DeepScript
Retour au Trust Center
FAQ

FAQ confidentialité

Réponses aux questions les plus fréquentes sur la conformité au RGPD, l'entraînement d'IA, le lieu de stockage, les sous-traitants ultérieurs, les droits des personnes concernées et la sécurité. Si votre question reste sans réponse ici, écrivez-nous simplement.

RGPD et conformité

DeepScript est-il conforme au RGPD ?
Oui. DeepScript est conçu pour être conforme au RGPD dès le départ : traitement en Allemagne, aucun transfert vers un pays tiers des données de contenu, un DPA conforme à l'art. 28 disponible, des mesures techniques et organisationnelles documentées conformément à l'art. 32, une liste transparente des sous-traitants ultérieurs et la prise en charge complète de tous les droits des personnes concernées.
DeepScript est-il responsable du traitement ou sous-traitant ?
Les deux – selon les données concernées. Pour les données de contenu (audio, transcriptions), nous sommes sous-traitant au sens de l'art. 28 RGPD et agissons exclusivement sur instruction de notre client. Pour le traitement des données de compte et de facturation de nos clients eux-mêmes, nous sommes responsable du traitement.
Les données clients sont-elles utilisées pour l'entraînement d'IA ?
Non. Jamais. Ni pour entraîner nos propres modèles, ni pour entraîner des modèles tiers. Cet engagement est contractuel et techniquement garanti par des pipelines d'inférence clairement séparés – les processus d'entraînement n'ont aucun accès en lecture aux données clients de production.
Existe-t-il un accord de traitement des données (DPA) ?
Oui. Vous pouvez demander le DPA directement en ligne sur la page Trust Center. En quelques minutes, vous recevez par e-mail un contrat PDF pré-rempli et signé par nos soins. Y compris les quatre annexes (mesures techniques et organisationnelles, registre des activités de traitement, sous-traitants ultérieurs, conformité IA).
Disposez-vous d'ISO 27001 ?
Oui. DeepScript est certifié ISO/IEC 27001, ISO 9001 et ISO 14001. Notre partenaire d'infrastructure Hetzner est également certifié ISO/IEC 27001.

Hébergement et lieu de stockage

Où mes données sont-elles stockées ?
Exclusivement en Allemagne – dans les centres de données Hetzner de Nuremberg et Falkenstein. Les deux sites sont certifiés ISO/IEC 27001. L'application, la base de données, le moteur de transcription, le stockage objet et les sauvegardes restent au sein de ces sites.
DeepScript transfère-t-il des données en dehors de l'UE ?
Aucune donnée de contenu. Le seul transfert vers un pays tiers concerne le traitement des paiements via Stripe (UE → États-Unis), encadré par les clauses contractuelles types de l'UE (CCT) et la certification DPF de Stripe. Aucun audio ni transcription n'est transféré, uniquement des métadonnées de facturation (nom, adresse, jeton, montant).
Utilisez-vous AWS, Azure ou Google Cloud ?
Non. Nous n'utilisons aucun hyperscaler américain pour le traitement ou le stockage des données clients. L'ensemble de l'infrastructure fonctionne sur Hetzner en Allemagne.
Quels services d'IA externes utilisez-vous ?
Aucun. Notre moteur de reconnaissance vocale compatible Whisper fonctionne entièrement sur notre propre infrastructure. Nous n'envoyons aucun audio ni transcription à OpenAI, Anthropic, Google ou des fournisseurs similaires. Les résumés assistés par IA se font exclusivement côté client via le Model Context Protocol – le client IA choisi par le client (p. ex. Claude Desktop) apporte sa propre connexion au modèle.

Sécurité

Comment mes données sont-elles chiffrées ?
En transit : TLS 1.3 (au minimum TLS 1.2) entre tous les composants, HSTS sur tous les points de terminaison publics. Au repos : AES-256 pour les sauvegardes ; volumes de base de données entièrement chiffrés. Les mots de passe sont stockés avec bcrypt ; les clés API uniquement sous forme de hachage.
Qui dans votre équipe a accès à mes données ?
En fonctionnement normal, personne. Les accès administratifs aux systèmes de production nécessitent une authentification à deux facteurs et sont intégralement audités. Les accès en lecture aux données de contenu n'ont lieu que lorsqu'ils sont strictement nécessaires à l'analyse d'erreurs et expressément demandés par le client.
À quelle vitesse sommes-nous informés en cas de violation de données ?
Dans les 24 heures suivant la prise de connaissance. La notification contient la nature de la violation, les catégories concernées, les mesures prises et un point de contact. L'obligation de notifier les autorités de contrôle (art. 33 RGPD, délai de 72 heures) incombe au responsable du traitement ; nous fournissons toutes les informations nécessaires.
DeepScript réalise-t-il des tests d'intrusion ?
Oui. Chaque année, nous mandatons un prestataire de sécurité externe indépendant pour réaliser un test d'intrusion sur l'application web et l'API REST publique. Nous mettons un résumé exécutif à la disposition des clients professionnels sur demande sous NDA.

Durées de conservation et suppression

Combien de temps mes données sont-elles conservées ?
Audio : supprimé immédiatement après la transcription. Transcriptions : suppression automatique au bout de 30 jours par défaut, configurable entre 7 et 365 jours – ou conservation permanente avec le plan Pro. Données de facturation : 10 ans (obligation légale de conservation selon le § 147 AO / § 257 HGB). Journaux d'audit : 12 mois après la suppression du compte.
Puis-je demander la suppression de mes données ?
Oui. Dans Paramètres → Données et confidentialité, vous trouverez des boutons pour un export complet des données et la suppression du compte. La suppression prend effet immédiatement. Dans les sauvegardes, les données disparaissent sous 14 jours avec la rotation des sauvegardes.
Que se passe-t-il à la fin du contrat ?
Toutes les données clients sont supprimées sous 30 jours. Si le contrat prend fin alors qu'un plan Pro est actif, la suppression automatique est ramenée à 30 jours. Vous pouvez obtenir une confirmation écrite de suppression sur demande.

Personnes concernées

Comment DeepScript prend-il en charge les demandes des personnes concernées ?
En libre-service via les paramètres (export, suppression) – effet immédiat. Nous répondons aux demandes par e-mail à datenschutz@deepscript.com sous 5 jours ouvrés. Si le responsable du traitement est un client professionnel, nous coordonnons les demandes via son délégué à la protection des données.
Comment informer mes interlocuteurs de l'enregistrement ?
C'est la responsabilité du responsable du traitement (= vous ou votre employeur). Les obligations d'information découlent des art. 13/14 RGPD ainsi que de l'art. 50 du règlement européen sur l'IA pour le traitement assisté par IA. Sur demande, nous fournissons des modèles de mentions de confidentialité.
Qu'en est-il des enregistrements mentionnant des personnes qui n'ont pas été sollicitées ?
Le responsable du traitement doit disposer d'une base légale (consentement, intérêt légitime, etc.) pour le traitement – y compris pour les tiers simplement mentionnés. DeepScript n'examine pas le contenu ; nous traitons exclusivement sur instruction. En cas de doute : anonymisez ou caviardez les données avant le téléversement.

Sous-traitants ultérieurs et documents

Quels sous-traitants ultérieurs DeepScript utilise-t-il ?
Vous trouverez la liste à jour sur /datenschutz/subprozessoren. Actuellement : Hetzner (hébergement, Allemagne) et Stripe (paiement, UE + États-Unis avec CCT).
Serai-je informé avant une modification de la liste des sous-traitants ultérieurs ?
Oui. Les clients professionnels disposant d'un DPA actif sont informés par e-mail au moins 30 jours avant l'ajout d'un nouveau sous-traitant ultérieur ayant accès à des données à caractère personnel, et peuvent s'y opposer dans un délai de 14 jours pour un motif légitime.
Quels documents relatifs à la protection des données sont disponibles ?
DPA (avec 4 annexes) sur demande en ligne. Mesures techniques et organisationnelles incluses dans le DPA (annexe 1). Liste des sous-traitants ultérieurs sur ce site. Politique de confidentialité sur /datenschutzerklaerung. Résumé du test d'intrusion sur demande sous NDA.
Qui est le contact pour la protection des données ?
Aliru GmbH, Julius-Hatry-Straße 1, 68163 Mannheim. E-mail : datenschutz@deepscript.com. Gérant : Julian Kissel.

Des questions ?

Écrivez-nous à datenschutz@deepscript.com – nous répondons sous un jour ouvré.

FAQ confidentialité – DeepScript Trust Center