La dictée est le texte le plus personnel que vous produisez. C’est votre voix sans filtre - pensées à moitié formées, noms de clients, données de patients, mots de passe lus à voix haute, l’e-mail que vous n’avez pas encore décidé d’envoyer. Alors ça vaut la peine de poser une question simple avant de laisser une app écouter toute la journée : où va vraiment votre voix ?
La réponse n’est pas la même pour chaque app, et ce n’est pas toujours ce que dit le marketing. Mais ça se résume à une seule bifurcation.
La seule question qui décide
Qu’votre dictée soit privée se résume à une chose : où votre audio est traité. Il n’y a que deux réponses, et elles mènent à des histoires de confidentialité complètement différentes.
Soit l’app transcrit sur votre propre appareil - auquel cas votre voix ne le quitte jamais - soit elle envoie votre audio par internet aux serveurs d’une entreprise, auquel cas oui. Tout le reste (chiffrement, politiques de rétention, modes privés) est du détail empilé sur ce seul fait. Une app cloud peut chiffrer votre audio à merveille et rester une app qui envoie votre voix à l’ordinateur de quelqu’un d’autre. Une app sur l’appareil n’a aucune promesse à faire sur le traitement de vos données, car elle ne les reçoit jamais.
Alors quand vous évaluez un outil de dictée, commencez par là : local ou cloud. Le reste en découle.
Ce que la dictée cloud envoie réellement
La dictée cloud, par définition, envoie votre audio hors de votre appareil. Mais « votre audio » n’est souvent pas la seule chose qui voyage. Voici ce qui peut quitter votre machine quand vous dictez dans une app cloud :
| Ce qui est envoyé | Quand | Pourquoi ça compte |
|---|---|---|
| Votre audio brut | Chaque dictée | Votre voix réelle quitte l’appareil ; peut être stockée et, dans certaines apps, utilisée pour entraîner des modèles |
| La transcription | Chaque dictée | Le texte de tout ce que vous avez dit, gardé sur un serveur que vous ne contrôlez pas |
| Contexte d’écran / captures | Si la « conscience du contexte » est active | Le contenu de votre fenêtre active - e-mails, code, dossiers - peut voyager avec l’audio, parfois vers des API tierces |
| Une empreinte vocale | Selon le service | La voix peut être une donnée biométrique qui vous identifie de façon unique, ce qui relève l’enjeu légal sous le GDPR |
Les chercheurs en confidentialité décrivent trois points où la dictée cloud crée une exposition : à la capture, en transmission, et au stockage. L’audio est enregistré, envoyé sur le réseau, puis gardé - souvent des semaines ou des mois, parfois partagé avec les fournisseurs d’infrastructure cloud derrière le service, et dans certains cas utilisé pour améliorer les modèles de l’entreprise. Rien de tout ça n’est forcément malveillant. C’est simplement ce que signifie faire le travail ailleurs que sur votre propre machine.
Le « Mode privé » n’est pas la même chose que hors ligne
C’est la source la plus commune de fausse tranquillité, donc ça vaut la peine d’être précis. Beaucoup d’apps de dictée cloud offrent un « Mode privé », et les gens supposent raisonnablement que ça veut dire que leur voix reste sur leur appareil. Non.
En pratique, Mode privé signifie traitement cloud sans rétention : votre audio est quand même envoyé par internet aux serveurs du fournisseur et y est transcrit - il n’est juste pas stocké après. C’est une politique réelle et valable. Mais c’est une politique, pas une architecture. Votre voix quitte quand même votre machine et passe par le système de quelqu’un d’autre, et vous leur faites confiance pour la supprimer comme promis. La dictée hors ligne est tout autre chose : l’audio ne quitte jamais l’appareil, donc il n’y a rien à retenir, supprimer ou en quoi avoir confiance.
La distinction compte le plus justement quand la confidentialité compte le plus. « On la supprime après » est une garantie plus faible que « elle n’est jamais partie ».
Quand ça cesse d’être abstrait
La confidentialité est facile à balayer jusqu’à ce que vous voyiez ce qu’une app fait vraiment en arrière-plan. En avril 2026, une enquête technique indépendante a documenté le comportement du client de bureau d’une app populaire de dictée cloud sur macOS, avec des preuves d’analyse de binaire et de journaux d’exécution.
Les constats incluaient l’interception de frappes au niveau système, 1 688 changements de focus d’app et d’URL enregistrés en 30 heures, la collecte de l’arbre d’accessibilité jusqu’à neuf niveaux de profondeur, et une base de données locale de 694 Mo contenant de l’audio brut (198 Mo), des transcriptions complètes, et le contenu de champs de texte jusqu’à 36 191 caractères. La politique de confidentialité de l’app décrivait « Entrées audio » et « Données d’usage » mais ne révélait pas l’interception de frappes au niveau système, le suivi permanent d’apps et d’URL, ni la lecture du contenu de l’écran.
L’idée n’est pas qu’une entreprise soit exceptionnellement mauvaise. C’est qu’une fois que votre outil de dictée tourne avec un large accès au système et une connexion réseau, l’écart entre ce qu’une politique dit et ce que le logiciel fait est invisible pour vous. La seule version de cette histoire qui ne peut pas mal tourner, c’est celle où les données ne quittent jamais votre machine, pour commencer.
L’angle de la conformité : HIPAA et GDPR
Si vous dictez quoi que ce soit de réglementé - notes cliniques, travail juridique, tout ce qui est couvert par des lois de confidentialité - la question architecturale devient une question de conformité.
Sous la HIPAA, tout fournisseur qui traite des informations de santé protégées doit signer un Business Associate Agreement (BAA). Apple et Google ne signent pas de BAA pour leur dictée intégrée, et c’est pourquoi Siri et Google Voice ne sont pas conformes HIPAA pour les données de patients de base. Les fournisseurs de dictée cloud qui veulent des clients dans la santé doivent offrir un BAA, du chiffrement, des contrôles d’accès et des journaux d’audit - et vous devez tout vérifier.
Sous le GDPR, la voix peut être traitée comme donnée biométrique quand elle est traitée pour identifier une personne, ce qui place les services vocaux cloud dans une catégorie plus exigeante pour le stockage et le traitement.
La dictée sur l’appareil prend un autre chemin autour des deux. Si l’audio ne quitte jamais l’appareil, aucun business associate ne le traite, donc il n’y a aucun BAA à signer ; il n’y a pas de transfert transfrontalier à évaluer ni de processeur externe à justifier. Comme le disent les spécialistes de la confidentialité Mac et de l’IT santé, le plus simple pour la conformité en dictée sensible est de ne pas transmettre l’audio du tout. (C’est un argument architectural, pas une certification - vérifiez toujours contre vos propres obligations. Si vous travaillez dans l’un de ces domaines, nos pages pour thérapeutes et pour avocats vont plus loin.)
Ce que la dictée sur l’appareil change vraiment
La dictée sur l’appareil retire toute la question de ce qui est envoyé, car rien ne l’est. Le modèle qui transforme votre parole en texte vit sur votre machine, donc l’audio est capturé, transcrit et transformé en texte sans jamais toucher un réseau.
Les bonnes versions vont un cran plus loin dans la gestion de l’audio même en local. Dans SnailText, par exemple, le tampon audio reste en mémoire (RAM) pendant un enregistrement et n’est jamais écrit sur disque - donc il n’est pas seulement gardé hors du réseau, il n’est pas persisté du tout. Pas d’enregistrement de frappes, pas de captures de votre fenêtre active, pas de suivi d’apps et d’URL. Il n’y a rien à retenir car il n’y a rien de collecté.
C’est toute l’histoire de confidentialité, et elle est courte par conception : votre voix va de votre micro au champ de texte, et s’arrête là.
Comment vérifier n’importe quelle app de dictée vous-même
Vous n’avez à croire personne sur parole. Passez un outil de dictée par ces questions et le tableau de confidentialité s’éclaircit vite :
- Où l’audio est-il traité - sur mon appareil, ou sur les serveurs de l’entreprise ? (S’il faut une connexion internet pour transcrire, c’est du cloud.)
- L’audio est-il stocké, et combien de temps ? Est-il jamais utilisé pour entraîner des modèles ?
- Lit-il mon écran ou capture-t-il des écrans via une fonction de « contexte » ?
- Enregistre-t-il les frappes ou suit-il quelles apps et URL j’utilise ?
- Si je gère des données réglementées, le fournisseur signe-t-il un BAA, ou le traitement sur l’appareil retire-t-il le besoin ?
- Le « Mode privé » est-il hors ligne, ou juste du cloud sans rétention ?
Si la réponse honnête à « où l’audio est-il traité » est « sur mon appareil », la plupart du reste cesse de compter. Si c’est « le cloud », chaque autre réponse est une promesse que vous choisissez de croire.
Comment SnailText gère ça
SnailText est local par conception. Il fait tourner Whisper et Parakeet sur votre propre machine Mac ou Windows, donc votre voix est transcrite sur l’appareil et jamais envoyée à un serveur. Le tampon audio vit en RAM et n’est jamais écrit sur disque. Pas d’enregistrement de frappes, pas de captures, pas de suivi d’apps ou d’URL - les choses qui transforment un outil de dictée en outil de surveillance ne sont tout simplement pas dans le produit.
C’est ce qui nous permet de donner une réponse directe à « ma dictée est-elle privée ? » : oui, car votre voix ne quitte jamais votre machine. C’est gratuit pour commencer, sans compte, et le modèle se télécharge une fois puis fonctionne hors ligne - téléchargez SnailText et l’audio reste sur votre appareil dès le premier mot.
La version courte
Qu’votre dictée soit privée se résume à où votre audio est traité. Les apps cloud envoient votre voix - et parfois votre écran - à des serveurs où elle peut être stockée, partagée ou utilisée pour l’entraînement ; le « Mode privé » réduit la rétention mais votre audio quitte quand même l’appareil. Les apps sur l’appareil traitent tout en local et n’envoient rien, ce qui rend aussi le travail réglementé bien plus simple car des données qui ne quittent jamais votre machine n’ont besoin d’aucun accord pour être protégées. Posez une question à n’importe quel outil de dictée - local ou cloud - et la réponse de confidentialité en découle.