diff --git a/ai/Dockerfile b/ai/Dockerfile
index 57c4638..f9ded5b 100644
--- a/ai/Dockerfile
+++ b/ai/Dockerfile
@@ -19,12 +19,8 @@ COPY --chmod=0755 --from=uv_source /uv /usr/local/bin/
 
 WORKDIR /opt/hermes
 
-# ---------- Hermes venv ----------
-USER hermes
-
 # ---------- Piper TTS dans le venv existant ----------
-# Le venv existe déjà dans l'image de base (hermes-agent installé).
-# On ajoute simplement Piper et ses dépendences.
+# Le venv de l'image de base est root-owned, on doit installer en root aussi
 RUN . /opt/hermes/.venv/bin/activate && \
     uv pip install --no-cache-dir piper-tts sounddevice numpy
 
@@ -45,6 +41,9 @@ COPY patch_tts_tool.py /tmp/patch_tts_tool.py
 RUN /opt/hermes/.venv/bin/python3 /tmp/patch_tts_tool.py && rm /tmp/patch_tts_tool.py
 
 # ---------- Runtime ----------
+# Retour à l'utilisateur non-root pour la sécurité
+USER hermes
+
 ENV HERMES_HOME=/opt/data
 ENV PATH="/opt/data/.local/bin:${PATH}"