Outils & IA7 min de lecture

Les assistants de réunion par IA sont-ils sûrs ? (Otter, Fireflies et autres)

Pas par défaut : Otter.ai, Fireflies.ai et les bots de visio enregistrent et transcrivent tout, entraînement souvent activé. Les vrais risques et la parade.

Par Pierre de ONYRI

Pas par défaut : un assistant de réunion par IA comme Otter.ai, Fireflies.ai ou un bot qui rejoint votre visio enregistre, transcrit et stocke l'intégralité de ce qui se dit — y compris des informations confidentielles : chiffres, sujets RH, données clients et secrets d'affaires. Sur les offres grand public, l'entraînement sur les transcriptions est souvent activé par défaut, et plusieurs recours collectifs déposés en 2025 accusent ces outils d'enregistrer et d'exploiter des conversations sans consentement clair. Ils peuvent être utilisés en sécurité, mais à des conditions précises — et la seule garantie au niveau du contenu reste de n'envoyer à un résumé IA qu'une transcription anonymisée.

Ce qu'un assistant de réunion IA capte vraiment

Ces outils rejoignent automatiquement Zoom, Google Meet ou Microsoft Teams pour enregistrer, transcrire et analyser la réunion. Le problème n'est pas la transcription en soi, mais ce qui transite : un bot ne fait pas le tri entre un point d'agenda anodin et un échange confidentiel. Tout passe — la marge sur un deal, un dossier RH, une donnée client, une clé technique citée à voix haute. Les plaintes contre Otter.ai décrivent même un cas où le bot a continué d'écouter après la fin officielle de la réunion : la transcription, envoyée ensuite automatiquement par email, contenait des propos confidentiels échangés une fois la réunion close, contribuant à faire capoter une transaction. Ces transcriptions et emails de suivi sont parfois adressés à des participants — voire à des personnes invitées mais absentes — sans qu'elles aient de compte chez le fournisseur.

Les litiges Otter.ai et Fireflies.ai

Le sujet n'est pas théorique : il est désormais devant les tribunaux américains. Un recours collectif fédéral (Brewer v. Otter.ai Inc., U.S. District Court, Northern District of California) déposé le 15 août 2025 accuse Otter.ai d'enregistrer des conversations de manière déceptive et furtive et d'exploiter ces données pour entraîner son service de transcription sans la permission des participants — le service en temps réel ne demanderait pas par défaut leur accord à l'enregistrement, ni ne les avertirait que les enregistrements servent à améliorer ses systèmes d'IA. Le litige a été élargi : quatre recours déposés entre août et septembre 2025 ont été consolidés sous In re Otter.AI Privacy Litigation. Selon les plaintes, l'entraînement sur les transcriptions est activé par défaut sur les offres grand public, conditionné à une case que beaucoup d'utilisateurs cochent sans comprendre qu'ils autorisent l'ingestion de conversations privées à des fins d'entraînement.

Fireflies.AI fait l'objet d'une procédure distincte : un recours collectif déposé en novembre 2025 dans l'Illinois (plaignante Katelin Cruz) invoque le Biometric Information Privacy Act (BIPA). Il reproche à la fonction « Speaker Recognition » de générer des empreintes vocales sans publier de calendrier de rétention, sans informer les participants par écrit de la collecte, de sa finalité et de sa durée, et sans recueillir de consentement écrit — y compris auprès de personnes simplement présentes en réunion qui n'ont jamais créé de compte ni accepté les conditions d'utilisation. Pour les détails de paramétrage, reportez-vous aux pages officielles « Otter.ai Privacy Policy / Notebook » et « Fireflies.ai Security & Privacy ».

Consentement et RGPD : un risque juridique réel

Enregistrer une réunion sans accord crée un risque juridique qui varie selon la juridiction. Aux États-Unis, la règle fédérale est le consentement d'une seule partie, mais une douzaine d'États (Californie, Illinois, Floride, Maryland, Massachusetts, Pennsylvanie, Washington…) exigent le consentement de toutes les parties. Règle prudente : si un seul participant se trouve dans un État « all-party », il faut l'accord de tout le monde. Sous le RGPD (et le CCPA/CPRA en Californie), les enregistrements vocaux et leurs transcriptions sont des données personnelles : il faut une base légale, une information transparente (finalité, accès, durée de conservation) et un consentement non ambigu avant d'enregistrer. Les empreintes vocales relèvent en plus des lois sur les données biométriques comme le BIPA, qui imposent un consentement écrit explicite.

Règle de consentementOù elle s'appliqueCe que ça implique
Une seule partieRègle fédérale US par défautUn participant suffit à autoriser l'enregistrement
Toutes les parties~12 États US (CA, IL, FL, MD, MA, PA, WA…)Accord de chaque participant requis
Consentement non ambiguRGPD (UE), CCPA/CPRA (Californie)Base légale + information transparente avant d'enregistrer
Consentement écrit expliciteBIPA et lois biométriques (empreinte vocale)Notice écrite + accord signé pour le voiceprint
D'après l'analyse juridique de Fisher Phillips LLP et la procédure BIPA rapportée par The National Law Review. La règle prudente : aligner sur la juridiction la plus stricte présente en réunion.

Au-delà du consentement, certaines réunions captent des échanges juridiquement protégés ou privilégiés : discussions médicales, activité syndicale, plaintes pour harcèlement, communications avocat-client. Les cabinets recommandent d'interdire les preneurs de notes IA dans ces catégories.

Utiliser ces outils sans s'exposer

Un assistant de réunion IA n'est pas à bannir par principe ; il s'encadre. Les mesures recommandées pour réduire le risque :

  1. 1Posez un consentement explicite : avis écrit dans l'invitation, prompt de consentement actif, et annonce verbale en début de réunion.
  2. 2Restreignez par juridiction et par type de réunion (jamais de bot sur du privilège avocat-client, des conversations entre dirigeants ou des données de santé).
  3. 3Désactivez les fonctionnalités à haut risque (reconnaissance de locuteur / empreinte vocale si vous n'en avez pas besoin).
  4. 4Contrôlez strictement la rétention des données chez le fournisseur, et vettez ses garanties.
  5. 5Pour les résumés IA, n'envoyez à un modèle externe qu'une transcription anonymisée — pas le verbatim brut.
  • Le consentement réduit le risque légal, mais ne protège pas le contenu une fois transcrit.
  • La désactivation des fonctions sensibles limite la collecte, pas ce qui a déjà été capté.
  • Seule l'anonymisation de la transcription neutralise le contenu lui-même avant un résumé IA.
Schéma : en haut, un bot rejoint une réunion et capte une transcription contenant des données sensibles (ambre) qu'il conserve et exploite ; en bas, la même transcription anonymisée ne laisse passer que des jetons (cobalt) avec une coche avant d'atteindre le résumé IA.
D'après les analyses de NPR, Fisher Phillips LLP et The National Law Review (litiges Otter.ai et Fireflies.ai). Le consentement encadre l'enregistrement ; l'anonymisation, elle, protège le contenu.

C'est là que se situe la complémentarité avec votre process de comptes rendus : nous détaillons le côté how-to dans « Comptes rendus de réunion par l'IA sans exposer le confidentiel ». L'idée commune est simple — laissez le bot enregistrer si le consentement est en règle, mais ne confiez au modèle de résumé qu'une transcription déjà nettoyée de ses identités, montants et secrets.

C'est précisément le rôle d'ONYRI Sanitize : le moteur remplace noms, montants, données clients et clés par des jetons réversibles avant l'envoi ; la détection et le mapping jeton↔valeur restent dans votre navigateur, et seul un texte anonymisé atteint l'outil de résumé. Que la transcription soit relue, conservée ou utilisée pour l'entraînement, elle n'y trouve que des jetons — pas vos informations réelles.

Questions fréquentes

Les assistants de réunion par IA sont-ils sûrs ?
Pas par défaut : Otter.ai, Fireflies.ai et les bots de visio enregistrent et transcrivent tout, et l'entraînement sur les transcriptions est souvent activé par défaut sur les offres grand public. Des recours collectifs déposés en 2025 leur reprochent d'enregistrer sans consentement clair. Ils peuvent s'utiliser en sécurité à condition d'encadrer le consentement et de n'envoyer aux résumés IA qu'une transcription anonymisée.
Est-il légal d'enregistrer une réunion avec un bot IA sans prévenir ?
Cela dépend de la juridiction. Aux États-Unis, la règle fédérale est le consentement d'une seule partie, mais une douzaine d'États exigent celui de toutes les parties ; si un participant s'y trouve, il faut l'accord de tous. Sous le RGPD, il faut une base légale, une information transparente et un consentement non ambigu avant d'enregistrer ; les empreintes vocales exigent en plus un consentement écrit (BIPA).
Comment utiliser un assistant de réunion IA sans exposer le confidentiel ?
Posez un consentement explicite, restreignez les bots par type de réunion, désactivez les fonctions à haut risque comme l'empreinte vocale, et surtout n'envoyez à un résumé IA qu'une transcription anonymisée : un moteur remplace identités, montants et secrets par des jetons réversibles, et le modèle ne reçoit jamais le verbatim réel.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi