Audit & plan d'action · LangReply · Juillet 2026

LangReply — ce que le produit promet vs ce qu'il fait, et le plan pour combler l'écart

Le produit fonctionne et fait beaucoup (paiement en ligne, chiffrement, SMS, messagerie, scoring de risque — tous réels). Le risque n'est pas technique : c'est que le marketing surpromet sur la confidentialité et présente comme « opérationnelles » des fonctions encore dormantes. Ci-dessous, le constat (en rouge d'abord), puis un plan d'améliorations de A à Z.

3
Problèmes critiques
5
Problèmes moyens
15+
Fonctions solides
35
Actions au plan
Partie I

Le constat

Chaque fonction annoncée a été confrontée à la réalité du produit. La grande majorité tient — voici celles qui ne tiennent pas.

Critiques — à régler avant de vendre

3

« Vos numéros restent chez vous » — faux

Légal · privacy
Annoncé
Import contacts : « Empreintes cryptographiques uniquement — vos numéros restent chez vous. »
Réalité
L'application envoie les numéros en clair au serveur ; aucun hachage n'est fait côté navigateur. Le chiffrement n'intervient qu'au moment du stockage. Les numéros quittent donc bien l'appareil.
Risque
Affirmation de confidentialité factuellement inexacte, sur la même page que les promesses RGPD / Loi 25 / CCPA → exposition à une plainte pour publicité trompeuse.
Correction
Reformuler : « Numéros jamais stockés en clair — convertis en empreintes, noms chiffrés. » (Le vrai hachage côté appareil serait un chantier crypto à part.)

« IA auto-hébergée, jamais de tiers, aucun frais par message » — faux en secours

Légal · privacy
Annoncé
« Moteur auto-hébergé », « vos messages ne sont pas envoyés à un service d'IA tiers », « aucun frais d'IA par message ».
Réalité
Par défaut, le moteur maison est bien utilisé. Mais dès qu'une langue n'est pas couverte ou que ce moteur est indisponible, la traduction bascule vers un service d'IA tiers (Claude / Anthropic) — qui facture à l'usage et sort les données du serveur.
Risque
Les formulations absolues deviennent fausses au moindre repli — et le repli touche toute langue rare.
Correction
« Traduction auto-hébergée par défaut, avec repli IA sécurisé pour les langues rares. »

Déploiement fait à la main en production

Ops · stabilité
Constat
Le code est modifié directement sur le serveur de production, avec des dizaines de fichiers de sauvegarde laissés dans l'arborescence. Aucun système de déploiement versionné.
Symptôme
Récemment, l'application a redémarré en boucle des dizaines de fois à cause d'une erreur de chemin de module introduite en direct. Corrigé depuis, mais révélateur du risque.
Risque
Avec des clients payants, chaque modification peut casser la production sans filet.
Correction
Mettre en place un déploiement versionné (git → mise en ligne), un environnement de test, et nettoyer les fichiers résiduels.

Moyens — à corriger / cadrer

5

Transcription & résumés d'appels — construite mais dormante

Fonction non active
Réalité
Le pipeline complet existe et est capable (transcription + résumé + points clés + sentiment). Mais l'intégration d'appels n'est pas connectée, le modèle de transcription n'a jamais été chargé, et aucun appel n'a jamais été traité. Vendue comme opérationnelle, elle n'a jamais tourné en réel.
Correction
Connecter l'intégration + un test complet réel avant de la mettre en avant.

Bouclier anti-toxicité — quasi inexistant

Fonction mince
Réalité
Annoncé comme une fonction à part entière, mais il n'existe pas de module dédié — seulement des bribes dans un autre canal. Beaucoup plus mince que ce que la page laisse croire.

Extension Chrome — introuvable

Fonction absente
Réalité
« Extension Chrome pour traduire n'importe quelle page » — absente du code. Soit ailleurs, soit pas encore faite. À confirmer.

Deux produits dans le même code

Architecture
Réalité
Un même code sert LangReply et un second produit (facturation, comptes, hébergement partagés). Un changement pour l'un peut casser l'autre.

Aucune redondance ni surveillance

Ops · scaling
Réalité
Tout repose sur un seul serveur et un seul processus applicatif, sans alerte en cas de panne ou d'erreur. Acceptable au démarrage, à corriger dès les premiers clients payants.

Ce qui est solide

réel & vérifié
Paiement en ligne LIVE + forfaits (19/49/129 $)
Chiffrement au repos AES-256
Effacement irréversible par message + backups quotidiens
Double authentification (2FA)
Rôles + journal d'audit
Scoring de risque client (module réel)
SMS multilingue avec numéro dédié
Messagerie interne entre utilisateurs
Mémoire de traduction + glossaire
Import de contacts (mécanique fonctionnelle)
Pages légales en 10 langues
Consentement cookies conforme Loi 25
Partie II

Le plan — de A à Z

Tout ce qu'on a trouvé, regroupé par domaine et priorisé. 35 actions.

P0 Bloquant commercialisation P1 Important, court terme P2 Scaling / plus tard
A

Marketing & légal — corriger les promesses

Les affirmations de la page qui débordent du réel. Priorité absolue : elles touchent la confidentialité annoncée aux clients.

B

Séparer les deux produits

Aujourd'hui un même code sert deux produits — couplage qui fait qu'un changement pour l'un peut casser l'autre.

C

Déploiement & hygiène du code

Le vrai risque opérationnel : tout se fait à la main en production, sans filet.

D

Infrastructure, fiabilité & surveillance

Un seul serveur, aucune alerte. À durcir dès les premiers payants.

E

Fonctions à finir / activer

Construites mais dormantes — les rendre réelles ou les retirer de la vitrine.

F

Produit, coûts & commercialisation

Ce qu'il faut valider avant de pousser les ventes.

G

Sécurité — compléments

Les fondations sont bonnes (chiffrement, 2FA, rôles). Ce qui reste à sécuriser.

35 actions · 7 P0 avant de vendre sérieusement · le reste en P1/P2. Séquence conseillée : A (claims) + C-11/13 (déploiement versionné) + G-32 (sauvegarde des clés) d'abord — vite faits, gros impact — puis B (séparation) et D (surveillance). · Audit réalisé par W Boîte Média.