Sécurité des données et confidentialité

Vue d'ensemble

Whisperer écoute vos appels, c'est pourquoi nous adoptons une approche conservatrice concernant vos données : nous ne stockons que ce qui est nécessaire à l'historique et à la recherche, nous proposons un mode dans lequel rien n'est enregistré, et nous protégeons l'accès sur un principe de refus par défaut. Cette page explique ce qui est stocké et où, comment fonctionne le mode privé sans journaux, quels mécanismes protègent vos données, et comment les supprimer.

Les principes fondamentaux : le panneau superposé est invisible lors du partage d'écran, les fichiers sont stockés localement sur votre Mac, et l'accès aux données des autres utilisateurs est verrouillé par des vérifications de propriété. Nous ne revendiquons pas de certifications que le produit ne possède pas — uniquement les mesures qui sont réellement mises en œuvre.

Quand l'utiliser

  • Vous évaluez Whisperer d'un point de vue confidentialité avant de l'utiliser lors d'appels professionnels.
  • Vous souhaitez comprendre ce qui est enregistré après une session et ce qui ne l'est pas.
  • Vous devez avoir une conversation sensible sans laisser de traces (mode sans journaux).
  • Vous souhaitez supprimer vos données ou comprendre vos droits à leur égard (RGPD).

Ce qui est stocké et où

  • La transcription et les réponses du modèle sont sauvegardées pour l'historique et la recherche dans les sessions passées — sauf pour les sessions en mode sans journaux (voir ci-dessous).
  • La base de connaissances (notes) est conservée jusqu'à ce que vous la supprimiez vous-même.
  • Les fichiers (par exemple, les documents de travail) sont stockés localement : il n'y a pas de stockage d'objets externe (S3).
  • Les jetons d'accès client sur macOS sont stockés dans le Keychain et chiffrés.

Mode sans journaux (privé)

Sans journaux (éphémère) est un mode de session pour les conversations sensibles :

  1. La transcription et les réponses du modèle ne sont pas écrites dans la base de données.
  2. Une fois la session terminée, les données associées sont supprimées.
  3. Les minutes sont tout de même consommées depuis votre quota (un compteur distinct, no_logs_minutes_used) — vous économisez de l'espace de stockage, pas du temps.

Utilisez le mode sans journaux lorsque le contenu de la conversation importe plus que l'historique : négociations sous accord de confidentialité, sujets personnels ou médicaux, entretiens confidentiels.

Comment les données sont protégées

Whisperer est construit sur le principe de la sécurité par défaut :

  1. Refus par défaut. Si un droit d'accès n'est pas explicitement confirmé, l'accès est refusé — et non accordé « au cas où ».
  2. Vérifications de propriété. Vous ne voyez que vos propres sessions, notes et paramètres ; une requête vers l'identifiant d'un autre utilisateur est rejetée.
  3. Validation des entrées. Les données externes sont validées avant traitement.
  4. Isolation du contexte utilisateur. Les données que vous fournissez à l'assistant sont traitées comme du matériel de référence et ne peuvent pas remplacer les instructions au niveau système.
  5. Jetons dans le Keychain. Sur macOS, les jetons client sont chiffrés et résident dans le Keychain système, et non dans des fichiers en texte clair.
  6. Jeton WebSocket dans l'en-tête. Le jeton est transmis dans l'en-tête Authorization, et non dans l'URL ou les paramètres de requête — il ne fuite donc pas dans les journaux des serveurs et des proxies.
  7. Gestion des sessions de jetons. Une version de jeton (token_version) invalide les anciens jetons lors d'un changement de mot de passe ou d'une déconnexion de tous les appareils ; le cookie de rafraîchissement est httpOnly, avec protection CSRF (double soumission).
  8. Secrets dans .env. Les clés et mots de passe ne sont pas stockés dans le code.

Suppression des données et RGPD

  1. Suppression des sessions. Les sessions et leur historique peuvent être supprimés depuis le tableau de bord web — cela supprime les transcriptions et réponses associées.
  2. Suppression des notes. La base de connaissances est conservée jusqu'à ce que vous la supprimiez ; supprimer une note la retire également de l'index RAG.
  3. Ne laisser aucune trace à l'avance. Pour qu'aucune donnée d'une conversation particulière ne soit stockée, exécutez la session en mode sans journaux.
  4. La suppression complète du compte et les demandes d'exercice des droits des personnes concernées sont traitées via le support : écrivez au support avec une demande de suppression ou d'export de vos données.

Captures d'écran

📸 [Capture d'écran : le bouton du mode sans journaux dans les paramètres de session]

📸 [Capture d'écran : l'historique des sessions dans le tableau de bord avec une action « Supprimer »]

📸 [Capture d'écran : le panneau superposé absent de la fenêtre de partage d'écran]

Erreurs courantes

  • Croire que le mode sans journaux économise des minutes. Les minutes sont consommées normalement ; seules les données ne sont pas enregistrées.
  • S'attendre à ce qu'une session ordinaire ne soit pas sauvegardée. En dehors du mode sans journaux, la transcription et les réponses sont sauvegardées pour l'historique et la recherche.
  • Supposer que la suppression d'une note la laisse dans les suggestions. Sa suppression retire la note à la fois de la base de connaissances et de l'index RAG.
  • Chercher un bouton « supprimer le compte » dans le tableau de bord. La suppression complète du compte est gérée via le support.

Bonnes pratiques

  • Pour les conversations sensibles, activez le mode sans journaux à l'avance — « effacer après coup » ce qui a été enregistré est plus difficile que de ne pas l'enregistrer dès le départ.
  • Nettoyez régulièrement l'historique des sessions dont vous n'avez plus besoin.
  • Ne mettez pas de secrets (mots de passe, jetons) dans le contexte utilisateur et les notes — ils sont envoyés au modèle dans le cadre du prompt.
  • Utilisez un mot de passe fort et déconnectez-vous de tous les appareils si vous suspectez une compromission : cela invalide les jetons émis.
  • Rappelez-vous que le panneau superposé est invisible lors du partage d'écran, mais que l'audio audible de l'autre personne est toujours reconnu — gardez cela à l'esprit lors des appels de groupe.

Articles associés