Does Audact store conversation content?

No. Audact retains only compliance metadata and cryptographic evidence hashes — enough to prove compliance, nothing more.

Where is data stored?

Exclusively in the EU. Primary region AWS Frankfurt (eu-central-1), backup AWS Amsterdam (eu-west-1). No data leaves the European Union.

How are erasure requests handled?

Via crypto-shredding (Patent P7): the encryption key is destroyed, rendering the associated data permanently unrecoverable while the evidence chain integrity is preserved.

Is Audact a data processor or controller?

Audact acts as a data processor. The customer remains the data controller and Audact processes data solely on the controller's documented instructions.

Conformité RGPD IA — Stockage UE uniquement et crypto-destruction

Dernière mise à jour : 8 avril 2026 · 8 min de lecture · Révisé par l'équipe de conformité Audact

Comment Audact gère le RGPD

Stockage de données UE uniquement

Toutes les données sont stockées exclusivement dans l'UE. Région principale : AWS Francfort (eu-central-1). Région secondaire : AWS Amsterdam (eu-west-1). Aucune donnée ne quitte l'Union européenne.

Pas de contenu de conversation stocké

Audact ne stocke jamais le contenu des conversations. Seules les métadonnées de conformité et les hachages cryptographiques de preuves sont conservés — suffisamment pour prouver la conformité, rien de plus.

Crypto-destruction pour l'effacement

Les demandes d'effacement des personnes concernées sont traitées via la crypto-destruction (Brevet P7). La clé de chiffrement est détruite, rendant toutes les données associées définitivement irrécupérables — tandis que l'intégrité de la chaîne de preuves est maintenue.

Intégrité de la chaîne de preuves

Même après la destruction des données personnelles, la chaîne de preuves de conformité reste intacte. Les hachages cryptographiques prouvent que les obligations de conformité ont été respectées, sans conserver aucune donnée personnelle.

Article 22 RGPD : prise de décision automatisée et IA

L'Article 22 donne à chaque personne concernée le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé — y compris le profilage — produisant des effets juridiques ou affectant de manière similaire et significativement la personne. Pour les déployeurs IA, c'est la disposition la plus importante du RGPD : un système IA qui refuse un prêt, rejette un candidat à un emploi, déclenche un blocage de fraude ou planifie une audience disciplinaire sans revue humaine significative tombe clairement dans le périmètre de l'Article 22.

Des voies légales existent : consentement explicite, nécessité pour un contrat, ou autorisation en vertu du droit de l'Union/des États membres avec des garanties adéquates. Dans tous les cas, le responsable du traitement doit fournir des informations significatives sur la logique impliquée, l'importance du traitement, et donner à la personne le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision. La Cour de justice européenne a confirmé dans SCHUFA (C-634/21, 2023) que le scoring de probabilité utilisé par des tiers pour piloter une décision est lui-même une « prise de décision automatisée » — élargissant l'Article 22 pour les fournisseurs IA.

Comment les systèmes IA déclenchent les obligations RGPD de protection des données

L'entraînement, le fine-tuning et l'inférence sur des données personnelles sont chacun des activités de traitement distinctes au sens de l'Article 4(2), et chacune nécessite sa propre base juridique en vertu de l'Article 6. Les agents vocaux, chatbots et flux de travail agentiques ingèrent régulièrement des noms, numéros de téléphone, données biométriques vocales et contenu révélant la santé, les convictions ou la sexualité — ce qui peut faire passer le traitement en données de catégorie spéciale sous l'Article 9, nécessitant une base plus solide telle que le consentement explicite ou l'intérêt public substantiel.

Une évaluation d'impact sur la protection des données (Article 35) est effectivement obligatoire pour la plupart des déploiements IA orientés clients : ils combinent surveillance systématique, nouvelle technologie et souvent des personnes concernées vulnérables. Les responsables du traitement doivent également satisfaire aux obligations de transparence des Articles 13-14 au moment de la collecte des données — une obligation que les agents vocaux IA ne respectent fréquemment pas car la divulgation intervient trop tard dans la conversation.

Transferts transfrontaliers de données sous le RGPD pour les fournisseurs IA

Le Chapitre V du RGPD restreint les transferts de données personnelles hors de l'EEE. Suite à Schrems II, les responsables du traitement doivent effectuer une évaluation de l'impact des transferts lors de l'utilisation de clauses contractuelles types, et le cadre EU-US de confidentialité des données fournit actuellement le seul pont d'adéquation vers les États-Unis. De nombreux fournisseurs IA populaires (OpenAI, Anthropic, Google) traitent les données UE sur une infrastructure basée aux États-Unis sous DPF ou SCC, ce qui déplace la charge de diligence raisonnable sur le client.

Audact résout cela en opérant exclusivement dans l'UE : le trafic d'inférence, les métadonnées, les clés et les sauvegardes restent dans AWS Francfort et Amsterdam. Aucun transfert de Chapitre V n'a jamais lieu, éliminant la charge d'évaluation d'impact des transferts et supprimant la dépendance à la stabilité politique continue du DPF.

Rôles dans le traitement des données

Audact opère en tant que sous-traitant. Le client reste le responsable du traitement en tout temps. Audact traite les données uniquement au nom du responsable du traitement et selon ses instructions.

Accord de traitement des données

Notre DPA standard est disponible à /legal/dpa. Les clients Enterprise peuvent demander un DPA personnalisé.

Contact

Pour les demandes liées à la confidentialité, contactez-nous à privacy@audact.ai.

Questions fréquemment posées

Audact stocke-t-il le contenu des conversations ?

Non. Audact conserve uniquement les métadonnées de conformité et les hachages cryptographiques de preuves — suffisamment pour prouver la conformité, rien de plus.

Où les données sont-elles stockées ?

Exclusivement dans l'UE. Région principale AWS Francfort (eu-central-1), secondaire AWS Amsterdam (eu-west-1). Aucune donnée ne quitte l'Union européenne.

Comment les demandes d'effacement sont-elles traitées ?

Via la crypto-destruction (Brevet P7) : la clé de chiffrement est détruite, rendant les données associées définitivement irrécupérables tout en préservant l'intégrité de la chaîne de preuves.

Audact est-il sous-traitant ou responsable du traitement ?

Audact agit en tant que sous-traitant. Le client reste le responsable du traitement et Audact traite les données uniquement selon les instructions documentées du responsable.

Comparer les lois de conformité IA UE

Loi	Date limite	Qui	Pénalité
EU AI Act Art. 50	2 août 2026	Tous les déployeurs IA dans l'UE	€7,5M / 1,5 % du chiffre d'affaires
NL Telecomwet	1er juil. 2026	Marketing sortant vers les consommateurs NL	€900k / 10 % du chiffre d'affaires
RGPD	En vigueur	Tout responsable du traitement de données UE	€20M / 4 % du chiffre d'affaires
DSA	En vigueur (fév. 2024)	Intermédiaires et VLOP	6 % du chiffre d'affaires mondial
ePrivacy	En vigueur	Expéditeurs de communications électroniques	Variable selon l'État membre

Ressources de conformité connexes

Avertissement : Cette page est fournie à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez un conseil juridique qualifié pour vos obligations de conformité spécifiques.

← Retour à l'accueil

Conformité RGPD IA avec Audact