La question revient à chaque appel d'offres, posée par la même personne. Le DPO ouvre son carnet, laisse passer la démonstration produit, puis demande où vont résider les enregistrements d'entretien, quels sous-traitants voient passer la voix des candidats, et sous quelle juridiction tombe l'infrastructure. Côté commercial, la réponse arrive souvent en deux temps : une assurance générale ("nos données sont hébergées en Europe, nous sommes RGPD"), puis un renvoi vers une page de sécurité que personne n'a relue avec le DPO.
Cet article est écrit pour la personne qui pose la question. Il propose une grille de lecture en quatre points, puis un comparatif sourcé de neuf outils de transcription et d'analyse d'entretien, chaque cellule renvoyant à la page publique de l'éditeur. Hirify, qui édite ce guide, fait partie des outils cités : chaque élément factuel sur les autres outils est tiré de leurs pages publiques et daté du 6 juin 2026.
Aujourd'hui, les CV sont anonymisés avant envoi à ChatGPT, et le DPO s'arrache les cheveux.
Cette phrase résume le malaise. Les équipes recrutement utilisent des outils qui traitent des données personnelles de candidats (la voix, le parcours, et parfois des sujets relevant des catégories particulières du RGPD quand la santé ou l'origine surgissent en entretien), sans toujours savoir où cette matière atterrit. L'objectif ici est de donner au DPO de quoi instruire le dossier lui-même, plutôt que de désigner un coupable.
La grille de lecture en quatre questions
Avant de comparer des marques, il faut savoir quoi regarder. Quatre questions suffisent à cartographier le risque d'un outil de transcription d'entretien.
Où résident physiquement les données ?
C'est la première question, la plus simple, et celle à laquelle la plupart des éditeurs répondent volontiers. Un datacenter en France, en Belgique, aux Pays-Bas ou au Royaume-Uni ne se vaut pas de la même façon au regard du RGPD : la France et la Belgique sont dans l'Union, le Royaume-Uni en est sorti mais bénéficie d'une décision d'adéquation. La localisation est nécessaire à connaître, mais elle ne suffit pas, parce qu'elle ne dit rien de la question suivante.
Qui peut être juridiquement contraint de remettre la donnée ?
Voilà le point que la mention "hébergé en Europe" masque le plus souvent. Une donnée stockée à Paris sur l'infrastructure d'un fournisseur américain reste exposée au Cloud Act : la loi américaine de 2018 permet aux autorités des États-Unis de réclamer à une société de droit américain les données qu'elle détient, où qu'elles soient stockées. Amazon Web Services, Microsoft Azure et Google Cloud sont des sociétés de droit américain. Héberger en région UE sur l'un de ces trois fournisseurs réduit le risque de transfert, mais ne ferme pas l'exposition à une demande d'accès. La seule façon de la fermer est de passer par un fournisseur dont la maison mère relève d'une juridiction européenne. C'est la nuance que beaucoup de DPO traquent et que peu de pages marketing formulent clairement.
Où part la donnée pour être traitée par l'IA ?
Un outil de transcription découpe le travail entre plusieurs sous-traitants : un moteur de reconnaissance vocale qui transforme la voix en texte, un modèle de langage qui résume et structure. Ces sous-traitants sont rarement mis en avant sur les pages commerciales, alors que ce sont eux qui voient passer le contenu réel de l'entretien. Un DPO sérieux veut leur liste nominative : quel moteur de transcription, quel éditeur de modèle de langage, dans quelle juridiction. Quand cette liste n'est pas publique, c'est en soi une information.
Stockage et traitement sont deux choses différentes
Dernier piège, et le plus subtil. Un éditeur peut proposer une option de résidence des données en Europe tout en réalisant le calcul (la transcription, le résumé) sur une infrastructure située ailleurs. Le cas est documenté chez Fireflies : son option Private Storage permet de stocker les données dans l'UE, mais cette même documentation précise que le traitement reste effectué aux États-Unis, le traitement en région européenne étant annoncé comme une capacité future. Stocker en Europe et traiter aux États-Unis, ce sont deux décisions distinctes, et seule la lecture attentive de la page sécurité permet de les démêler.
Le comparatif, lu à travers cette grille
Le tableau ci-dessous applique ces quatre questions à neuf outils que des équipes recrutement utilisent pour capter et structurer ce qui sort d'un entretien. Tous répondent au même besoin de départ : transcrire l'échange et décider de ce que devient la donnée candidat ensuite. Ils diffèrent sur l'endroit où cette donnée vit et sur la transparence de leur chaîne de sous-traitance.
Une précaution avant de lire : aucun de ces outils n'est présenté ici comme non conforme au RGPD. Plusieurs détiennent des certifications exigeantes, SOC 2 Type II ou ISO 27001, qui sont des forces réelles et que le tableau ne cherche pas à minimiser. L'axe de comparaison est la juridiction du fournisseur cloud et la transparence des sous-traitants, pas la conformité.
| Outil | Éditeur (pays) | Fournisseur cloud (juridiction) | Localisation des données | Sous-traitants IA déclarés | Résidence France/UE |
|---|---|---|---|---|---|
| Otter | États-Unis | AWS, GCP, Crusoe (US) | États-Unis | Anthropic, OpenAI (US) | Non documentée |
| Fireflies | États-Unis | AWS, GCP (US) | États-Unis par défaut | OpenAI (US), moteurs vocaux non nommés | Stockage UE en Enterprise, traitement US |
| BrightHire | États-Unis (groupe Zoom) | AWS (US), région non précisée | États-Unis | OpenAI, Anthropic, AssemblyAI, Deepgram et autres (US) | Non |
| Metaview | Royaume-Uni | AWS (UK) | Royaume-Uni | Anthropic, AssemblyAI (US) | Non, hébergement UK |
| Screenloop | Royaume-Uni | AWS | USA ou UE selon le DPA | OpenAI, AssemblyAI (US) | Conditionnelle |
| tl;dv | Allemagne | GCP, AWS, Hetzner, Wasabi | Datacenters en Europe | Anthropic (US) | Résidence UE revendiquée |
| Leexi | Belgique | AWS, Azure (région UE) | France et UE | Azure OpenAI (UE), Gladia pour la transcription (FR) | Résidence France/UE |
| Noota | France | GCP UE (transcription), Scaleway revendiqué pour Talent | UE | Non publiés | Résidence UE |
| Seedext | France | Azure et GCP selon la fiche Microsoft de mars 2025 | France | Non nommés publiquement | Résidence France revendiquée |
Données vérifiées le 6 juin 2026 sur les pages publiques des éditeurs. Les offres évoluent : signalez-nous toute information devenue inexacte à contact@hirify.fr.
Quelques lectures à expliciter, parce que les cellules courtes ne disent pas tout.
Les trois premiers outils, Otter, Fireflies et BrightHire, ont une pile entièrement américaine : éditeur, fournisseur cloud et sous-traitants IA aux États-Unis. C'est un fait de localisation et de juridiction, pas un jugement de qualité. BrightHire a rejoint le groupe Zoom fin 2025, ce qui ne change pas sa conformité affichée (SOC 2 Type II, audit de biais par un tiers, cadre AI Act revendiqué) mais ajoute un acteur de plus dans la chaîne pour un DPO qui cartographie les responsables de traitement. Pour Fireflies, le point à retenir est la distinction stockage et traitement vue plus haut : une résidence UE existe en Enterprise, le traitement reste annoncé aux États-Unis.
Metaview et Screenloop sont britanniques. Metaview héberge sur AWS en région UK, hors Union mais sous adéquation, avec Anthropic et AssemblyAI comme sous-traitants IA déclarés à son Trust Center. Screenloop mérite la formule prudente : son contrat de sous-traitance indique que les données peuvent résider aux États-Unis comme dans l'UE, ce qui rend la résidence conditionnelle plutôt qu'acquise. Ces deux outils sont des plateformes recrutement complètes, Metaview avec du sourcing et de la redécouverte de vivier, Screenloop devenu lui-même un ATS, et leur conformité n'est pas en cause ici.
Côté européen, le tableau change de couleur sans devenir uniforme. tl;dv est une société allemande qui revendique une résidence des données en Europe, sur des hyperscalers américains (GCP, AWS) complétés par Hetzner et Wasabi, avec Anthropic comme sous-traitant IA. La donnée est en UE, le fournisseur cloud reste en partie de droit américain.
Leexi et Seedext méritent qu'on s'y arrête, parce que ce sont des acteurs francophones sérieux sur ce terrain, pas des cases à cocher.
Leexi et Seedext, deux Européens crédibles sur la souveraineté
Leexi est une société belge (immatriculée à Bruxelles, droit belge) qui adresse fortement le marché français : interface en français, support français, clients français nommés. Sa documentation de sous-traitance, datée de mai 2025, est l'une des plus lisibles de la liste : infrastructure AWS en région UE, IA générative sur Azure OpenAI en région UE, et transcription assurée en partie par Gladia, un acteur français. Une stack relativement sobre, avec des données en France et en UE. L'écart avec une pile française tient à la juridiction des fournisseurs sous-jacents : AWS et Azure restent des sociétés de droit américain, exposées au Cloud Act malgré la région européenne. Cela ne traduit aucun défaut de conformité, seulement une nuance de juridiction, et Leexi est l'un des rares à publier assez d'informations pour qu'on puisse la formuler.
Seedext est une société française (siège à Paris) qui place la souveraineté au centre de son discours, avec un hébergement revendiqué en France et une résidence des données en France. Un point demande de la prudence : la fiche de certification Microsoft 365 de l'app, auto-déclarée par l'éditeur et mise à jour en mars 2025, déclare Azure et Google Cloud comme fournisseurs cloud d'hébergement, avec un stockage des données en France. Selon cette fiche de mars 2025, qui ne couvre que l'app Teams, les fournisseurs sous-jacents sont donc des hyperscalers américains, là encore une question de juridiction du fournisseur et non de localisation. Aucun sous-traitant IA n'est nommé publiquement par Seedext, ce qui laisse cette case ouverte pour un DPO qui veut la chaîne complète.
Face à Leexi et Seedext, l'écart de Hirify ne se joue pas sur le fait "d'être français" : ces deux outils hébergent déjà des données en France ou en UE et ne pratiquent aucun scoring de candidats. Il se joue sur deux points précis. La juridiction du fournisseur cloud d'abord : Hirify s'appuie sur Scalingo, une société française, là où Leexi et Seedext reposent sur des fournisseurs sous-jacents de droit américain. La couche produit ensuite, sur laquelle nous revenons plus bas, qui dépasse la transcription pour exploiter le vivier candidat.
Noota, enfin, est un cas à deux niveaux qu'il faut distinguer par produit. Son notetaker stocke les données sur Google Cloud Platform en datacenters UE, fournisseur américain exposé au Cloud Act, fait publié sur sa propre page de sécurité. Sa plateforme recrutement, elle, revendique tourner sur Scaleway, fournisseur français, avec une architecture présentée comme compatible SecNumCloud (compatible, et non qualifiée par l'ANSSI). La liste de ses sous-traitants IA n'est pas publiée. Lire Noota suppose donc de demander de quel produit on parle.
Lire une page sécurité d'éditeur en cinq minutes
Vous n'avez pas besoin d'être juriste pour instruire le dossier. Voici ce qu'un DPO regarde quand il ouvre une page "security", "trust" ou un DPA, dans l'ordre.
La liste des sous-traitants d'abord. Une page de confiance sérieuse publie la liste nominative de ses sous-processeurs, avec leur rôle et leur localisation. Si cette liste existe et nomme le fournisseur cloud, le moteur de transcription et l'éditeur du modèle de langage, vous avez l'essentiel. Si elle renvoie vaguement à "des fournisseurs tiers" sans les nommer, notez-le et demandez la liste par écrit.
La juridiction du fournisseur ensuite. Cherchez le nom du fournisseur d'infrastructure, puis posez-vous une seule question : sa maison mère relève-t-elle d'une juridiction européenne ou américaine ? AWS, Azure et Google Cloud sont américains, même quand la région annoncée est européenne. Scaleway, Outscale et Scalingo sont français. C'est ce critère, et non le drapeau du datacenter, qui détermine l'exposition au Cloud Act.
La distinction stockage et traitement, troisième. Lisez si la page parle de l'endroit où la donnée est calculée, pas seulement de l'endroit où elle dort. Une mention "données stockées dans l'UE" sans un mot sur le traitement mérite une question complémentaire : où la transcription et le résumé sont-ils effectués ?
Le fournisseur du modèle de langage, enfin. Le contenu réel de l'entretien passe par le modèle qui le résume. Savoir s'il s'agit d'un modèle d'un éditeur américain appelé en API, d'un modèle européen ou d'un modèle hébergé en propre change l'analyse de risque. Quand cette information manque, c'est souvent la première à réclamer.
Ce que Hirify a choisi
Le choix de Hirify est sobre et tient en une ligne : l'hébergement repose sur Scalingo, une société française, en datacenter à Paris, et aucune donnée candidat ne sort de France. Le fournisseur cloud relève donc d'une juridiction européenne, ce qui ferme l'exposition au Cloud Act au niveau de l'infrastructure, là où une région européenne sur un fournisseur américain ne la fermait pas. La question du cadre de l'enregistrement lui-même, consentement et durée de conservation, est traitée dans notre guide sur l'enregistrement d'un entretien d'embauche.
Sur la couche produit, Hirify ne s'arrête pas à la transcription, qui est le point d'entrée. Le compte rendu d'entretien structuré, généré depuis des templates personnalisables, vient enrichir la fiche candidat dans votre ATS de façon bidirectionnelle, et la base candidats devient interrogeable en langage naturel ("trouve-moi 5 profils SOC disponibles à Paris"). Aucun scoring en pourcentage n'est produit : tout reste explicable, ce qui est le terrain attendu par les DPO sur l'AI Act, sujet détaillé dans notre guide sur l'AI Act et le recrutement.
Une phrase de transparence pour finir, parce qu'elle vaut pour ce guide comme pour tout comparatif honnête : Hirify édite cet article et figure dans le tableau. Les éléments factuels sur les autres outils viennent de leurs pages publiques, datées du 6 juin 2026, et nous corrigeons toute information devenue inexacte signalée à l'adresse indiquée sous le tableau. Pour le détail de ce que devient la donnée d'entretien une fois structurée, voir aussi pourquoi le vivier dort.
Questions fréquentes
Une donnée hébergée en France est-elle à l'abri du Cloud Act ?
Pas automatiquement. Ce qui détermine l'exposition au Cloud Act, c'est la nationalité du fournisseur cloud, pas la localisation du datacenter. Une donnée stockée à Paris sur l'infrastructure d'un fournisseur américain (AWS, Azure, Google Cloud) reste susceptible d'une demande d'accès des autorités américaines, même en région européenne. Pour fermer cette exposition au niveau de l'infrastructure, il faut un fournisseur de droit européen.
Stockage et traitement des données, est-ce la même chose ?
Non, et la distinction compte pour un entretien de recrutement. Le stockage est l'endroit où la donnée réside au repos, le traitement est l'endroit où elle est calculée, transcrite ou résumée. Un outil peut proposer un stockage en Europe tout en effectuant le traitement aux États-Unis. La documentation de Fireflies décrit ce cas pour son option de stockage UE, réservée au plan Enterprise.
Comment lire la page sécurité d'un éditeur avant de signer ?
Cherchez quatre choses : la liste publique des sous-traitants, la juridiction du fournisseur cloud, la distinction entre stockage et traitement, et le nom du fournisseur du modèle de langage. Si la liste des sous-traitants IA n'est pas publiée, demandez-la par écrit dans le cadre du contrat de sous-traitance avant de vous engager.
Les outils américains sont-ils non conformes au RGPD ?
Ce n'est pas la bonne question, et l'affirmation serait fausse pour la plupart d'entre eux. Plusieurs outils américains revendiquent la conformité RGPD et détiennent des certifications comme SOC 2 ou ISO 27001. Le sujet pour un DPO n'est pas la conformité déclarée mais la juridiction du fournisseur et la transparence sur la chaîne de sous-traitance.
À retenir
- La localisation du datacenter et la juridiction du fournisseur cloud sont deux informations distinctes : une donnée en France sur un fournisseur américain reste exposée au Cloud Act.
- Stockage et traitement se décident séparément : un stockage en Europe peut s'accompagner d'un traitement aux États-Unis, comme le documente Fireflies pour son option Enterprise.
- Otter, Fireflies et BrightHire reposent sur une pile américaine ; tous revendiquent la conformité RGPD et plusieurs détiennent SOC 2 ou ISO 27001.
- Leexi et Seedext sont des acteurs européens crédibles qui hébergent déjà en France ou en UE ; l'écart se joue sur la juridiction des fournisseurs sous-jacents et sur la couche produit.
- Hirify s'appuie sur Scalingo, société française à Paris, sans donnée candidat hors de France, et publie sa logique de sous-traitance dans le même esprit de transparence que ce guide.