Jamais partagées
Les empreintes vocales et faciales sont stockées chiffrées et ne quittent jamais nos serveurs vers des tiers.
Sécurité & confidentialité
Données biométriques (voix et visage)
Comment les données de mot d'activation et de reconnaissance faciale sont stockées et protégées.
Twoody utilise votre voix pour reconnaître les mots d'activation (« Twoody », « ChatGPT », « Claude », « Gemini ») et, optionnellement, votre visage pour identifier qui parle à la maison. Ces données sont considérées comme spécialement sensibles sous le RGPD et traitées uniquement sur la base de votre consentement explicite. La reconnaissance du mot d'activation tourne sur l'appareil lui-même — votre voix n'est pas streamée vers nous chaque fois que vous parlez.
Intégrité vérifiée
L'appareil Twoody chez vous vérifie l'intégrité (hash SHA-256) de chaque fichier biométrique téléchargé avant de l'utiliser, pour détecter toute altération en transit.
Révocation libre
Vous pouvez supprimer à tout moment une empreinte vocale ou faciale depuis l'application, et ajouter ou retirer des membres de votre foyer.
Reconnaissance locale
La reconnaissance du mot d'activation tourne entièrement sur votre enceinte Twoody (Dynamic Time Warping contre les échantillons de référence que vous avez enrôlés). Nous ne streamons jamais l'audio brut du mot d'activation nulle part. L'audio ne quitte l'appareil que quand vous lui demandez réellement quelque chose — et uniquement la fenêtre pertinente, pas le silence autour.
Consentement explicite
L'enrôlement d'une voix ou d'un visage est conditionné par une case à cocher de consentement dans l'app, avec une explication en langage clair de l'usage. Vous pouvez retirer votre consentement à tout moment depuis l'écran Membres — par actif et par membre.
Limitation de finalité
Les données de voix et de visage servent strictement à la reconnaissance du mot d'activation et du locuteur à l'intérieur de votre propre foyer. Nous ne les utilisons pas pour entraîner des modèles génériques. Nous ne les utilisons pas pour de l'analytique trans-foyer. Elles ne sortent pas de la portée du foyer dans lequel elles ont été enrôlées.
Protections pour mineurs
Un membre du foyer marqué comme mineur peut être enrôlé par un parent pour la reconnaissance vocale, mais aucun compte utilisateur n'est créé pour cet enfant. Ses empreintes héritent des mêmes règles de rétention que le parent qui les a enrôlées.
Chiffrées au repos
Les profils vocaux et empreintes faciales sont stockés dans des colonnes chiffrées ActiveRecord avec une clé distincte de la clé primaire. Un dump de base des tables biométriques est illisible sans accès aux clés de chiffrement — qui ne vivent jamais au même endroit que la base.
Plongée technique
Local vs cloud
La reconnaissance du mot d'activation (Dynamic Time Warping contre les échantillons de référence) tourne entièrement sur votre enceinte Twoody. Nous ne streamons jamais l'audio brut du mot d'activation nulle part. Quand vous choisissez d'enregistrer un nouvel échantillon de mot d'activation depuis l'app, le WAV est uploadé une fois, stocké chiffré, et miroité vers l'appareil — qui l'utilise ensuite hors ligne.
Le même modèle s'applique aux empreintes faciales : l'empreinte est calculée localement à partir de l'image que vous avez uploadée, et l'image elle-même peut être supprimée ensuite. La seule copie de vos données biométriques qui soit toujours lisible est celle sur votre appareil — nous gardons un backup chiffré pour que mettre en place une seconde enceinte Twoody ne demande pas de ré-enrôler.
Base légale et consentement
Les données biométriques sont traitées exclusivement sur la base de votre consentement explicite (RGPD art. 9.2.a). Vous donnez ce consentement la première fois que vous enrôlez un membre — un dialogue en langage clair décrit l'usage, le lieu de stockage et la durée.
Vous pouvez retirer votre consentement à tout moment. L'écran Membres a des boutons de suppression par actif (un mot d'activation, un profil vocal, une empreinte faciale) et un bouton de suppression par membre. Au retrait, les empreintes sont immédiatement effacées de la base, les blobs ActiveStorage correspondants sont mis en file de suppression, et la prochaine synchronisation de l'appareil retire les fichiers localement.
Intégrité en transit
L'appareil récupère les actifs biométriques en HTTPS et, pour chaque actif, compare le SHA-256 du fichier au hash reçu dans le payload JSON. Un fichier altéré ou MITM est rejeté et non utilisé. Cela défend contre un scénario futur où un attaquant réseau arriverait à intercepter le trafic malgré TLS (via une AC compromise) — le check d'intégrité tient toujours.
En déploiement professionnel, le cert pinning peut être activé sur l'appareil pour qu'il n'accepte que les certificats émis par les racines de Let's Encrypt. Une AC rogue sur le trust store du firmware serait quand même incapable de servir un certificat man-in-the-middle pour twoody.com.
La garantie la plus forte qu'on peut donner sur la biométrie : rien de vous ne quitte votre maison pour le matching. Le cloud est un backup, pas un chemin chaud. Si nos serveurs disparaissaient une heure, votre Twoody vous reconnaîtrait toujours et répondrait toujours à votre voix.