudain, vous vous retrouvez submergé par les lois sur les données, les règles de consentement et les questions sur l'endroit où votre réunion est réellement stockée. J'ai moi-même vécu cette panique. Bien avant l'entrée en vigueur officielle du RGPD, je devais déjà m'occuper des enregistrements auprès de l'ICO (Information Commissioner's Office) en vertu de l'ancienne loi sur la protection des données, et lorsque la nouvelle réglementation est entrée en vigueur, j'étais tellement inquiet de faire une erreur que je me suis enregistré en tant que responsable du traitement des données, juste pour être sûr.

On a l'impression que le RGPD existe depuis toujours, car la première proposition remonte à 2012. La loi a été adoptée en 2016 et est entrée en vigueur en 2018, mais les années qui ont précédé ont été chaotiques. Les boîtes de réception étaient remplies d'e-mails demandant de « rester abonné ». Les entreprises ont supprimé des listes de diffusion entières, terrifiées à l'idée de se voir infliger des amendes. Les équipes ont ajouté une double confirmation à tout ce qui bougeait, car elles étaient désorientées et ne voulaient pas prendre de risques.

Et oui, les amendes ont été réelles. H&M s'est vu infliger une sanction importante pour avoir conservé des notes détaillées et inappropriées sur son personnel. Un site britannique bien connu dédié à la parentalité a été condamné à une amende pour avoir vendu les données de mères et d'enfants à des groupes politiques pendant une élection. Je m'en souviens uniquement parce que je continue à recevoir des e-mails promotionnels de leur part, même si mes enfants sont désormais adolescents et maîtrisent l'art de lever les yeux au ciel.

Cela est encore plus important dans le domaine des assistants de réunion IA. Ces outils enregistrent les voix, capturent les coordonnées des clients et stockent les conversations qui contiennent souvent des informations confidentielles ou sensibles. Tout cela relève des données personnelles au sens du RGPD. Les enregistrements. Les transcriptions. Même les résumés IA. Si vous travaillez au Royaume-Uni ou dans l'Union européenne, ou si vous collaborez avec des personnes qui y travaillent, vous avez besoin d'un assistant de réunion véritablement conforme au RGPD, et non d'un assistant qui stocke discrètement vos données dans une région des États-Unis en vous faisant de vagues promesses en matière de sécurité.

Ce guide explique tout en termes simples. Ce que signifie le RGPD pour les enregistrements de réunions. Quels sont les risques si vous l'ignorez. Quels assistants de réunion favorisent réellement la conformité et lesquels ne sont pas à la hauteur. Pas de jargon, pas de posture juridique. Juste les informations pratiques que j'aurais aimé avoir avant de paniquer pendant les premières années du RGPD.

Table des matières

Votre liste de contrôle RGPD pour choisir un assistant de réunion

Le RGPD en bref

Utilisez ceci comme liste de contrôle rapide lorsque vous recherchez un assistant de réunion ou un preneur de notes IA.

  • Les personnes savent qu'elles sont enregistrées
    Les participants sont informés que la réunion est enregistrée ou transcrite, et ils en comprennent la raison.
  • Il existe une raison légale d'enregistrer l'
    . L'entreprise dispose d'une base juridique valable, telle que le consentement ou un besoin commercial clair qui a été documenté.
  • Seules les données minimales sont conservées
    Les enregistrements et les transcriptions sont limités à ce qui est réellement nécessaire, plutôt que de tout conserver par défaut.
  • Les données sont stockées dans des régions appropriées
    Les données personnelles des personnes résidant dans l'UE ou au Royaume-Uni sont stockées dans des lieux et auprès de fournisseurs qui répondent aux normes du RGPD.
  • Les personnes peuvent accéder à leurs données ou les supprimer
    Il existe une procédure claire pour traiter les demandes d'accès, de correction et de suppression des contenus des réunions.
  • Les fournisseurs expliquent comment l'IA utilise les données
    L'outil indique si des enregistrements ou des transcriptions sont utilisés pour l'entraînement de l'IA et permet aux clients de contrôler cela.

Cette liste de contrôle est fournie à titre informatif uniquement et ne remplace pas un avis juridique.

tl;dr : RGPD et assistants de réunion

  • Les enregistrements des réunions sont considérés comme des données personnelles. Vous avez donc besoin d'un outil transparent en matière de stockage, de conservation, de sous-traitants, de comportement de l'IA et de traitement régional.
  • D'après les informations publiées par les fournisseurs, tl;dv, Sembly et Jamie proposent la documentation la plus claire en matière de RGPD. D'autres outils peuvent également convenir, mais nécessitent généralement des vérifications supplémentaires auprès du fournisseur.
  • De nombreux autres outils font des promesses ambitieuses, mais présentent des lacunes en matière d'hébergement régional, de formation des modèles et de flux de données, ce qui implique davantage de travail pour les organisations prioritaires de l'UE.
  • Le choix le plus sûr est un assistant de réunion qui offre un contrôle total sur la conservation, la suppression, la résidence des données et le traitement par l'IA, et qui publie une DPA appropriée.

Qu'est-ce que le RGPD et pourquoi est-il important pour les assistants de réunion ?

Le RGPD est la loi européenne et britannique sur la protection des données qui, fondamentalement, vise à protéger les personnes physiques, même lorsque celles-ci participent à une activité qui semble purement professionnelle. Le cadre professionnel ne supprime pas les droits d'une personne sur ses propres informations. Si un assistant de réunion enregistre un appel dans lequel figure la voix d'une personne, son nom, son rôle ou tout autre élément permettant de l'identifier, le RGPD s'applique.

Les assistants de réunion occupent une place particulière. Ils traitent des données commerciales, mais les traitent par le biais de personnes identifiables. Une mise à jour de projet, une conversation avec un client ou un appel commercial peuvent sembler impersonnels, mais les informations appartiennent toujours à des employés, des sous-traitants ou des clients réels. C'est pourquoi la réglementation est importante dans ce domaine. Ces outils capturent les détails des décisions, des discussions, des idées et des réactions d'une manière qui rend soudainement visible la personne derrière le titre du poste.

Vu sous cet angle, le RGPD devient beaucoup plus pertinent pour le travail quotidien que ne le pensent de nombreuses équipes.

Qu'est-ce qui est considéré comme des données personnelles dans l'enregistrement d'une réunion d'affaires ?

Dans un contexte professionnel, la notion de données personnelles est plus large qu'on ne le pense généralement. Elle englobe tout ce qui permet d'identifier ou de relier directement une personne, même si ces informations sont liées à son travail plutôt qu'à sa vie privée.

Il peut s'agir de la voix d'une personne qui parle pendant un appel. Il peut s'agir de son nom ou de son poste lorsqu'elle se présente. Il peut s'agir d'une adresse électronique affichée à l'écran ou d'un commentaire sur sa charge de travail, ses performances, son assiduité ou sa disponibilité. Il peut s'agir d'un chiffre financier lié à un gestionnaire de clientèle spécifique. Il peut même s'agir de notes générées par l'IA si celles-ci résument ou font référence à une personne identifiable.

Un enregistrement de réunion contient souvent tout cela en quelques minutes, parfois sans que personne ne s'en aperçoive. Le chevauchement entre « informations commerciales » et « informations personnelles dans un contexte professionnel » est un piège dans lequel tombent de nombreuses entreprises.

Les principes du RGPD en langage clair pour les équipes très occupées

Le RGPD peut sembler complexe, mais les principes qui le sous-tendent sont simples. Vous devez être transparent avec les personnes concernées quant à ce que vous enregistrez et pourquoi. Vous ne devez collecter que ce dont vous avez besoin et éviter de conserver les enregistrements longtemps après qu'ils ont rempli leur fonction. Vous devez tout stocker de manière sécurisée et éviter les systèmes qui dispersent vos données dans des régions inconnues. Vous devez donner aux personnes concernées la possibilité de consulter ou de supprimer leurs propres informations lorsque cela est approprié. Vous devez également avoir une raison valable pour enregistrer, ce qui, dans le cadre d'une réunion d'affaires, signifie généralement l'accord explicite des personnes concernées.

Ces principes s'appliquent tout autant à une réunion de synchronisation le lundi matin qu'à une présentation client. Le contexte change, mais les droits restent les mêmes.

 

Pourquoi le RGPD s'applique même si votre entreprise est basée aux États-Unis ou ailleurs

Beaucoup de personnes en dehors de l'Europe pensent que le RGPD ne s'applique que si leur entreprise est physiquement implantée au Royaume-Uni ou dans l'Union européenne. En réalité, la loi s'applique également à toute organisation qui traite les données personnelles de personnes résidant dans ces régions lorsque ce traitement est lié à la fourniture d'un service à ces personnes.

Si votre entreprise travaille avec des clients européens ou si des membres de votre équipe en Europe participent à des réunions enregistrées, le RGPD fait alors partie de vos responsabilités, même si votre siège social se trouve ailleurs.

Cela peut prendre les gens au dépourvu, car les assistants de réunion restent silencieux en arrière-plan, enregistrant les conversations et stockant ce qui semble être des discussions professionnelles quotidiennes. Ces enregistrements peuvent contenir des noms, des fonctions, des opinions, des informations sur les clients, des discussions financières et tout ce qui permet d'identifier une personne dans son milieu professionnel. Dès qu'un participant européen se joint à l'appel, ses informations deviennent des données à caractère personnel au sens de la législation européenne, ce qui signifie que vous avez besoin d'un outil qui les traite correctement.

Les choses se compliquent lorsque votre assistant de réunion stocke les enregistrements dans des régions situées en dehors de l'Europe. Dès lors que des données à caractère personnel quittent le Royaume-Uni ou l'Union européenne, l'entreprise qui les traite doit s'appuyer sur des mesures de protection approuvées et fournir des informations claires sur la destination des données, la durée de leur conservation et les personnes susceptibles d'y avoir accès. Cela implique également de faire preuve de transparence quant à l'utilisation des données de réunion pour développer des fonctionnalités d'IA, car les personnes ont le droit de savoir comment leurs informations sont utilisées.

Cela ne signifie pas que vous ne pouvez pas faire appel à un assistant de réunion non européen. Cela signifie simplement que vous devez consacrer plus de temps à la diligence raisonnable. Vous devez comprendre les emplacements de stockage des données de l'entreprise, ses règles de conservation et ses pratiques de formation avant de décider si elle vous aide à respecter vos obligations en matière de RGPD.

Les lois sur la confidentialité dans d'autres pays reflètent également cette tendance. Le Brésil dispose de la LGPD, le Japon de l'APPI et la Californie de ses propres règles strictes (CCPA), notamment des exigences plus strictes en matière de consentement pour les enregistrements. Le RGPD reste la référence pour de nombreuses entreprises internationales, mais le thème général reste le même. Si vous traitez les informations de personnes réelles au-delà des frontières, vous avez besoin d'un assistant de réunion qui traite ces informations de manière responsable.

Les assistants de réunion européens facilitent souvent cette tâche, car la résidence de leurs données, leurs demandes de consentement et leurs options de conservation sont déjà conformes à la réglementation. Cela ne fait pas d'eux la seule option, mais cela leur confère une position plus stable pour toute personne travaillant avec des clients européens.

Vers le RGPD
Un exemple de « RGPD » qui n'est pas encore entièrement conforme

Conformité au RGPD ou « en voie de conformité »

La plupart des assistants de réunion se répartissent en deux camps. Il y a les entreprises qui soutiennent réellement le RGPD, et celles qui en parlent avec optimisme sans rien confirmer de concret. La différence est importante, car le RGPD n'est pas un label que l'on peut revendiquer dans un argumentaire marketing. Il s'agit d'un cadre juridique assorti d'exigences spécifiques qui doivent être intégrées au produit, et non ajoutées après coup.

Un assistant de réunion qui soutient véritablement la conformité vous montrera de manière transparente comment il traite vos données. Une entreprise qui « s'efforce encore d'atteindre la conformité » essaiera de se montrer serviable sans vous fournir les détails dont vous avez besoin pour faire un choix responsable. Une fois que vous savez ce qu'il faut rechercher, la différence devient évidente.

Comment reconnaître la véritable conformité au RGPD dans un assistant de réunion

Lorsqu'une entreprise prend au sérieux le RGPD, cela se voit dans la manière dont elle présente ses informations. Elle explique où vos données sont stockées et combien de temps elles y restent. Elle vous donne le contrôle sur leur conservation, leur suppression et leur accès. Elle précise clairement qui sont ses sous-traitants. Elle vous indique si elle utilise les enregistrements de réunions pour former des fonctionnalités d'IA. Elle décrit ses mesures de sécurité avec suffisamment de détails pour qu'elles semblent fondées plutôt que purement décoratives.

Ils fournissent également un accord de traitement des données approprié. Celui-ci doit être facile à trouver et ne pas être dissimulé derrière un appel commercial. L'accord doit décrire les responsabilités des deux parties, refléter la réalité du fonctionnement du service et être compréhensible pour un non-spécialiste qui cherche à remplir ses obligations.

Les entreprises véritablement orientées vers le RGPD ont tendance à concevoir leurs outils de manière à ce que la conformité soit la norme plutôt qu'un obstacle à contourner. Vous n'avez pas besoin de les forcer à faire preuve de transparence, car elles comprennent déjà pourquoi cela est important.

Signaux d'alerte dans les politiques de confidentialité et les pages consacrées à la sécurité

Des signaux d'alerte apparaissent généralement lorsqu'une entreprise souhaite bénéficier de la crédibilité du RGPD sans fournir les efforts nécessaires pour le respecter. Le premier signe est un langage vague concernant les lieux de stockage. Si elle indique que « vos données peuvent être stockées dans plusieurs régions sécurisées » sans préciser lesquelles, vous ne pouvez que deviner où se trouvent réellement les enregistrements de vos réunions.

Un autre signe avant-coureur est le fait qu'une entreprise n'indique pas clairement si elle utilise les données des clients pour développer ses fonctionnalités d'IA. Certaines dissimulent cette information derrière des formulations vagues telles que « améliorer le service », ce qui n'est pas la même chose que de vous dire que vos réunions enregistrées pourraient être utilisées dans le cadre de formations internes.

Vous devriez également vous méfier si l'entreprise parle beaucoup de sécurité en général, mais évite d'entrer dans les détails. Les expressions telles que « meilleures pratiques » et « normes industrielles » ne vous indiquent pas si le service vous offre des contrôles de conservation ou respecte vos demandes de suppression.

Le plus grand signal d'alarme est la confusion. Si vous ne parvenez pas à comprendre comment l'entreprise traite vos données de réunion après avoir lu sa politique, il y a probablement une raison à cela.

Pourquoi des affirmations vagues telles que « Nos clients disent que nous sommes conformes au RGPD » ne suffisent pas

Certains assistants de réunion tentent de rassurer les gens en affirmant que leurs clients les considèrent comme conformes au RGPD. Cela semble réconfortant jusqu'à ce que l'on se rende compte que cela ne prouve rien. Le RGPD ne repose pas sur l'opinion des clients. Il repose sur des obligations et des responsabilités claires qui peuvent être démontrées par des documents, des décisions techniques et des processus responsables.

Une entreprise ne peut pas externaliser sa conformité à l'opinion des clients. Elle ne peut pas non plus laisser entendre que la conformité est obtenue grâce à sa popularité. Si la seule preuve fournie est que « de nombreux clients utilisent notre produit en Europe », cela ne vous indique pas si l'entreprise elle-même a satisfait aux exigences de la réglementation.

Vous avez besoin de certitudes, pas d'impressions. Vous devez savoir où vont vos enregistrements, qui y a accès, combien de temps ils sont conservés et si quelqu'un les utilise pour former des modèles. Ce sont des questions factuelles qui appellent des réponses factuelles. Si une entreprise n'est pas en mesure de vous fournir ces réponses, vous ne pouvez pas vous fier à une simple citation client.

Que se passe-t-il si vous ignorez le RGPD ?

La plupart des entreprises ont de bonnes intentions. Elles enregistrent les réunions pour gagner du temps et réduire les malentendus. Le problème, c'est que le RGPD ne se concentre pas sur les intentions. Il se concentre sur ce qui arrive réellement aux données personnelles une fois qu'elles ont été collectées. Lorsqu'une entreprise néglige le RGPD, même par accident, les conséquences peuvent être graves et apparaître longtemps après la réunion.

Le risque ne réside pas seulement dans les amendes élevées, bien que celles-ci soient réelles et aient influencé l'approche adoptée par les organismes de réglementation en matière de données sur le lieu de travail. Le problème plus profond est que les enregistrements de réunions contiennent beaucoup plus d'informations personnelles que les gens ne le pensent. Une décision de stockage imprudente peut se transformer en violation. Une approche peu claire en matière de consentement peut donner lieu à une plainte. Une négligence dans la conservation peut laisser des années d'enregistrements sur un serveur.

Exemples illustrant le sérieux des organismes de réglementation

J'ai déjà évoqué ces cas précédemment, mais il vaut la peine de les examiner de plus près, car ils illustrent parfaitement la manière dont les régulateurs appréhendent les situations dans lesquelles des entreprises collectent ou stockent des informations sur des personnes sans raison valable.

H&M s'est vu infliger une amende de 35,3 millions d'euros par l'autorité chargée de la protection des données à Hambourg après que des cadres aient créé des dossiers détaillés sur leurs employés. Ces dossiers contenaient des informations sur la vie privée des employés, notamment des questions familiales, des problèmes de santé et des observations personnelles qui avaient été recueillies discrètement sur de longues périodes. Ces informations ont ensuite été utilisées pour prendre des décisions en matière de personnel. L'autorité de régulation a considéré qu'il s'agissait d'une surveillance intrusive qui allait bien au-delà de ce à quoi les employés pouvaient s'attendre.

Emma's Diary, géré par Lifecycle Marketing, a été condamné à une amende de 140 000 £ par l'ICO. L'entreprise a collecté des données auprès de nouvelles mères qui pensaient s'inscrire pour recevoir des conseils sur la grossesse et les bébés. Ces informations ont ensuite été transmises à une organisation politique pendant une campagne électorale, sans aucune explication dans la politique de confidentialité. Les parents n'avaient aucune raison de penser que leurs données personnelles seraient utilisées dans ce contexte.

Bien que ces cas ne concernent pas le domaine des assistants de réunion, le schéma est le même. Les régulateurs interviennent lorsque les entreprises collectent ou utilisent des informations personnelles d'une manière que les personnes concernées n'ont pas acceptée et ne pourraient raisonnablement anticiper. Les enregistrements de réunions contiennent souvent les mêmes catégories d'informations sans que personne ne s'en aperçoive sur le moment. Une remarque sur la santé, une référence à la performance, un détail sur un client lié à une personne identifiable ou une mise à jour sensible partagée de manière informelle lors d'un appel. Tout cela devient des données personnelles une fois capturé.

Si ces enregistrements restent dans un système plus longtemps que nécessaire ou sont transférés vers des régions dont les personnes concernées n'ont jamais été informées, la situation commence à ressembler aux scénarios déjà sanctionnés par les autorités réglementaires. La technologie est différente, mais la préoccupation sous-jacente est identique. Il s'agit du traitement d'informations personnelles sans clarté ni objectif précis.

Il n'y a pas encore eu d'affaire publique relative au RGPD qui se concentre sur les assistants de réunion basés sur l'IA. Cela ne signifie pas que les entreprises qui les utilisent en sont exemptées. Cela signifie simplement que la question n'a pas encore fait l'objet d'une enquête réglementaire très médiatisée. L'historique des autres amendes montre exactement comment ces situations sont susceptibles d'être considérées lorsqu'une telle enquête aura lieu.

Les 3 meilleurs assistants de réunion conformes au RGPD

Je voulais créer une liste claire de cinq outils. Vraiment ! J'ai passé beaucoup trop de temps à fouiller dans les pages consacrées à la confidentialité et les documents relatifs à la sécurité, pour finalement découvrir que la plupart des assistants de réunion s'appuient fortement sur des centres de données américains ou font des déclarations vagues qui s'effondrent dès que l'on lit les petits caractères. Au final, seuls trois outils offraient des engagements clairs, fondés et publics en matière de RGPD qui me semblaient suffisamment solides pour être partagés.

Ces trois entreprises offrent un hébergement transparent, des contrôles de conservation efficaces, une documentation adéquate et une politique de confidentialité conforme aux exigences opérationnelles des entreprises européennes.

1) tl;dv

Conçu en Europe en se basant sur le RGPD

tl;dv

Je travaille avec tl;dv, je sais donc exactement comment le produit traite les données des réunions en coulisses. Il a été conçu avec beaucoup de soin, ce qui se reflète dans son approche du RGPD, de la sécurité et de la transparence. La plateforme est basée en Europe, l'hébergement est en Europe, et l'ensemble du système est configuré de manière à ce que les clients, en particulier ceux qui traitent des données personnelles au Royaume-Uni ou dans l'UE, aient une compréhension claire de ce qu'il advient de leurs enregistrements.

tl;dv la confidentialité plutôt que d'essayer d'adapter le RGPD à une structure qui n'a jamais été conçue pour cela. Les données sont cryptées au repos et en transit. Les enregistrements et les transcriptions sont conservés dans des centres de données européens. L'équipe tient un registre interne des activités de traitement afin de pouvoir montrer exactement comment les données personnelles circulent dans le système. Ces éléments peuvent sembler insignifiants, mais ils constituent le fondement de la confiance. Ils permettent aux clients d'expliquer et de justifier leurs choix si nécessaire.

Vous avez le contrôle total sur les données relatives à vos réunions.

L'une des raisons pour lesquelles je fais confiance tl;dv le niveau de choix qu'il offre à ses clients. Vous pouvez définir la durée de conservation de vos enregistrements. Vous pouvez supprimer tout ce que vous voulez à tout moment. Vous pouvez tout télécharger. Vous pouvez décider où votre IA est hébergée. Si votre entreprise a besoin que votre traitement IA reste en Europe, vous pouvez le verrouiller en Europe. Si votre organisation s'étend sur plusieurs continents et préfère un hébergement aux États-Unis, c'est un choix que vous pouvez faire. Le fait est que la décision vous appartient.

tl;dv fournit tl;dv à ses clients des informations claires sur la manière dont l'IA tierce est impliquée. Lorsque la plateforme utilise Anthropic l'IA générative, elle le fait avec des garanties. Les métadonnées sont anonymisées. Les segments sont divisés et mélangés afin qu'aucun modèle ne puisse jamais voir une conversation dans son intégralité. Anthropic pas vos données pour l'entraînement. Ce niveau de transparence est encore rare dans le domaine de l'IA, et il est important pour le RGPD car il touche directement à l'équité, à la limitation des finalités et à la minimisation des données.

Les contrôles de sécurité sont réels, ils ne sont pas décoratifs.

tl;dv un rapport SOC 2 Type 1, et l'entreprise suit un processus de développement structuré avec des revues de code, des tests, des environnements séparés et une analyse régulière des systèmes de production. Le trafic est crypté. Le stockage utilise un cryptage AES-256 puissant. L'infrastructure repose sur des fournisseurs déjà certifiés selon les normes ISO 27001 et SOC, et l'équipe interne surveille le comportement de chaque partie du système au fil du temps.

Encore une fois, il ne s'agit pas ici de collectionner des badges pour frimer. Il s'agit plutôt de s'assurer que lorsqu'un client demande « Où sont mes données, qui peut les consulter et combien de temps elles y restent », vous pouvez lui donner une réponse qui résiste à un examen minutieux.

Plus qu'un assistant de réunion

Ce qui est souvent négligé, c'est à quel point tl;dv profondément dans l'organisation au sens large. Les gens l'utilisent pour enregistrer les réunions, mais aussi pour l'intégration des nouveaux employés, la formation interne, la capture des connaissances, le coaching, les revues commerciales, la recherche sur les produits et toutes les tâches quotidiennes complexes qui ne relèvent pas d'un appel standard. Une fois l'outil en place, il devient une couche discrète de documentation pour l'ensemble de l'entreprise. Cela rend la base de confidentialité encore plus importante, car le contenu ne se limite pas aux discussions de réunion. Il s'agit de la mémoire opérationnelle de l'organisation.

C'est pourquoi le RGPD n'est pas une simple note de bas de page ici. C'est l'une des principales raisons pour lesquelles le produit a été conçu ainsi.

tl;dv Aperçu du RGPD

  • Force : Position solide en matière de confidentialité fondée sur des documents accessibles au public.
  • Hébergement : données stockées en Europe
  • Formation : le fournisseur déclare que les données des clients ne sont pas utilisées pour la formation en IA.
  • Traitement par l'IA : métadonnées anonymisées et segments de réunion traités par petites parties aléatoires
  • Commandes : comprend le mode consentement, les paramètres de conservation personnalisés et la suppression complète des données.
  • Résumé : D'après les informations publiées, tl;dv une architecture centrée sur l'UE qui prend en charge une utilisation conforme au RGPD lorsqu'elle est configurée de manière appropriée.

2) Assemblée

Structure de type entreprise avec une documentation abondante et des contrôles rigoureux

Centre de confiance Sembly
Source : Centre de confiance Sembly

Sembly adopte une approche très formelle en matière de protection des données. Elle dispose d'un centre de confiance complet avec des audits SOC 2 de type 2, des diagrammes de flux de données, des rapports de tests d'intrusion et des politiques de sécurité détaillées. Elle décrit également le RGPD comme une priorité depuis le début et documente la manière dont les données personnelles sont traitées d'une manière qui semble familière à toute personne travaillant avec des équipes chargées de la conformité.

Une caractéristique qui se démarque est leur gestion de la formation des modèles. Les clients professionnels ont la garantie que leurs fichiers audio, vidéo ou texte ne seront pas utilisés à des fins de formation. D'autres formules permettent de se désinscrire. Cela réduit le risque que vos données personnelles soient utilisées à des fins secondaires que vous n'aviez pas prévues. Ils publient également une liste des sous-traitants, ce qui est utile pour les analyses d'impact relatives à la protection des données.

J'ai essayé d'obtenir des informations plus détaillées sur le RGPD via leur Centre de confiance, mais je n'avais pas reçu de réponse au moment de la rédaction de cet article. Néanmoins, d'après les informations publiées, Sembly offre une structure adaptée aux grandes organisations, à condition de gérer correctement les consentements et les obligations spécifiques aux réunions.

Sembly — Présentation du RGPD

  • Point fort : documentation et audits de conformité de type entreprise
  • Hébergement : les documents publics décrivent une infrastructure cloud sécurisée ; les détails complets relatifs à la résidence doivent être confirmés directement par le fournisseur.
  • Formation : les plans Entreprise excluent la formation sur les modèles ; les autres plans peuvent être désactivés.
  • Traitement par l'IA : chiffrement au repos et en transit, sous-traitants publiés
  • Contrôles : SOC 2 Type II, documents du Trust Center, DPA disponible
  • Résumé : La documentation publique indique un cadre de conformité solide. Une évaluation complète dépend de l'accès à des documents supplémentaires fournis par le fournisseur.

3) Jamie

Hébergé par l'UE et très soucieux de la confidentialité, mais dépendant de la transparence des utilisateurs.

Badges de confiance Jamie
Source : Jamie Trust Badges

Jamie est souvent recommandé comme une option respectueuse de la vie privée, car il est basé en Allemagne, traite les données en Allemagne et supprime les fichiers audio bruts une fois la transcription créée. L'entreprise précise également Anthropic stocke Anthropic et Anthropic les données des clients à des fins d'entraînement, et nomme un délégué à la protection des données externe qui vérifie chaque année sa conformité. La base technique est solide et semble conforme aux principes du RGPD.

Ce qu'il faut comprendre, c'est comment Jamie fonctionne dans la pratique. Il s'exécute discrètement sur votre appareil plutôt que de se joindre à la réunion en tant que participant visible. Cette approche élimine le malaise lié à l'entrée d'un bot dans l'appel, mais cela signifie également que la responsabilité de la transparence incombe entièrement à la personne qui lance l'enregistrement. Le RGPD exige que les personnes sachent quand leurs voix sont traitées. Sans notification claire ou consentement, la base légale devient fragile.

Si les équipes utilisent Jamie de manière responsable et en informent les personnes concernées à l'avance, cela répond parfaitement aux exigences du RGPD. Dans le cas contraire, le risque provient davantage d'un manque de communication que de la technologie elle-même.

Jamie — Présentation du RGPD

  • Point fort : traitement basé dans l'UE avec suppression rapide des données audio et architecture axée sur la confidentialité.
  • Hébergement : le fournisseur indique que le traitement et le stockage ont lieu à Francfort, en Allemagne.
  • Formation : le fournisseur indique que l'audio est supprimé après la transcription et n'est pas utilisé pour la formation du modèle.
  • Traitement par IA : résumés finaux traités via Anthropic sans conservation
  • Contrôles : délégué externe à la protection des données, audits annuels relatifs au RGPD, documentation détaillée sur la confidentialité
  • Résumé : Jamie prend en charge une utilisation conforme au RGPD sur le plan technique ; la conformité dépend de la fourniture d'informations appropriées par les utilisateurs, car l'outil n'est pas visible pendant les réunions.

Tous les outils de conformité au RGPD sont-ils conformes au RGPD ?

Certains outils fournissent une documentation complète, tandis que d'autres utilisent un langage plus général qui laisse davantage de place à la vérification par les clients.

Les exemples ci-dessous montrent comment certains outils bien connus se présentent sur leurs sites Web, ainsi que ce que ce positionnement peut signifier si votre organisation a besoin d'une configuration plus stricte, axée sur l'UE. Il ne s'agit pas d'un jugement sur leur qualité ou leur légalité. Cela reflète simplement la différence entre une approche hautement transparente et une approche qui nécessite une confirmation plus directe de la part du fournisseur avant l'adoption.

MeetGeek

MeetGeek mentionne le RGPD, SOC 2 et HIPAA parmi ses normes, ce qui suggère une large couverture. Les informations accessibles au public ne fournissent pas autant de détails sur les régions d'hébergement, les sous-traitants ou la structure de conservation que les outils présentés précédemment. Cela peut convenir à de nombreuses équipes, mais toute personne ayant besoin d'une confirmation de résidence exclusive dans l'UE ou d'une documentation approfondie devra peut-être demander directement des informations plus précises.

Leexi

Leexi met en avant le RGPD, la certification ISO et la sécurité du traitement. Cependant, leurs documents publics fournissent peu de détails techniques sur les lieux de stockage, les sous-traitants et le comportement de formation des modèles. Les organisations qui ont besoin d'une visibilité totale sur les flux de données devront demander ces informations avant de confier des tâches sensibles à la plateforme.

Fireflies

Fireflies fait référence au RGPD et à SOC 2 Type II, et la plateforme est largement utilisée. Son infrastructure semble reposer sur des régions situées en dehors de l'Europe, et certaines fonctionnalités impliquent des contrôles de formation des modèles que les clients doivent configurer. Ces points n'empêchent pas une utilisation conforme au RGPD, mais ils impliquent que les clients ont davantage de travail de configuration à effectuer s'ils ont besoin d'un traitement régional strict.

Read.ai

Read.ai se positionne comme conforme au RGPD et met l'accent sur la confiance et la précision. Le service traite les données aux États-Unis, ce qui est légal lorsque des garanties appropriées sont en place. Cela signifie simplement que les équipes qui ont besoin d'une empreinte uniquement européenne devront évaluer avec soin les modalités de transfert et les pratiques en matière de consentement.

Gong

Gong offre une sécurité commerciale solide et une documentation claire, et prend en charge le RGPD grâce à des garanties contractuelles standard. Son approche en matière d'hébergement est principalement basée aux États-Unis, ce qui est courant dans le domaine du SaaS d'entreprise. Les organisations qui ont besoin de données résidant dans l'UE doivent confirmer cette configuration directement avant de s'y fier pour les données personnelles européennes.

Ces outils peuvent convenir à de nombreuses équipes. La seule différence réside dans le fait qu'ils publient moins d'informations détaillées sur la résidence, les transferts, les pratiques de formation ou la conservation des données que les trois outils axés sur l'UE présentés précédemment. Si vous travaillez dans un environnement qui exige un traitement régional strict, une conservation prévisible et une documentation entièrement accessible, il est préférable de demander ces informations directement au fournisseur avant d'adopter un outil décrit comme « conforme au RGPD ».

Comment choisir un assistant de réunion conforme au RGPD pour votre équipe

Une fois que vous comprenez à quel point les entreprises utilisent différemment l'expression « conforme au RGPD », il devient plus facile de choisir un assistant de réunion qui vous aide réellement à assumer vos responsabilités. Vous n'avez pas besoin d'avoir des connaissances juridiques pour cela. Il vous suffit de savoir quelles questions poser et comment un fournisseur responsable devrait y répondre.

Un bon point de départ consiste à commencer par les bases :

  • sont stockés vos enregistrements et si tout peut rester en Europe
  • Combien de temps l'outil conserve-t-il vos données et pouvez-vous définir vos propres règles de conservation ?
  • Si le contenu des réunions est utilisé pour entraîner des modèles d'IA et si cette fonctionnalité peut être désactivée.
  • Quels sous-traitants sont impliqués et ont-ils accès à des données à caractère personnel ?
  • Si vous pouvez lire l'accord sur le traitement des données avant de vous engager
  • Comment fonctionnent la suppression, l'accès et l'exportation des enregistrements et des transcriptions
  • Que vous puissiez choisir un hébergement IA régional ou limiter tout traitement à l'Europe
  • Tout assistant de réunion qui vous demande d'enregistrer les participants devrait être en mesure de répondre à ces questions de manière simple et directe.

Si vous travaillez avec un délégué à la protection des données ou une équipe juridique, ceux-ci exigeront des garanties prévisibles.

Ils rechercheront des informations claires sur l'hébergement, des détails sur le cryptage, une liste publiée des sous-traitants et une explication simple de la manière dont l'outil gère la formation des modèles et le traitement régional. Ils ne s'attendent pas à la perfection, mais ils attendent de la visibilité et des contrôles pratiques.

Vous pouvez faciliter votre décision en choisissant un outil qui repose dès le départ sur ces principes. La page Confidentialité et sécuritétl;dv explique précisément comment les données sont stockées en Europe, comment fonctionne le traitement par IA et comment vous gardez le contrôle sur la conservation, la suppression et l'hébergement.

Si vous recherchez un assistant de réunion qui prend en charge le RGPD sans travail supplémentaire ni approximations, c'est un bon point de départ.

FAQ sur le RGPD et les assistants de réunion IA

Vous devez vous assurer que tous les participants à la réunion savent que l'appel est enregistré ou transcrit. Le consentement est la base juridique la plus simple, et la plupart des équipes l'utilisent pour éviter toute confusion.

Oui. Les voix, les noms, les fonctions et tout ce qui est dit lors de l'appel peuvent permettre d'identifier une personne, ce qui fait des enregistrements de réunions des données à caractère personnel.

Oui, mais uniquement lorsque les transferts de données sont gérés correctement et que l'outil offre des garanties adéquates. C'est pourquoi de nombreuses équipes préfèrent les outils basés dans l'UE.

Recherchez des informations explicites sur l'hébergement, une liste publiée des sous-traitants et un accord sur le traitement des données qui indique où les données personnelles sont traitées.

C'est possible. Le RGPD exige des informations claires sur la manière dont les données personnelles sont utilisées. Vous devez avoir la possibilité de désactiver la formation si vous travaillez avec des contenus sensibles ou des clients européens.

Vous devez consigner la base juridique, la manière dont les participants ont été informés, le lieu de stockage des données et la durée pendant laquelle vous prévoyez de conserver les enregistrements.

Uniquement tant qu'ils sont nécessaires à une fin précise. Vous devez définir des règles de conservation et supprimer les enregistrements lorsqu'ils ne sont plus nécessaires.

L'hébergement dans l'UE, les contrôles de suppression, les paramètres de conservation, les politiques claires en matière de formation à l'IA et une DPA accessible facilitent grandement l'utilisation conforme au RGPD.

Oui, tl;dv conforme au RGPD. Il offre aux utilisateurs des options de résidence des données dans l'UE, publie un accord de traitement des données clair, fournit des contrôles de conservation granulaires et vous permet de désactiver la formation de l'IA sur le contenu des réunions. Il divulgue également tous les sous-traitants et suit des normes de sécurité strictes afin que les équipes puissent enregistrer et traiter les réunions conformément au RGPD.