Connexion
Tous les articles
Privacy·2026-03-19·9 min de lecture·Punkto Team

Outils de réunion conformes RGPD en 2026 — la checklist pratique

Une checklist pratique, sans jargon juridique, pour choisir un outil de visio et de transcription IA conforme au RGPD en 2026 — résidence des données, base légale, rétention, sous-traitants, DPA et transferts transfrontaliers.

La plupart des affirmations « conforme RGPD » des outils de réunion ne survivent pas à une AIPD sérieuse. Cette checklist liste ce que vous devez réellement vérifier avant d’adopter une plateforme de réunion avec enregistrement audio ou transcription IA en 2026 — pas la version marketing.

Utilisez-la comme filtre d’achat. Dix réponses « oui » et vous êtes probablement tranquille. Un seul « non » critique, et vous avez un problème dont votre équipe juridique héritera tôt ou tard.

Les 12 questions qui comptent

1. Où les données sont-elles physiquement stockées ?

Demandez l’emplacement exact du centre de données pour chaque type de donnée : métadonnées de réunion, enregistrements audio, transcripts, résumés IA, données de compte, logs. « Région UE » ne suffit pas — exigez le pays et l’opérateur. Les sauvegardes comptent.

2. Qui contrôle l’opérateur ?

Si la maison mère est immatriculée aux États-Unis, le CLOUD Act s’applique, où que soient les serveurs. C’est le problème Schrems II en une phrase. Un hébergement européen sous contrôle américain n’est pas de la résidence souveraine des données.

3. Un DPA est-il disponible, signé et conforme à l’article 28 ?

Un contrat de sous-traitance (DPA) est obligatoire pour tout sous-traitant sous RGPD. Vérifiez qu’il liste les sous-traitants ultérieurs, les durées de conservation, les procédures de suppression et les droits d’audit. « DPA disponible sur demande » signifie qu’il ne fait pas partie du contrat standard — négociez.

4. Les sous-traitants ultérieurs sont-ils déclarés ?

La plupart des outils s’appuient sur des fournisseurs d’IA, des moteurs de transcription, des expéditeurs d’emails, des services d’analytics. Chacun est un sous-traitant ultérieur. Exigez la liste complète. Chaque sous-traitant américain réactive l’analyse Schrems II. Trois sous-traitants américains dans la chaîne, c’est trois documents à rédiger.

5. L’audio est-il enregistré ? Si oui, est-il conservé ?

L’enregistrement audio est le type de donnée le plus risqué — la voix est une donnée biométrique au sens du considérant 51 et de l’article 9 du RGPD si elle sert à l’identification. Le schéma le plus sûr : traiter l’audio en mémoire, transcrire, détruire le buffer immédiatement, ne persister que le transcript texte. Zéro rétention audio par design.

6. Quelle base légale allez-vous documenter ?

Pour vos propres salariés : généralement l’intérêt légitime, avec test de mise en balance et note d’information. Pour les participants externes : consentement explicite avant le début de l’enregistrement, avec une finalité claire. Si votre outil enregistre avant le consentement, c’est un défaut de process, pas une fonctionnalité de conformité.

7. Les données des participants sont-elles minimisées ?

L’outil exige-t-il des comptes participants ? Journalise-t-il les adresses IP, les empreintes navigateur, les identifiants d’appareil ? La collecte au strict nécessaire, c’est l’article 5(1)(c). Un outil où l’on rejoint avec un simple lien et un pseudo est plus conforme qu’un outil à comptes obligatoires.

8. Comment les demandes d’accès (DSAR) sont-elles traitées ?

Un participant a le droit d’obtenir une copie de toutes ses données personnelles, gratuitement, sous un mois (art. 15). Demandez au fournisseur : comment cela fonctionne-t-il pour des transcripts qui mentionnent ce participant au détour d’une phrase ? « Contactez notre support » n’est pas une réponse qui tient quand 50 clients la posent.

9. Les données peuvent-elles être supprimées sur demande, sauvegardes comprises ?

Le droit à l’effacement (art. 17) couvre les enregistrements, les transcripts et tout résumé dérivé. Les sauvegardes sont notoirement difficiles. Confirmez le SLA de suppression et s’il couvre les sauvegardes dans une fenêtre définie.

10. Vos données entraînent-elles des modèles d’IA ?

C’est la question qui piège la plupart des SaaS d’entreprise. « Nous pouvons utiliser des données dé-identifiées pour améliorer nos modèles » dans les CGU est incompatible avec la plupart des DPA d’entreprise. Obtenez un engagement écrit de zéro entraînement de vos fournisseurs de transcription et de résumé, ou choisissez des fournisseurs opérant sous contrats entreprise à zéro rétention.

11. Que se passe-t-il en fin de contrat ?

Format d’export des données, délai de suppression, attestation de suppression. Sans cela, la fin de contrat devient une fuite de données au ralenti. Exigez une attestation écrite de suppression dans la clause de sortie du DPA.

12. Comment êtes-vous notifié des violations ?

L’article 33 vous donne 72 heures pour notifier votre autorité de contrôle. Le fournisseur doit avoir un SLA plus rapide — typiquement 48 heures, idéalement 24 — pour vous laisser le temps d’évaluer et de notifier. Trouvez la clause de notification dans le DPA et lisez-la avant de signer.

Les signaux rouges qui doivent tuer le deal

  • L’outil entraîne ses modèles sur vos données « par défaut, opt-out seulement ».
  • Le DPA n’est pas dans le contrat standard et exige un appel commercial pour l’obtenir.
  • Les sous-traitants ne sont pas déclarés ou changent sans préavis.
  • L’audio est stocké sur l’infrastructure du fournisseur avec une rétention floue.
  • Les demandes d’effacement passent par le support email, sans flux automatisé.
  • La localisation des serveurs est « globale » ou « bientôt dans l’UE ».
  • Le DPA invoque le droit américain sans CCT.

Les signaux verts qui valent le prix

  • Serveurs opérés par une entité immatriculée dans l’UE, pas seulement hébergés dans l’UE.
  • Zéro rétention audio par design — l’outil ne peut littéralement pas conserver l’audio de vos appels.
  • Liste de sous-traitants courte, tous nommés, tous européens ou auto-hébergés.
  • Base légale explicite dès l’onboarding (flux de consentement avant enregistrement).
  • Composants open source pour les parties qui manipulent les données les plus sensibles.
  • SLA de notification de violation ≤ 24 h.
  • Export des données et suppression via des mécanismes standardisés.

Où se situe Punkto sur cette checklist

Transparence totale : nous éditons Punkto, une plateforme de réunion sous juridiction européenne, donc nous ne sommes pas neutres. Voici notre score sur les 12 questions, en clair.

  1. Où : infrastructure Union européenne, exclusivement.
  2. Opérateur : immatriculé dans l’UE, sans maison mère américaine, non soumis au CLOUD Act.
  3. DPA : disponible sur les offres Enterprise, conforme à l’article 28, signé avant contrat.
  4. Sous-traitants : liste courte, entièrement déclarée, exclusivement européenne.
  5. Audio : traité en mémoire, puis immédiatement détruit — jamais stocké, nulle part.
  6. Base légale : les participants sont informés avant tout enregistrement.
  7. Données participants : un lien et un pseudo suffisent pour rejoindre. Aucun compte requis.
  8. DSAR : le titulaire du compte exporte toutes ses données depuis le dashboard.
  9. Suppression : la suppression du compte cascade sur toutes les sessions, transcripts et résumés ; les soft-deletes sont purgés après une fenêtre définie.
  10. Entraînement IA : jamais. Nos fournisseurs d’IA opèrent sous contrats entreprise à zéro rétention.
  11. Fin de contrat : export des données disponible ; attestation de suppression fournie sur demande.
  12. SLA violation : 24 h, dans le DPA.

Si cette liste paraît évidente, c’est le but. La conformité RGPD n’a rien de magique — c’est une série de cases ennuyeuses à cocher, et un petit nombre de décisions d’architecture à prendre tôt.


Sources. Règlement (UE) 2016/679 (RGPD) gdpr-info.eu. Recommandations CEPD 01/2020 sur les mesures supplémentaires pour les transferts internationaux (Schrems II). Lignes directrices CEPD 03/2018 sur le champ d’application territorial.

Questions fréquentes

Google Meet est-il conforme au RGPD ?

Google Meet peut être utilisé de façon conforme au RGPD si vous signez le DPA Google Workspace, configurez la localisation des données sur « Union européenne » quand c’est disponible, et acceptez que Google LLC (société américaine) soit votre sous-traitant. La conformité Schrems II dépend toujours de vos mesures supplémentaires et de votre AIPD.

Quelle différence entre hébergement UE et juridiction UE ?

L’hébergement UE signifie que les données reposent dans un centre de données physiquement situé dans l’UE. La juridiction UE signifie que la société qui détient les données est immatriculée dans l’UE et n’est pas soumise à des lois extraterritoriales comme le CLOUD Act américain. L’hébergement seul ne suffit pas.

Faut-il enregistrer ses réunions pour être conforme au RGPD ?

Non — le RGPD n’exige aucun enregistrement. C’est plutôt l’inverse : la minimisation des données (art. 5(1)(c)) suggère de ne pas enregistrer sans base légale claire et finalité explicite. Si vous enregistrez, préférez les outils qui détruisent l’audio après transcription.

Un outil de réunion américain peut-il être conforme au RGPD ?

En principe oui, avec un DPA signé, des CCT (Clauses Contractuelles Types) et des mesures supplémentaires. En pratique, l’exposition au CLOUD Act rend une AIPD propre difficile à rédiger. Les alternatives sous juridiction européenne suppriment entièrement cette complication.

Quelle est la base légale la plus sûre pour les enregistrements de réunion ?

Pour les réunions internes, l’« intérêt légitime » (art. 6(1)(f)) s’applique généralement — à condition de documenter la nécessité, la proportionnalité et le test de mise en balance. Pour les participants externes, le consentement explicite (art. 6(1)(a)) avant le début de l’enregistrement est plus sûr.

Combien de temps puis-je conserver des transcripts sous RGPD ?

Pas de durée fixe. Le principe est « pas plus longtemps que nécessaire » (art. 5(1)(e)). Documentez une durée de conservation dans votre politique de confidentialité — typiquement 30, 90 ou 365 jours pour des transcripts — et imposez la suppression automatique dans l’outil.

Essayer Punkto

Réunions structurées, sous-titres en direct, résumés IA — hébergé dans l’UE, RGPD natif. Gratuit 3 sessions/mois, sans carte bancaire.