La règle des 24 heures, pourquoi nous supprimons l'audio aussi vite
« Chiffré au repos » est vrai et insuffisant. La rétention la plus courte que vous pouvez livrer est la posture vie privée la plus forte que vous pouvez offrir.
L'expression « chiffré au repos » est partout dans le marketing fournisseur. C'est vrai. C'est nécessaire. Ce n'est pas la même chose que « nous n'avons pas vos données ». Un fichier chiffré au repos reste un fichier, posé dans une base, dans une sauvegarde, dans un snapshot, dans une région, attaché à un enregistrement client, accessible aux ingénieurs ayant les bons rôles, récupérable en cas de demande légale, et, un jour, pris dans l'incident que le futur réserve.
La posture vie privée la plus forte n'est pas « vos données sont chiffrées pour toujours ». C'est « nous n'avons pas vos données ». La rétention la plus courte est la réponse la plus simple à la plus large gamme de questions vie privée. La réponse d'EnClair est 24 heures, pour l'audio et pour les synthèses. Voici l'article qui explique pourquoi.
La rétention la plus courte que vous pouvez livrer est la posture vie privée la plus forte que vous pouvez offrir. « Chiffré au repos » est vrai et nécessaire ; « nous ne l'avons pas » est plus fort. Une fenêtre de rétention de 24 heures sur l'audio et les synthèses retire la plupart des questions du procurement.
Ce que « rétention indéfinie » veut dire vraiment
La plupart des produits IA de réunion conservent audio et transcriptions jusqu'à suppression manuelle par l'utilisateur. Le langage marketing typique est une combinaison de :
- « Vos données sont à vous, vous les contrôlez. »
- « Chiffré au repos en AES-256. »
- « Supprimable sur demande. »
Toutes ces affirmations sont vraies. Elles décrivent aussi une rétention indéfinie avec un endpoint de suppression. L'état par défaut est « stocké ». La charge côté client est de penser à supprimer. La plupart des clients ne le font pas.
Exemple pratique : une équipe de trente personnes qui utilise une IA de réunion pendant deux ans et ne supprime jamais explicitement quoi que ce soit a, à la fin de l'année 2, autour de 1 500 à 5 000 heures d'enregistrements audio, plus les transcriptions et les synthèses, plus les journaux d'accès, plus les sauvegardes, plus les snapshots, plus les artefacts de recherche indexée. Tout ça existe. Tout ça peut entrer dans le périmètre d'une demande de discovery, d'un incident de sécurité, d'une enquête de régulateur, ou d'un futur changement de propriétaire et de politique du fournisseur.
« Chiffré au repos » ne change rien à tout ça. Ça change uniquement la réponse à « que se passe-t-il si on vole le disque ».
Pourquoi 24 heures
Le flux de synthèse ressemble à ça :
T+0 Téléversement audio
T+0–10 Modèles traitent l'audio en parallèle
T+10 Fichiers de synthèse disponibles au téléchargement
T+24 h Audio supprimé, synthèse supprimée, tous artefacts partisVingt-quatre heures, c'est assez de temps pour que l'utilisateur :
- Récupère les fichiers de synthèse des exécutions parallèles.
- Les relise, les compare, choisisse celle qui colle à l'article ou au brief.
- Télécharge la synthèse à conserver.
- Lance des configurations de synthèse supplémentaires (autre type, autre longueur) sur le même audio si la première passe n'était pas la bonne.
Ce n'est pas assez pour oublier. Vingt-quatre heures, c'est suffisamment court pour qu'un flux soit utilisé aujourd'hui ou que l'audio soit acté comme parti. Pas d'accumulation lente. Le fournisseur ne devient pas une archive long terme. Les enregistrements des conversations confidentielles de l'équipe ne séjournent pas dans un datacenter tiers pendant des années.
À titre de comparaison :
| Modèle de rétention | Comportement par défaut | Charge côté client |
|---|---|---|
| Indéfinie, suppression sur demande | Stocké jusqu'à suppression manuelle | Doit penser à supprimer et l'exécuter |
| 30 / 60 / 90 jours, automatisé | Stocké le temps de la fenêtre, puis auto-suppression | Doit télécharger ce qu'il veut garder dans la fenêtre |
| 24 heures, automatisé | Stocké uniquement pour la fenêtre de traitement, puis supprimé | Doit télécharger aujourd'hui |
| Zéro rétention (éphémère vrai) | Pas réalisable, le modèle a besoin de l'audio au moins jusqu'à la fin du traitement | Sans objet |
24 heures, c'est la fenêtre la plus courte où le flux fonctionne encore. Plus court et la synthèse est partie avant que l'utilisateur ne revienne la lire. Plus long et le fournisseur stocke.
Ce que nous supprimons, précisément
La règle des 24 heures s'applique à :
- Fichiers audio source. Les enregistrements téléversés par le client.
- Fichiers de synthèse générés. Les sorties des exécutions de modèle, dans toutes leurs variantes lancées.
- Artefacts intermédiaires. Tout fichier temporaire utilisé pendant le traitement, audio découpé, fragments de transcription, entrées et sorties de modèle mises en cache pour la performance.
- Copies de sauvegarde et snapshots. La suppression n'est pas juste un soft-delete dans la base primaire ; les sauvegardes avancent au-delà de la fenêtre de suppression.
Ce que nous gardons au-delà de 24 heures :
- Métadonnées de compte et d'équipe. Qui est dans l'équipe, registres de facturation, activité de connexion. Données de compte SaaS standard, avec leur propre rétention régie par les règles RGPD et les demandes de suppression du client.
- Métriques d'usage agrégées et non identifiantes. Combien de synthèses la plateforme a produit le mois dernier, en agrégé, pour la planification capacité. Aucune donnée par client ou par contenu.
Ce que nous ne faisons jamais
Trois choses que nous ne faisons à aucune fenêtre de rétention, sur aucun plan, sur aucun palier :
- Entraîner des modèles sur les entrées ou sorties utilisateurs. L'audio et les synthèses n'entrent dans aucun corpus d'entraînement, le nôtre ou celui d'un autre.
- Vendre ou partager du contenu avec des tiers à des fins marketing ou publicitaires. Non.
- Réutiliser l'audio entre clients. Chaque session est isolée. Rien ne passe latéralement.
La règle des 24 heures fait partie d'un engagement plus large : que les défauts du fournisseur correspondent à la posture vie privée que l'acheteur veut. La rétention est la partie la plus visible. Le non-entraînement et le non-partage sont les parties invisibles.
Ce que ça veut dire pour l'acheteur
Le procurement demande : « Combien de temps gardez-vous notre audio ? » Les fournisseurs qui répondent « jusqu'à suppression » invitent une conversation plus longue sur l'automatisation des suppressions, les politiques de cycle de vie et les journaux d'audit. Les fournisseurs qui répondent « 24 heures, puis c'est parti, sur tous les plans, par défaut » ont déjà donné à l'acheteur la réponse qu'il veut écrire dans son registre des traitements.
Pour la plupart des équipes, c'est la réponse qui clôt la conversation procurement en un vendredi après-midi.
Une note pour les équipes très exigeantes côté sécurité
Si 24 heures est trop long pour votre cas d'usage, la réponse n'est pas un autre paramètre de rétention chez le même fournisseur. C'est l'auto-hébergement, ou un arrangement contractuel zéro rétention avec éphémérité explicite par locataire. EnClair n'offre pas actuellement la configuration zéro rétention ; l'article auto-hébergé vs SaaS couvre l'alternative.
Pour la plupart des équipes, 24 heures suffit. Pour les équipes où ce n'est pas le cas, la bonne réponse est dite honnêtement. Nous préférons perdre ces dossiers que mal représenter l'architecture.
À retenir
La posture vie privée d'une IA de réunion n'est pas dans son marketing. Elle est dans la durée de rétention par défaut. Un fournisseur qui défaute à 24 heures, sur tous les plans, sans suppression manuelle requise, est un fournisseur dont l'architecture correspond à la promesse vie privée. La posture complète est sur la page sécurité. Le canevas procurement est dans l'article synthèse de réunion conforme RGPD.
Tags
- RGPD
- Industrie
- Workflow