Retour au blog
Protection des données pour les agents vocaux – Téléphonie IA conforme au RGPD en 2025
Protection des donnéesRGPDAgent vocal30 octobre 202511 min

Protection des données pour les agents vocaux – Téléphonie IA conforme au RGPD en 2025

Les agents vocaux IA répondent aux appels, prennent des rendez-vous et qualifient des leads – 24 heures sur 24, sans pause. Mais avant qu'une entreprise mette la technologie en production, une question décisive se pose : l'utilisation est-elle juridiquement sécurisée ? En France et dans l'ensemble de la zone DACH, le droit à la protection des données est interprété de façon particulièrement stricte. Ceux qui font des erreurs ici risquent des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Ce guide vous donne le cadre complet de protection des données pour les agents vocaux – de l'obligation d'information selon l'Art. 13 RGPD jusqu'au concept de suppression.


Pourquoi les agents vocaux sont particulièrement concernés par le droit à la protection des données

Un agent vocal traite des données vocales en temps réel. Cela seul est déjà délicat en termes de protection des données, car les voix sont des données personnelles au sens de l'Art. 4 Nr. 1 RGPD. Si un enregistrement s'y ajoute, la conversation fugace devient un document stocké de façon permanente. Et dès que les caractéristiques vocales sont utilisées pour identifier une personne – même inconsciemment – vous évoluez dans le domaine des données biométriques selon l'Art. 9 RGPD, la catégorie bénéficiant d'une protection particulière.

De plus : les agents vocaux fonctionnent fréquemment avec des services cloud hors de l'UE. Les données vocales quittent potentiellement l'Espace Économique Européen – un facteur de risque supplémentaire qui nécessite ses propres réglementations.


Obligations d'information selon l'Art. 13 RGPD

Dès que vous collectez des données personnelles – ce qui se produit déjà lors de la prise d'un appel – vous devez informer la personne qui appelle. Chez un collaborateur humain au téléphone, cela est supposé être rempli implicitement. Avec un agent vocal, vous devez vous en assurer activement.

Que doit communiquer l'agent vocal au début de la conversation ?

Selon l'Art. 13 RGPD, les informations suivantes sont requises :

  • Nom et coordonnées du responsable du traitement (votre entreprise)
  • Coordonnées du délégué à la protection des données (si présent ou légalement obligatoire)
  • Finalité et base juridique du traitement (ex. exécution du contrat selon Art. 6 Al. 1 lit. b, intérêt légitime selon lit. f, ou consentement selon lit. a)
  • Destinataires ou catégories de destinataires (ex. prestataire CRM, opérateur téléphonique)
  • Intention de transfert vers des pays tiers (si des données sont traitées hors de l'EEE)
  • Durée de conservation ou critères pour la déterminer
  • Droits des personnes concernées (accès, rectification, suppression, limitation, opposition, portabilité)
  • Droit de plainte auprès de l'autorité de contrôle

Conseil pratique : de nombreuses entreprises intègrent un court passage au début de chaque appel qui renvoie à la politique de confidentialité complète sur le site web. C'est juridiquement recevable en matière de protection des données, tant que le renvoi est clair et accessible.


Consentement et avis d'enregistrement

La question de savoir si vous pouvez enregistrer des conversations téléphoniques se réfère en France au Code pénal et au cadre RGPD. Sans consentement explicite de tous les participants à la conversation, un enregistrement est fondamentalement irrecevable.

Exigences pour un consentement valide

Un consentement pour l'enregistrement doit être :

  1. Volontaire – pas de couplage au service si l'enregistrement n'est pas strictement nécessaire
  2. Éclairé – l'appelant doit savoir ce qui est enregistré et dans quel but
  3. Univoque – pas de silence, pas de case pré-cochée
  4. Révocable – l'appelant doit pouvoir arrêter l'enregistrement à tout moment (ex. en appuyant sur une touche)

En pratique, le modèle suivant est recommandé : l'agent vocal informe au début de l'enregistrement et en précise la finalité (ex. contrôle qualité, données d'entraînement). Une confirmation active est ensuite sollicitée : « Si vous êtes d'accord avec l'enregistrement, dites "Oui" ou appuyez sur la touche 1. »

Important : Le consentement lui-même doit être consigné – date, heure, numéro de téléphone et contenu du consentement.


Données biométriques : le facteur de risque sous-estimé

Lorsqu'un agent vocal utilise des caractéristiques vocales pour identifier ou authentifier une personne – par exemple pour reconnaître un client existant – il s'agit de données biométriques selon l'Art. 9 Al. 1 RGPD. Celles-ci bénéficient d'une protection particulière.

Le traitement est fondamentalement interdit, sauf si l'une des exceptions de l'Art. 9 Al. 2 RGPD s'applique. Pertinentes notamment :

  • Consentement explicite (Art. 9 Al. 2 lit. a) – exigences élevées, forme écrite recommandée
  • Intérêts publics importants (Art. 9 Al. 2 lit. g) – rarement applicable aux PME

Pour la plupart des applications d'entreprise, cela signifie : les agents vocaux ne peuvent pas utiliser la reconnaissance vocale pour identifier des personnes sans obtenir un consentement explicite. Ceux qui misent uniquement sur la commande vocale (reconnaissance d'intent) sans stocker ou attribuer des voix évoluent en dehors du domaine de risque biométrique.


Contrat de traitement des données (DPA)

Tout prestataire externe qui traite des données personnelles pour le compte de votre entreprise est un sous-traitant selon l'Art. 28 RGPD. Cela concerne :

  • Le prestataire d'agents vocaux (ex. anicall)
  • L'opérateur téléphonique cloud (SIP trunk)
  • Le prestataire de reconnaissance vocale (ASR/TTS)
  • Le prestataire CRM, si des données sont transmises automatiquement

Avec chacun de ces prestataires, vous devez conclure un contrat de traitement des données (DPA) qui satisfait aux exigences de l'Art. 28 Al. 3 RGPD. Celui-ci doit au minimum régler :

  • L'objet et la durée du traitement
  • La nature et la finalité du traitement
  • La nature des données personnelles et les catégories de personnes concernées
  • Les obligations et droits du responsable du traitement
  • La nature obligatoire des instructions du sous-traitant
  • Les obligations de confidentialité
  • Les mesures techniques et organisationnelles (MTO)
  • La réglementation concernant les sous-traitants ultérieurs
  • Les obligations d'assistance pour les droits des personnes concernées et les violations de données
  • La suppression ou le retour après la fin du contrat
  • Les droits d'audit

Liste des sous-traitants ultérieurs

Les prestataires d'agents vocaux professionnels fournissent une liste complète de leurs sous-traitants ultérieurs. Vérifiez que cette liste est à jour et que vous êtes informé des modifications. Exigez-le comme obligation contractuelle dans le DPA.


Conservation des données et délais de suppression

Le RGPD interdit de stocker des données plus longtemps que nécessaire (principe de limitation de la conservation, Art. 5 Al. 1 lit. e). Pour les agents vocaux, vous devez créer un concept de suppression comprenant les catégories suivantes :

Catégorie de donnéesDurée de conservation recommandéeBase juridique
Journaux d'appels (métadonnées)90 joursIntérêt légitime
Enregistrements pour contrôle qualité30 à 60 joursConsentement
Transcriptions avec données clientsJusqu'à fin du contrat + 3 ansExécution du contrat / conservation légale
Correspondance de plaintes3 ansObligation légale de conservation
Données pertinentes pour la facturation10 ansDroit fiscal applicable

Assurez-vous que votre prestataire d'agents vocaux propose des routines de suppression automatisées ou que vous disposez de procédures de suppression manuelles.


Droits des personnes concernées et leur mise en œuvre

Les personnes qui appellent disposent de droits étendus au titre du RGPD :

  • Droit d'accès (Art. 15) : Quelles données ont été stockées ?
  • Droit de rectification (Art. 16) : Corriger les données erronées
  • Droit à l'effacement (Art. 17) : « Être oublié »
  • Droit à la limitation (Art. 18) : Limiter le traitement
  • Droit d'opposition (Art. 21) : S'opposer au traitement sur la base d'intérêts légitimes
  • Portabilité des données (Art. 20) : Obtenir les données dans un format lisible par machine

Vous devez vous assurer que ces droits peuvent être exercés dans un mois (prolongeable à trois mois en cas de complexité). Cela suppose que vous sachiez où toutes les données d'un appelant sont stockées – dans le système d'agents vocaux, dans le CRM, dans le journal d'appels.


Transferts vers des pays tiers

De nombreux services vocaux IA sont traités sur des serveurs aux États-Unis ou dans d'autres pays tiers. Après la fin du Privacy Shield et l'arrêt Schrems II de la CJUE (2020), ces transferts ne sont autorisés que sous des conditions strictes.

Mécanismes autorisés pour les transferts vers des pays tiers :

  1. Décision d'adéquation de la Commission européenne (ex. pour le Royaume-Uni, le Japon, le Canada)
  2. Clauses contractuelles types (CCT) selon la décision d'exécution 2021/914
  3. Règles d'entreprise contraignantes (BCR) – pour les groupes
  4. Dérogations selon l'Art. 49 RGPD – uniquement dans des cas individuels, pas comme règle permanente

Pour les prestataires américains, le cadre EU-US Data Privacy Framework (DPF) s'applique depuis 2023. Vérifiez si votre prestataire y est certifié. Même si c'est le cas, les CCT doivent être convenues comme garantie supplémentaire.


Exigences sectorielles

Cabinets médicaux et secteur de la santé

Les données de santé bénéficient d'une protection particulière selon l'Art. 9 RGPD. Si un agent vocal recueille des symptômes, prend des diagnostics ou traite des demandes d'ordonnances, il traite des données de santé. De plus :

  • Secret professionnel médical – les médecins ne peuvent transmettre les données des patients qu'à des employés soumis à leurs instructions ; un prestataire externe d'agents vocaux doit être intégré contractuellement dans ce cercle
  • Consentement selon l'Art. 9 Al. 2 lit. a RGPD est en règle générale requis
  • Les exigences de sécurité technique sont plus élevées – le chiffrement de bout en bout est obligatoire

Cabinets d'avocats

Les avocats sont soumis au secret professionnel. Les données des clients ne peuvent en principe pas être transmises à des tiers sans consentement. Un agent vocal qui reçoit les demandes des clients doit donc :

  • Fonctionner sur une infrastructure hébergée entièrement dans l'UE
  • Concevoir le DPA selon des exigences spécifiques aux avocats
  • Ne pas transmettre le contenu des dossiers clients à des systèmes IA tiers utilisés à des fins d'entraînement

Liste de contrôle de conformité RGPD pour les agents vocaux

Utilisez cette liste de contrôle pour l'auto-vérification avant de mettre votre agent vocal en service :

  • La politique de confidentialité contient une mention de l'agent vocal et du traitement IA
  • L'obligation d'information selon l'Art. 13 RGPD est mise en œuvre au début de la conversation
  • L'avis d'enregistrement avec consentement actif est implémenté
  • DPA conclu avec tous les sous-traitants
  • Liste des sous-traitants ultérieurs documentée et vérifiée
  • Transferts vers des pays tiers sécurisés juridiquement (CCT, DPF)
  • Concept de suppression créé et mis en œuvre techniquement
  • Registre des activités de traitement selon l'Art. 30 RGPD mis à jour
  • Analyse d'impact relative à la protection des données (AIPD) selon l'Art. 35 RGPD examinée (obligatoire en cas de traitement biométrique)
  • Processus pour les droits des personnes concernées définis (délais, responsabilités)
  • Formation des collaborateurs internes sur la gestion des données d'agents vocaux
  • Exigences sectorielles (santé, droit) vérifiées et mises en œuvre

Recommandations de documentation

Le principe de responsabilité (Art. 5 Al. 2 RGPD) exige que vous puissiez prouver votre conformité. Tenez prêts les documents suivants :

  • Politique de confidentialité avec passages spécifiques aux agents vocaux
  • Script d'introduction avec mention de protection des données (avec versionnage et date)
  • Journal de consentement pour les enregistrements
  • DPA avec chaque prestataire
  • Liste des sous-traitants ultérieurs (avec date de la dernière vérification)
  • Mesures techniques et organisationnelles (MTO)
  • Concept de suppression avec délais concrets
  • Registre des activités de traitement selon l'Art. 30 RGPD
  • AIPD (si requise)

Conclusion

L'exploitation conforme à la protection des données d'un agent vocal n'est pas un problème insoluble – elle nécessite cependant une préparation soigneuse et le bon choix de prestataire. Quiconque pose ces bases peut utiliser la technologie de façon juridiquement sécurisée tout en renforçant la confiance de ses clients. La protection des données n'est pas un obstacle, c'est un avantage concurrentiel : les clients qui savent que leurs données sont en sécurité téléphonent plus volontiers avec votre système.

Prêt à introduire un agent vocal conforme au RGPD ? Nos experts vous accompagnent de la vérification juridique jusqu'à l'exploitation en production.

Réservez votre consultation gratuite