RGPD et bots de réunion: les 5 questions à poser avant d'inviter Otter dans vos calls

Pendant deux ans, les équipes belges ont accueilli Otter.ai, Fireflies et Read AI dans leurs réunions Zoom et Teams sans trop se poser de questions. Le bot prend des notes, économise du temps, et l'équipe IT ne s'en est pas formellement saisie.

Cette tolérance prend fin. Les actions collectives américaines de 2025 contre Otter (août) et Fireflies (décembre) ont remis le sujet sur la table des DPO. La Cour de Justice de l'UE a, depuis Schrems II, élargi les obligations sur les transferts hors EEE. Et plusieurs autorités de contrôle européennes ont commencé à publier des guidances spécifiques sur les outils de transcription IA.

Si vous êtes responsable des choix d'outils dans une PME, un cabinet d'avocats, un hôpital ou un cabinet de consulting belge, voici les cinq questions à poser avant d'inviter un bot de réunion dans votre prochaine call. Et la lecture honnête de ce qu'elles révèlent sur l'architecture sous-jacente.

Question 1: Le bot rejoint-il la réunion en tant que participant ou enregistre-t-il localement sur ma machine?

C'est la question architecturale qui détermine toutes les autres.

Un bot-participant (Otter, Fireflies, Read AI dans leur configuration par défaut) intercepte votre conversation depuis l'extérieur et la transmet vers le cloud du fournisseur. Sous le RGPD, c'est un sous-traitant qui s'introduit dans la chaîne de traitement, avec tout ce que cela implique: contrat de sous-traitance, liste de sous-traitants ultérieurs, analyse de transferts internationaux, conservation, suppression.

Un enregistrement local (sur votre Mac via ScreenCaptureKit, par exemple) ne fait pas intervenir de tiers. Vous enregistrez votre propre flux audio sortant. Aucun tiers n'a accès à l'audio brut. Aucun contrat de sous-traitance n'est nécessaire pour la phase de capture.

La majorité des outils du marché en 2025 utilisent encore le modèle bot-participant. C'est ce qui rend la question 1 décisive.

Question 2: Où l'audio est-il transcrit, et par qui?

Une réponse acceptable n'est pas "dans le cloud". C'est "dans tel pays, par telle entité juridique, sous telle base légale RGPD, avec telle durée de conservation".

Si la transcription se passe aux États-Unis, vous avez besoin d'un mécanisme de transfert (clauses contractuelles types, plus depuis Schrems II une analyse d'impact des transferts) parce que la législation américaine de surveillance (FISA 702, EO 12333) peut s'appliquer aux données. Plusieurs outils transcrivent via des sous-traitants tels que Deepgram ou AssemblyAI, eux-mêmes établis aux États-Unis.

Si la transcription tourne sur votre Mac via WhisperKit (ou tout autre modèle local), il n'y a pas de transfert international. Le RGPD reste applicable, mais les obligations de transfert tombent.

Posez cette question explicitement et demandez la liste des sous-traitants par écrit. Le fait qu'un fournisseur hésite à répondre est déjà une réponse.

Question 3: L'audio ou les transcripts servent-ils à entraîner vos modèles IA?

Lisez la politique de confidentialité. Les formulations à surveiller:

• "We may use de-identified data to improve our services." (OK en surface, mais que signifie "de-identified" pour un audio de voix?)
• "We may use aggregated data for model training." (Idem.)
• "You can opt out of training in your account settings." (Donc par défaut, c'est opt-in.)

L'action collective contre Otter d'août 2025 allègue précisément que les enregistrements ont servi à entraîner les modèles sans consentement explicite. Que la cour donne raison ou non aux plaignants, le risque réputationnel et réglementaire d'utiliser un outil qui a cette ambiguïté dans ses CGU est désormais réel.

Un outil qui n'a pas accès à votre audio (parce que tout reste sur votre Mac) ne peut pas l'utiliser pour entraîner quoi que ce soit. C'est une garantie technique, pas contractuelle.

Question 4: Quelle est la base légale RGPD du traitement, et qui en est responsable?

Si vous êtes responsable du traitement (article 24 RGPD) et que votre outil de transcription est sous-traitant (article 28), vous devez:

• Avoir un contrat de sous-traitance signé.
• Connaître la liste de tous les sous-traitants ultérieurs.
• Informer les participants (article 13/14) de la présence du bot et de la finalité de l'enregistrement.
• Documenter votre base légale (typiquement intérêt légitime au sens de l'article 6.1.f, à mettre en balance avec les droits des personnes concernées).
• Assurer un droit d'opposition effectif.

Pour une réunion interne entre collègues qui ont tous signé un contrat de travail belge évoquant la possibilité d'enregistrements professionnels documentés, c'est gérable. Pour un appel client, un entretien de candidat, une consultation médicale ou un échange avec un avocat, la balance d'intérêts devient nettement plus exigeante.

L'enregistrement local sur votre Mac ne supprime pas les obligations d'information ni le respect du droit d'opposition. Il supprime en revanche la chaîne de sous-traitants. C'est une simplification réelle pour le DPO.

Question 5: Que se passe-t-il si je résilie l'abonnement, demain?

Sous le RGPD, vous devez pouvoir récupérer vos données et garantir leur suppression chez le sous-traitant. La plupart des outils SaaS l'offrent par contrat, mais le délai de suppression effective est rarement vérifiable de l'extérieur.

Si vos transcripts vivent dans un fichier SQLite sur votre Mac et que l'enregistrement audio est dans ~/Documents, la résiliation n'a pas le même sens. Il n'y a pas de tiers qui détient une copie. Vous avez vos données, point.

C'est une question pratique autant que juridique. Beaucoup d'équipes belges ont découvert en 2024 que leurs anciens transcripts dans Otter ou Fireflies étaient soit difficiles à exporter en masse, soit toujours accessibles à l'éditeur même après résiliation. Le contrat dit ce qu'il dit; l'architecture dicte ce qui est techniquement possible.

La synthèse pour un DPO belge

Le travail d'un DPO consiste à mettre en balance utilité et risque, et à documenter cette balance.

Pour les bots de réunion classiques (Otter, Fireflies, Read AI) en 2025, la balance est devenue défavorable pour beaucoup de cas d'usage:

• Action collective ECPA / CIPA en cours aux États-Unis (Otter, août 2025).
• Action collective BIPA pour collecte de empreintes vocales (Fireflies, décembre 2025).
• Universités américaines qui ont banni la catégorie (Cornell, Oxford, Cambridge, Chapman).
• Transferts internationaux à documenter dans le cadre de Schrems II.
• Listes de sous-traitants qui s'allongent.

Pour les enregistrements locaux sur Mac (MeetMemo, ou tout autre outil suivant le même modèle), la balance est sensiblement plus simple:

• Pas de transfert international pour la phase de capture et de transcription.
• Pas de sous-traitant supplémentaire dans la chaîne.
• Audio jamais hors de l'appareil de l'utilisateur.
• Une seule conformité à documenter: l'information préalable des participants et le respect du droit d'opposition.

Si vous voulez tester ce modèle dans votre équipe, MeetMemo est gratuit jusqu'à trois réunions par mois. L'architecture est conçue exactement pour répondre aux cinq questions ci-dessus de manière favorable. Aucun bot dans vos calls. Transcription via WhisperKit sur votre Mac. Résumés générés localement par Apple MLX. Optionnellement connecté à Claude Desktop ou Cursor via MCP, sans que les données quittent votre machine.

Posez les cinq questions à tout outil que vous évaluez, y compris au nôtre. La cohérence des réponses (et non leur ton commercial) vous dira ce qui tient sous le regard d'un contrôle.