Le logiciel de dictée est-il conforme au RGPD ?

Cela dépend de l'architecture. Les logiciels de dictée basés sur le cloud transmettent les données vocales vers des serveurs externes et nécessitent un contrat de sous-traitance (DPA) selon l'art. 28 RGPD. Les logiciels installés localement comme Diktly traitent tout sur l'ordinateur — aucune transmission de données, aucun DPA nécessaire, conforme RGPD by design.

Quel logiciel de dictée fonctionne entièrement hors ligne ?

Diktly traite la parole entièrement en local sur l'ordinateur et ne nécessite aucune connexion Internet. La version classique Dragon Desktop fonctionne également en local. La plupart des alternatives modernes comme Siri, la saisie vocale Google ou Dragon Anywhere utilisent en revanche des serveurs cloud.

Quel est le prix d'un logiciel de dictée conforme au RGPD ?

La gamme de prix est large. Diktly Basic coûte 14,99 € HT en achat unique. Les solutions cloud comme Dragon Anywhere coûtent souvent 20 à 30 € par mois en abonnement. S'ajoutent aux solutions cloud des coûts cachés pour la gestion des contrats de sous-traitance, l'analyse d'impact sur la protection des données et la documentation de conformité.

Logiciel de dictée et RGPD : pourquoi la reconnaissance vocale cloud représente un risque juridique

Q: Pourquoi les solutions de dictée cloud posent-elles des problèmes en matière de protection des données ?

Les services cloud transmettent des données audio vers des serveurs externes, souvent hors de l'UE. Les enregistrements vocaux contiennent des caractéristiques biométriques et des contenus potentiellement confidentiels. Sans base juridique appropriée, contrat de sous-traitance et analyse d'impact sur la protection des données, l'utilisation viole le RGPD.

Q: Que dit l'article 203 du Code pénal allemand concernant les logiciels de dictée ?

L'article §203 du Code pénal protège les secrets professionnels des détenteurs du secret professionnel comme les avocats, conseillers fiscaux et médecins. Quiconque transfère des données de clients ou de patients vers des serveurs tiers via un logiciel de dictée cloud risque une violation du secret professionnel — passible d'une peine d'emprisonnement pouvant aller jusqu'à un an.

Q: Ai-je besoin d'un AVV pour un logiciel de dictée ?

Uniquement si le logiciel transfère des données vers des serveurs externes. Pour les solutions cloud, un contrat de sous-traitance selon l'art. 28 RGPD est obligatoire. Pour un logiciel purement local, cette obligation n'existe pas car aucun sous-traitance n'a lieu.

Q: Les données vocales sont-elles des données biométriques selon le RGPD ?

Les enregistrements vocaux peuvent constituer des données biométriques au sens de l'art. 4 n° 14 du RGPD s'ils sont traités pour identifier de manière unique une personne. Dans ce cas, l'interdiction stricte de traitement selon l'art. 9 du RGPD s'applique avec ses exceptions limitées.

En un coup d’œil : Les logiciels de dictée basés sur le cloud transmettent des données vocales vers des serveurs externes — un problème pour le RGPD et encore plus pour les dépositaires du secret professionnel selon l’art. 203 du Code pénal allemand. Les enregistrements vocaux peuvent contenir des données biométriques et sont donc soumis au strict art. 9 du RGPD. Les solutions locales hors ligne contournent complètement ces risques car aucun transfert de données n’a lieu.

Vous dictez un mémoire pour un mandant. Des détails confidentiels, des numéros de dossier, des noms — tout passe par la voix dans votre ordinateur. Mais où exactement ? Pour la plupart des solutions de dictée, la réponse est : sur un serveur dans le cloud. Souvent aux États-Unis, parfois en Irlande, rarement en Allemagne. Pour les professions soumises au secret professionnel — avocats, conseillers fiscaux, médecins — ce n’est pas seulement une question de protection des données. C’est potentiellement punissable. Cet article explique pourquoi les logiciels de dictée et le RGPD constituent un champ de tension, quels risques concrets comportent les solutions cloud et quelles alternatives existent.

Que deviennent vos données vocales dans le cloud ?

Les logiciels de dictée basés sur le cloud transmettent vos données audio vers un serveur externe, où un modèle d’IA convertit la parole en texte et renvoie le résultat. Ce faisant, vos données vocales traversent plusieurs nœuds réseau, sont traitées sur le serveur du fournisseur et souvent mises en cache temporairement — un processus qui a des conséquences importantes en matière de protection des données.

Le problème commence déjà par la transmission elle-même. Selon une étude de SkyScribe (2026), certaines applications de transcription téléchargent des données audio vers des serveurs externes même avant le consentement de l’utilisateur — via des SDK qui transmettent déjà des données au démarrage de l’application. Ce mécanisme est invisible pour l’utilisateur : l’application demande simplement l’accès au microphone, tandis qu’en arrière-plan les données audio sont transmises vers des modèles cloud.

Les grands fournisseurs cloud comme Google, Apple et Microsoft traitent les données vocales par défaut sur leurs serveurs. Chez Siri d’Apple et la reconnaissance vocale de Google, la reconnaissance vocale ne fonctionne pas du tout lorsque le WLAN est désactivé — un signe clair que le traitement n’est pas local. Pour l’usage privé, cela peut être acceptable. Pour les utilisateurs professionnels avec des obligations de confidentialité, c’est un problème de conformité.

S’ajoute la question du stockage des données. De nombreux fournisseurs cloud se réservent dans leurs conditions d’utilisation le droit d’utiliser les données audio pour améliorer leurs modèles. Même si une suppression immédiate est promise, il manque souvent des preuves transparentes que les données sont effectivement complètement supprimées. Sans délais de suppression clairs et des processus vérifiables, il reste un risque résiduel que vos dictées confidentielles demeurent sur des serveurs étrangers.

Un point souvent sous-estimé : les métadonnées sont également à protéger. Même si le flux audio est transmis chiffré, les horodatages, adresses IP, informations d’appareil et modèles d’utilisation peuvent permettre des déductions sur votre travail. Dans un cabinet d’avocat, ces métadonnées révèlent par exemple quand on travaille sur quel dossier — une information qui peut être précieuse pour les parties adverses ou les concurrents.

Flux de données pour les logiciels de dictée basés sur le cloud comparé au traitement local

Quelles exigences RGPD s’appliquent aux logiciels de dictée ?

Les logiciels de dictée qui traitent des données vocales sont entièrement soumis au RGPD, car les données audio sont des données personnelles. Elles contiennent la voix d’une personne identifiable et souvent aussi des informations sensibles sur des tiers. La nécessité d’un contrat de sous-traitance dépend de savoir si le traitement se fait localement ou sur des serveurs externes.

Les exigences centrales du RGPD peuvent être réparties en quatre domaines :

Base juridique selon l’art. 6 RGPD. Tout traitement nécessite une base juridique. Pour les logiciels de dictée cloud, c’est généralement l’art. 6 para. 1 lit. f (intérêt légitime) ou lit. a (consentement) qui entre en considération. Les deux sont problématiques dans le contexte professionnel : l’intérêt légitime doit être mis en balance avec les droits des personnes concernées, et obtenir un consentement valable de toutes les personnes mentionnées dans une dictée est pratiquement impossible.

Sous-traitance selon l’art. 28 RGPD. Dès qu’un fournisseur cloud traite vos données vocales sur ses serveurs, il y a sous-traitance. Un contrat de sous-traitance est obligatoire. Il doit régler l’objet, la durée, la nature et la finalité du traitement, le type de données personnelles et les obligations du sous-traitant. S’il manque le contrat de sous-traitance, l’utilisation du logiciel viole déjà le RGPD — indépendamment qu’un incident de protection des données se produise effectivement.

Transfert vers un pays tiers. De nombreux services de dictée cloud traitent des données aux États-Unis ou dans d’autres pays tiers. Depuis l’arrêt Schrems-II de la CJUE (2020), la transmission de données personnelles vers les États-Unis est soumise à des conditions strictes. L’actuel EU-US Data Privacy Framework offre certes une base, mais fait déjà l’objet de critiques juridiques. Selon l’étude DLA Piper (2025), rien qu’en 2024, des amendes RGPD de 1,2 milliard d’euros ont été infligées en Europe — les transferts vers des pays tiers figuraient parmi les violations les plus fréquentes.

Analyse d’impact relative à la protection des données (AIPD). Si le traitement est susceptible d’entraîner un risque élevé pour les droits des personnes physiques — par exemple pour les données biométriques ou en cas de surveillance systématique —, une AIPD doit être réalisée selon l’art. 35 RGPD. Les données vocales peuvent remplir ce critère, notamment si elles sont traitées à grande échelle ou de manière systématique.

Le point décisif : toutes ces exigences ne s’appliquent que s’il y a effectivement un transfert de données vers des tiers. Pour les logiciels de dictée purement locaux qui n’envoient aucune donnée vers des serveurs externes, toute la charge de conformité disparaît. Il n’y a pas de sous-traitance, pas de transfert vers un pays tiers et donc pas d’obligation d’AIPD — la conformité RGPD résulte de l’architecture technique elle-même.

Exigence	Logiciel de dictée cloud	Logiciel de dictée local
Base juridique (Art. 6)	Nécessaire, complexe	Sans objet (pas de données vers des tiers)
Contrat de sous-traitance (Art. 28)	Obligatoire	Non nécessaire
Transfert vers un pays tiers	Fréquent (serveurs US)	Exclu
AIPD (Art. 35)	Souvent nécessaire	En général pas nécessaire
Mesures techniques	Dépendant du fournisseur	Contrôle total

Pourquoi les données vocales sont-elles particulièrement sensibles ?

Les enregistrements vocaux peuvent contenir des données biométriques au sens du RGPD, car ils saisissent des caractéristiques physiques et comportementales d’une personne — fréquence vocale, rythme de parole, modèles d’articulation. L’art. 4 n° 14 du RGPD définit les données biométriques comme des données personnelles obtenues par des procédés techniques spéciaux et pouvant identifier une personne de manière unique.

Lorsque les données vocales sont utilisées pour l’identification unique, l’interdiction stricte de traitement selon l’art. 9 par. 1 du RGPD s’applique. Cette interdiction ne permet que dix exceptions strictement définies — comme le consentement explicite. Pour les services de dictée dans le cloud, cela signifie : même s’il existe un contrat de sous-traitance et que les données sont traitées dans l’UE, le traitement peut violer l’art. 9 si le fournisseur utilise ou pourrait utiliser les données audio pour la biométrie vocale.

Selon le document de position de la Conférence des commissaires à la protection des données (DSK, 2019), l’aptitude des données biométriques à l’identification unique doit toujours être prise en compte dans l’évaluation des risques — même si le traitement actuel ne vise pas l’identification. La simple possibilité suffit à justifier des mesures de protection renforcées. Cela vaut également pour les cas où le fournisseur cloud serait techniquement capable de créer des profils vocaux — même s’il ne le fait pas actuellement.

Un autre aspect : les données vocales contiennent régulièrement aussi des informations de contenu sur des tiers. Quand un avocat crée une dictée sur une affaire client, elle contient des données personnelles du client, de la partie adverse et éventuellement de témoins. Ces personnes n’ont ni consenti au traitement ni ne peuvent le contrôler. Dans le contexte du conseil fiscal, la situation est similaire : les dictées sur des affaires fiscales contiennent des données de revenus, des relations familiales et des informations patrimoniales de clients — toutes données hautement sensibles qui finissent chez un fournisseur cloud sur un serveur que ni le conseiller fiscal ni le client ne contrôlent.

Selon l’Université technique de Darmstadt et l’Université de sciences appliquées de Rosenheim, les systèmes de reconnaissance vocale basés sur le cloud présentent un risque considérable, car les enregistrements transmis contiennent à la fois des informations biométriques et confidentielles — et pourraient être détournés, par exemple pour les « Fake Recordings » (enregistrements vocaux artificiellement générés paraissant authentiques). Ce risque est complètement éliminé avec le traitement local, car les données audio ne quittent jamais l’ordinateur.

Que signifie l’§203 du Code pénal allemand pour l’utilisation de logiciels de dictée ?

L’§203 du Code pénal interdit aux détenteurs de secrets professionnels — notamment avocats, conseillers fiscaux, commissaires aux comptes et médecins — la divulgation non autorisée de secrets privés et sanctionne les violations d’une peine d’emprisonnement pouvant aller jusqu’à un an ou d’une amende. Quiconque transfère des données de clients ou de patients vers des serveurs tiers via un logiciel de dictée dans le cloud risque ainsi une violation du secret professionnel pénalement répréhensible.

Les conséquences juridiques dépassent l’amende. En cas d’intention d’enrichissement, une peine d’emprisonnement pouvant aller jusqu’à deux ans menace (§203 par. 6 du Code pénal). S’ajoutent les conséquences du droit professionnel : procédures devant les tribunaux d’avocats, retrait de l’autorisation d’exercer, réclamations en dommages-intérêts des clients concernés. Wikipedia qualifie les violations de l’§203 du Code pénal de « délit de masse difficilement surpassable » dans sa fréquence — une poursuite sérieuse aurait cependant rarement lieu. Cela ne devrait toutefois pas être compris comme un signal d’alarme : en cas d’urgence — par exemple lors d’une fuite de données chez le fournisseur cloud — la question de l’obligation de diligence devient le point décisif.

Depuis la réforme de 2017, l’§203 par. 3 du Code pénal permet certes l’intervention de prestataires externes comme « autres personnes collaboratrices ». Mais la condition est que le détenteur du secret professionnel sélectionne soigneusement le prestataire et l’oblige à la confidentialité. Ces personnes collaboratrices sont à leur tour incluses dans la responsabilité pénale selon l’§203 — elles se rendent également coupables si elles divulgent un secret appris à l’occasion de leur activité. Pour les fournisseurs cloud ayant leur siège aux États-Unis, il est douteux que cette condition puisse être remplie — notamment compte tenu des lois de surveillance locales comme FISA Section 702 et le CLOUD Act, qui permettent aux autorités américaines d’accéder aux données, même si celles-ci sont stockées dans l’UE.

L’avocat spécialisé en droit informatique Andreas Nörr l’a résumé dans un entretien avec Future-Law (2026) : de nombreux avocats conseillent leurs clients sur la protection des données, mais utilisent eux-mêmes des outils grand public non sécurisés pour des dictées confidentielles. L’utilisation de Siri ou de la saisie vocale Google pour des dictées client serait une contradiction flagrante avec les obligations professionnelles. Il voit la solution dans des outils professionnels qui traitent les données localement ou dans des centres de données européens certifiés — les produits grand public n’auraient pas leur place dans l’environnement des cabinets.

Aperçu : Quels groupes professionnels relèvent de l'§203 du Code pénal

Quels sont les risques concrets des logiciels de dictée cloud ?

Les logiciels de dictée basés sur le cloud comportent des risques techniques, juridiques, économiques et de réputation considérables, qui peuvent se renforcer mutuellement. Un seul incident de protection des données chez un fournisseur cloud peut simultanément déclencher une amende RGPD, une enquête pénale selon l’article 203 du code pénal allemand, des demandes d’indemnisation civiles et un dommage réputationnel durable auprès des clients et patients.

Risques techniques. Les données audio sont transmises au serveur via Internet. Malgré le chiffrement HTTPS, un risque résiduel subsiste en cas de certificats compromis ou d’attaques de type homme du milieu. Sur le serveur même, les données sont déchiffrées et traitées — quiconque a accès au serveur a accès à vos dictées. Selon le Cloud Monitor de KPMG et Bitkom Research, les menaces provenant du cloud augmentent constamment, particulièrement pour les entreprises de taille moyenne, notamment par le vol de données et l’espionnage industriel. Particulièrement insidieux : certaines applications transfèrent déjà l’audio via des SDK avant même que l’utilisateur n’ait commencé à dicter.

Risques juridiques. Outre les amendes RGPD (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel selon l’art. 83 RGPD) et la responsabilité pénale selon l’article 203 du code pénal allemand, des demandes d’indemnisation civiles menacent également. L’art. 82 RGPD accorde aux personnes concernées un droit à indemnisation en cas de violations du RGPD — y compris pour les dommages immatériels. En 2025, la BfDI seule a infligé une amende de 45 millions d’euros à Vodafone pour un traitement défaillant des commandes (Portail RGPD, 2026). La même année, la CNIL a sanctionné Google de 325 millions d’euros et Shein de 150 millions d’euros.

Risques économiques. Les logiciels de dictée cloud génèrent des coûts récurrents : abonnements, gestion des contrats de sous-traitance, vérifications de conformité régulières, création d’analyses d’impact. Dragon Anywhere coûte en modèle d’abonnement entre 20 et 30 euros par mois et par utilisateur avec une durée minimale de 12 mois. S’ajoutent les coûts d’examen juridique de la conformité à la protection des données, qui doivent être renouvelés à chaque changement de fournisseur.

Risques de réputation. Un incident de protection des données chez un fournisseur cloud affecte potentiellement tous les utilisateurs simultanément. Pour les cabinets d’avocats et les pratiques, un tel incident peut mettre l’existence en danger. Le nombre moyen de violations de protection des données signalées a augmenté selon DLA Piper (2025) à 363 signalements par jour en Europe. En 2025, 10 259 violations de données ont été signalées aux autorités allemandes au total — une augmentation par rapport à l’année précédente avec 8 623 signalements (Portail RGPD, 2026).

Catégorie de risque	Solution cloud	Solution locale
Fuite de données lors du transfert	Possible	Exclue
Accès tiers côté serveur	Possible (y compris autorités US)	Exclu
Amende RGPD	Jusqu'à 20 M€ / 4 % CA	Risque minimal
Responsabilité pénale art. 203	Oui, pour les professions à secret	Non
Coûts de conformité récurrents	Contrats, AIPD, vérifications	Aucun

Comment fonctionne la reconnaissance vocale locale comme alternative ?

La reconnaissance vocale locale traite les données audio entièrement sur l’ordinateur de l’utilisateur, sans connexion Internet et sans transmission vers des serveurs externes. Le modèle d’IA fonctionne directement sur le matériel local, ce qui fait qu’aucun tiers n’est impliqué dans la chaîne de traitement, qu’aucun contrat de sous-traitance n’est nécessaire et que la conformité RGPD est architecturalement garantie.

La percée technologique qui le permet s’appelle OpenAI Whisper. Ce modèle open source a été entraîné avec 680 000 heures de données audio multilingues et atteint pour l’allemand un taux d’erreur de mots (WER) d’environ 5,8 % — comparable aux services cloud commerciaux. Le point crucial : Whisper fonctionne entièrement sur du matériel local. Les CPU modernes traitent les dictées en temps quasi réel, avec le support GPU (Apple Metal sur Mac, NVIDIA CUDA sur Windows) encore plus rapidement.

Grâce à la quantification de modèle — la conversion de poids en virgule flottante 32 bits vers des formats plus petits — le modèle se réduit à une taille gérable sans affecter significativement la précision. Selon MLCommons (2025), l’implémentation de référence Whisper atteint une précision de mots de 97,93 % et a réduit le taux d’erreur de plus de 72 % par rapport au modèle MLPerf-ASR précédent. La licence MIT permet l’utilisation commerciale sans restriction — un avantage décisif par rapport aux services cloud propriétaires où vous êtes lié à un seul fournisseur.

Pour la conformité RGPD, le résultat est clair : si aucune donnée vocale ne quitte l’ordinateur, il n’y a pas de sous-traitance, pas de transfert vers un pays tiers et pas de fournisseur cloud auquel vous devez faire confiance. Toute la complexité de conformité disparaît. Pour l’article 203 du code pénal allemand également, la situation est claire : les données qui ne quittent jamais l’ordinateur ne peuvent pas être « révélées ».

Diktly utilise exactement cette approche. Le logiciel traite la parole entièrement en local via le modèle Whisper. Pas d’Internet, pas de cloud, pas de connexion serveur — pas même pour les vérifications de mises à jour. Pour les professions soumises au secret professionnel selon l’article 203 du code pénal allemand, c’est la voie la plus sûre : les données restent sur l’ordinateur, le secret professionnel est techniquement garanti.

Un avantage pratique souvent négligé : la reconnaissance vocale locale fonctionne aussi là où il n’y a pas d’Internet — au tribunal, lors de rendez-vous clients, dans le train ou à l’étranger. Tandis que les solutions cloud échouent en cas de mauvaise connexion ou luttent avec une latence élevée, les logiciels locaux fonctionnent de manière fiable et sans délai. Pour les conseillers fiscaux en période de pointe des déclarations d’impôts et les avocats avec des délais serrés, ce n’est pas une question de confort, mais un facteur de productivité.

Quelles exigences doit remplir un logiciel de dictée conforme au RGPD ?

Un logiciel de dictée conforme au RGPD doit garantir que les données vocales ne sont pas transmises à des tiers sans base juridique et que l’utilisateur conserve à tout moment le contrôle total de ses données audio. Le terme « conforme au RGPD » n’est pas protégé — vérifiez donc concrètement comment le logiciel traite vos données.

Les critères suivants aident à l’évaluation :

1. Traitement des données. Où se déroule la reconnaissance vocale — sur votre appareil ou sur un serveur externe ? Testez cela en coupant la connexion Internet et en démarrant une dictée. Si le logiciel fonctionne hors ligne, le traitement est effectivement local. Ce test démasque aussi les fournisseurs qui font de la publicité avec « IA locale » mais dépendent en réalité du traitement cloud.

2. Communication réseau. Vérifiez si le logiciel transmet des données en arrière-plan. Certaines applications font de la publicité avec « IA locale », mais envoient néanmoins des données de télémétrie, des statistiques d’utilisation ou des mises à jour de modèle par le réseau. Selon l’analyse SkyScribe (2026), certaines applications de transcription transfèrent les enregistrements vers des modèles cloud via des processus en arrière-plan, bien qu’elles ne demandent que l’accès au microphone. Faites particulièrement attention aux applications qui établissent une connexion réseau au démarrage alors qu’elles ne devraient pas avoir besoin d’Internet pour la fonction de dictée.

3. DPA et documentation. Si le logiciel utilise des composants cloud : le fournisseur propose-t-il un DPA complet ? Où sont les serveurs ? Dans quel pays le fournisseur est-il établi ? Quels sous-traitants sont impliqués ? Un DPA manquant ou incomplet constitue déjà une violation du RGPD — indépendamment du fait que des données fuient réellement.

4. Stockage et suppression des données. Les données audio ou les transcriptions sont-elles stockées ? Si oui, pendant combien de temps ? Y a-t-il des délais de suppression clairs ? En l’absence d’indications comme « suppression après X jours », le RGPD ne garantit pas que vos données ne soient pas stockées indéfiniment. Vérifiez aussi si le fournisseur utilise les données audio pour entraîner ses modèles d’IA — c’est un objectif de traitement distinct qui nécessite sa propre base juridique.

5. Transparence open source. Le moteur d’IA utilisé est-il open source ? Avec des modèles open source comme Whisper (licence MIT), des audits de sécurité indépendants peuvent être effectués. Les modèles cloud propriétaires sont des boîtes noires — vous devez faire confiance au fournisseur sans pouvoir vérifier son traitement des données.

Quelle est la situation juridique pour la reconnaissance vocale cloud en cabinet d’avocats ?

La reconnaissance vocale basée sur le cloud dans les cabinets d’avocats n’est pas interdite en soi, mais elle nécessite le respect des exigences tant du droit de la protection des données que du droit professionnel. Outre le RGPD, le code de déontologie des avocats (BRAO) s’applique : l’article 43a alinéa 2 BRAO oblige au secret sur tout ce qui a été appris dans l’exercice de la profession.

L’utilisation de logiciels de dictée cloud en cabinet nécessite au minimum :

Un DPA complet avec le fournisseur cloud selon l’art. 28 RGPD
La vérification de savoir si le fournisseur cloud peut être qualifié comme « autre personne participant » au sens de l’art. 203 alinéa 3 StGB
Un engagement écrit du fournisseur à la confidentialité
Pour les fournisseurs américains : vérification des implications de FISA Section 702, CLOUD Act et EU-US Data Privacy Framework
Une analyse d’impact relative à la protection des données documentée selon l’art. 35 RGPD
L’information de toutes les personnes concernées (art. 13/14 RGPD) — donc aussi des clients, sur les données desquels on dicte

En pratique, cela signifie une charge administrative considérable. Comme l’a noté Simon Reuvekamp, CTO du cabinet Meyer-Köring et spécialiste des systèmes de dictée, sur legal-tech.de : la protection des données ne limite pas les avantages de la reconnaissance vocale — à condition qu’il y ait un concept réfléchi derrière. En revanche, qui utilise simplement Siri ou la saisie vocale Google pour les dictées de clients agit de manière négligente. Il recommande comme alternative la plus sûre l’utilisation de solutions de reconnaissance vocale locales qui fonctionnent complètement sans transmission réseau — ou au moins des solutions où les données transitent exclusivement par le serveur chiffré propre au cabinet.

La solution la plus simple qui contourne toutes ces exigences : un logiciel où la reconnaissance vocale s’exécute complètement en local sur l’ordinateur du cabinet. Pas de fournisseur cloud, pas de DPA, pas de transfert vers un pays tiers — et aucune faille ouverte lors du prochain contrôle de protection des données.

Un exemple pratique illustre la différence : un cabinet individuel qui utilise Dragon Anywhere doit vérifier le DPA avec Nuance/Microsoft, évaluer la problématique des pays tiers (les serveurs se trouvent selon le fournisseur dans un centre de données allemand, mais Microsoft en tant qu’entreprise américaine est soumise au CLOUD Act), créer une AIPD, informer tous les clients selon l’art. 13 RGPD et qualifier le fournisseur cloud comme personne participante selon l’art. 203 alinéa 3 StGB et l’obliger à la confidentialité. Le même cabinet avec une solution locale comme Diktly n’a rien de tout cela à faire — la conformité RGPD découle de l’architecture.

Quel est le coût des logiciels de dictée conformes au RGPD en comparaison ?

Le coût total des logiciels de dictée conformes au RGPD se compose du prix d’acquisition et des coûts de conformité souvent négligés — ces derniers peuvent dépasser de plusieurs fois le prix du logiciel pur pour les solutions cloud. Une comparaison équitable doit donc prendre en compte, outre les frais de licence, l’examen du contrat de sous-traitance, l’analyse d’impact sur la protection des données et la documentation de conformité continue.

Solution	Prix	Modèle	Cloud / Local	Contrat de sous-traitance nécessaire ?
Siri / Saisie vocale Google	Gratuit	—	Cloud	Oui (quasiment impossible)
Dragon Anywhere	~25 €/mois (Abonnement)	Abo, 12 mois	Cloud (centre de données allemand)	Oui
Philips SpeechLive	~15–25 €/mois	Abonnement	Cloud (UE)	Oui
Whisper (Auto-hébergé)	Gratuit (Open Source)	—	Local	Non
Diktly Basic	14,99 € achat unique + TVA	Achat unique	100 % local	Non
Diktly Pro	49,99 € achat unique + TVA	Achat unique	100 % local	Non

Pour les solutions cloud s’ajoutent des coûts de conformité : l’examen initial d’un contrat de sous-traitance par un délégué à la protection des données coûte entre 500 et 2 000 € selon la complexité. Une analyse d’impact sur la protection des données se situe entre 1 000 et 5 000 €. Ces coûts s’appliquent par fournisseur et à chaque changement de fournisseur. Pour les cabinets plus importants avec plusieurs professionnels, les coûts de licence se multiplient par utilisateur, tandis que les coûts de conformité ne s’appliquent qu’une fois — pour les petites structures, le surcoût de conformité prédomine nettement.

Pour les entrepreneurs individuels et petits cabinets, le calcul est particulièrement révélateur : un abonnement cloud se chiffre sur deux ans à 600 € ou plus — frais de conformité en sus. Si l’on ajoute l’examen unique du contrat de sous-traitance (à partir de 500 €) et une analyse d’impact (à partir de 1 000 €), les coûts totaux pour l’exploitation conforme au RGPD d’une solution de dictée cloud atteignent rapidement plus de 2 000 € les deux premières années. Une solution locale comme Diktly coûte 14,99 € en achat unique et ne nécessite aucune gestion continue de protection des données. Même les outils grand public prétendument « gratuits » comme Siri ou la saisie vocale Google ont un prix : vous payez avec vos données, et pour les professionnels soumis au secret professionnel s’ajoute en cas de problème le prix d’une procédure pénale.

Questions fréquentes sur les logiciels de dictée et le RGPD

Les logiciels de dictée sont-ils conformes au RGPD ?

Cela dépend de l’architecture. Les logiciels de dictée basés sur le cloud transmettent les données vocales à des serveurs externes et exigent un contrat de sous-traitance selon l’art. 28 RGPD. Les logiciels installés localement comme Diktly traitent tout sur l’ordinateur — aucune transmission de données, pas de contrat de sous-traitance nécessaire, conformité RGPD by design.

Pourquoi les solutions de dictée cloud sont-elles problématiques au niveau de la protection des données ?

Les services cloud transmettent les données audio à des serveurs externes, souvent hors de l’UE. Les enregistrements vocaux contiennent des caractéristiques biométriques et des contenus potentiellement confidentiels. Sans base juridique correcte, contrat de sous-traitance et analyse d’impact sur la protection des données, l’utilisation viole le RGPD.

Quel est le rapport entre l’§203 StGB et les logiciels de dictée ?

L’§203 StGB protège les secrets privés des professionnels soumis au secret professionnel comme les avocats, conseillers fiscaux et médecins. Quiconque transmet des données de mandants ou de patients via un logiciel de dictée cloud à des serveurs tiers risque une violation du secret professionnel — passible d’une peine de prison pouvant aller jusqu’à un an.

Ai-je besoin d’un contrat de sous-traitance pour un logiciel de dictée ?

Seulement si le logiciel transmet des données à des serveurs externes. Pour les solutions basées sur le cloud, un contrat de sous-traitance selon l’art. 28 RGPD est obligatoire. Pour les logiciels purement locaux, cette obligation disparaît car aucun sous-traitance n’a lieu.

Quels logiciels de dictée fonctionnent complètement hors ligne ?

Diktly traite la parole entièrement en local sur l’ordinateur et ne nécessite pas d’internet. La version desktop classique de Dragon fonctionne aussi en local. La plupart des alternatives modernes comme Siri, la saisie vocale Google ou Dragon Anywhere utilisent par contre des serveurs cloud.

Les données vocales sont-elles des données biométriques selon le RGPD ?

Les enregistrements vocaux peuvent être des données biométriques au sens de l’art. 4 n° 14 RGPD s’ils sont traités pour identifier de manière unique une personne. Dans ce cas s’applique l’interdiction stricte de traitement selon l’art. 9 RGPD avec ses exceptions limitées.

Combien coûte un logiciel de dictée conforme au RGPD ?

La fourchette de prix est large. Diktly Basic coûte 14,99 € en achat unique plus TVA. Les solutions cloud comme Dragon Anywhere coûtent souvent 20–30 € mensuels en abonnement. S’ajoutent pour les solutions cloud des coûts cachés pour la gestion du contrat de sous-traitance, l’analyse d’impact sur la protection des données et la documentation de conformité.

Conclusion : Le traitement local est la voie la plus sûre vers la conformité RGPD

La question n’est pas de savoir si les logiciels de dictée cloud peuvent être exploités en conformité RGPD. Avec suffisamment d’efforts — contrat de sous-traitance, analyse d’impact, examen pays tiers, sécurisation §203 — c’est théoriquement possible. La question est de savoir si cet effort en vaut la peine quand il existe une solution plus simple.

La reconnaissance vocale locale élimine le problème à la racine. Si aucune donnée ne quitte l’ordinateur, il n’y a pas de sous-traitant, pas de transfert vers un pays tiers et pas de violation du secret professionnel. La conformité n’est pas laborieuse — elle est architecturalement donnée. Grâce aux modèles open source comme Whisper, la qualité de reconnaissance des solutions locales a aujourd’hui atteint le niveau des services cloud commerciaux — l’avantage qualité souvent invoqué du cloud n’est plus un argument.

Si vous utilisez un logiciel de dictée en tant qu’avocat, conseiller fiscal ou médecin, vérifiez dès aujourd’hui : où finissent vos données vocales ? Si la réponse est « dans le cloud », il est temps de changer. Diktly traite tout en local, coûte 14,99 € en achat unique et ne nécessite aucun processus de conformité. Car la meilleure protection des données est celle où il n’y a rien à protéger — parce que les données ne quittent jamais votre ordinateur.