
Protection des données pour les agents vocaux – Téléphonie IA conforme au RGPD en 2025
Les agents vocaux IA répondent aux appels, prennent des rendez-vous et qualifient des leads – 24 heures sur 24, sans pause. Mais avant qu'une entreprise mette la technologie en production, une question décisive se pose : l'utilisation est-elle juridiquement sécurisée ? En France et dans l'ensemble de la zone DACH, le droit à la protection des données est interprété de façon particulièrement stricte. Ceux qui font des erreurs ici risquent des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
Ce guide vous donne le cadre complet de protection des données pour les agents vocaux – de l'obligation d'information selon l'Art. 13 RGPD jusqu'au concept de suppression.
Pourquoi les agents vocaux sont particulièrement concernés par le droit à la protection des données
Un agent vocal traite des données vocales en temps réel. Cela seul est déjà délicat en termes de protection des données, car les voix sont des données personnelles au sens de l'Art. 4 Nr. 1 RGPD. Si un enregistrement s'y ajoute, la conversation fugace devient un document stocké de façon permanente. Et dès que les caractéristiques vocales sont utilisées pour identifier une personne – même inconsciemment – vous évoluez dans le domaine des données biométriques selon l'Art. 9 RGPD, la catégorie bénéficiant d'une protection particulière.
De plus : les agents vocaux fonctionnent fréquemment avec des services cloud hors de l'UE. Les données vocales quittent potentiellement l'Espace Économique Européen – un facteur de risque supplémentaire qui nécessite ses propres réglementations.
Obligations d'information selon l'Art. 13 RGPD
Dès que vous collectez des données personnelles – ce qui se produit déjà lors de la prise d'un appel – vous devez informer la personne qui appelle. Chez un collaborateur humain au téléphone, cela est supposé être rempli implicitement. Avec un agent vocal, vous devez vous en assurer activement.
Que doit communiquer l'agent vocal au début de la conversation ?
Selon l'Art. 13 RGPD, les informations suivantes sont requises :
- Nom et coordonnées du responsable du traitement (votre entreprise)
- Coordonnées du délégué à la protection des données (si présent ou légalement obligatoire)
- Finalité et base juridique du traitement (ex. exécution du contrat selon Art. 6 Al. 1 lit. b, intérêt légitime selon lit. f, ou consentement selon lit. a)
- Destinataires ou catégories de destinataires (ex. prestataire CRM, opérateur téléphonique)
- Intention de transfert vers des pays tiers (si des données sont traitées hors de l'EEE)
- Durée de conservation ou critères pour la déterminer
- Droits des personnes concernées (accès, rectification, suppression, limitation, opposition, portabilité)
- Droit de plainte auprès de l'autorité de contrôle
Conseil pratique : de nombreuses entreprises intègrent un court passage au début de chaque appel qui renvoie à la politique de confidentialité complète sur le site web. C'est juridiquement recevable en matière de protection des données, tant que le renvoi est clair et accessible.
Consentement et avis d'enregistrement
La question de savoir si vous pouvez enregistrer des conversations téléphoniques se réfère en France au Code pénal et au cadre RGPD. Sans consentement explicite de tous les participants à la conversation, un enregistrement est fondamentalement irrecevable.
Exigences pour un consentement valide
Un consentement pour l'enregistrement doit être :
- Volontaire – pas de couplage au service si l'enregistrement n'est pas strictement nécessaire
- Éclairé – l'appelant doit savoir ce qui est enregistré et dans quel but
- Univoque – pas de silence, pas de case pré-cochée
- Révocable – l'appelant doit pouvoir arrêter l'enregistrement à tout moment (ex. en appuyant sur une touche)
En pratique, le modèle suivant est recommandé : l'agent vocal informe au début de l'enregistrement et en précise la finalité (ex. contrôle qualité, données d'entraînement). Une confirmation active est ensuite sollicitée : « Si vous êtes d'accord avec l'enregistrement, dites "Oui" ou appuyez sur la touche 1. »
Important : Le consentement lui-même doit être consigné – date, heure, numéro de téléphone et contenu du consentement.
Données biométriques : le facteur de risque sous-estimé
Lorsqu'un agent vocal utilise des caractéristiques vocales pour identifier ou authentifier une personne – par exemple pour reconnaître un client existant – il s'agit de données biométriques selon l'Art. 9 Al. 1 RGPD. Celles-ci bénéficient d'une protection particulière.
Le traitement est fondamentalement interdit, sauf si l'une des exceptions de l'Art. 9 Al. 2 RGPD s'applique. Pertinentes notamment :
- Consentement explicite (Art. 9 Al. 2 lit. a) – exigences élevées, forme écrite recommandée
- Intérêts publics importants (Art. 9 Al. 2 lit. g) – rarement applicable aux PME
Pour la plupart des applications d'entreprise, cela signifie : les agents vocaux ne peuvent pas utiliser la reconnaissance vocale pour identifier des personnes sans obtenir un consentement explicite. Ceux qui misent uniquement sur la commande vocale (reconnaissance d'intent) sans stocker ou attribuer des voix évoluent en dehors du domaine de risque biométrique.
Contrat de traitement des données (DPA)
Tout prestataire externe qui traite des données personnelles pour le compte de votre entreprise est un sous-traitant selon l'Art. 28 RGPD. Cela concerne :
- Le prestataire d'agents vocaux (ex. anicall)
- L'opérateur téléphonique cloud (SIP trunk)
- Le prestataire de reconnaissance vocale (ASR/TTS)
- Le prestataire CRM, si des données sont transmises automatiquement
Avec chacun de ces prestataires, vous devez conclure un contrat de traitement des données (DPA) qui satisfait aux exigences de l'Art. 28 Al. 3 RGPD. Celui-ci doit au minimum régler :
- L'objet et la durée du traitement
- La nature et la finalité du traitement
- La nature des données personnelles et les catégories de personnes concernées
- Les obligations et droits du responsable du traitement
- La nature obligatoire des instructions du sous-traitant
- Les obligations de confidentialité
- Les mesures techniques et organisationnelles (MTO)
- La réglementation concernant les sous-traitants ultérieurs
- Les obligations d'assistance pour les droits des personnes concernées et les violations de données
- La suppression ou le retour après la fin du contrat
- Les droits d'audit
Liste des sous-traitants ultérieurs
Les prestataires d'agents vocaux professionnels fournissent une liste complète de leurs sous-traitants ultérieurs. Vérifiez que cette liste est à jour et que vous êtes informé des modifications. Exigez-le comme obligation contractuelle dans le DPA.
Conservation des données et délais de suppression
Le RGPD interdit de stocker des données plus longtemps que nécessaire (principe de limitation de la conservation, Art. 5 Al. 1 lit. e). Pour les agents vocaux, vous devez créer un concept de suppression comprenant les catégories suivantes :
| Catégorie de données | Durée de conservation recommandée | Base juridique |
|---|---|---|
| Journaux d'appels (métadonnées) | 90 jours | Intérêt légitime |
| Enregistrements pour contrôle qualité | 30 à 60 jours | Consentement |
| Transcriptions avec données clients | Jusqu'à fin du contrat + 3 ans | Exécution du contrat / conservation légale |
| Correspondance de plaintes | 3 ans | Obligation légale de conservation |
| Données pertinentes pour la facturation | 10 ans | Droit fiscal applicable |
Assurez-vous que votre prestataire d'agents vocaux propose des routines de suppression automatisées ou que vous disposez de procédures de suppression manuelles.
Droits des personnes concernées et leur mise en œuvre
Les personnes qui appellent disposent de droits étendus au titre du RGPD :
- Droit d'accès (Art. 15) : Quelles données ont été stockées ?
- Droit de rectification (Art. 16) : Corriger les données erronées
- Droit à l'effacement (Art. 17) : « Être oublié »
- Droit à la limitation (Art. 18) : Limiter le traitement
- Droit d'opposition (Art. 21) : S'opposer au traitement sur la base d'intérêts légitimes
- Portabilité des données (Art. 20) : Obtenir les données dans un format lisible par machine
Vous devez vous assurer que ces droits peuvent être exercés dans un mois (prolongeable à trois mois en cas de complexité). Cela suppose que vous sachiez où toutes les données d'un appelant sont stockées – dans le système d'agents vocaux, dans le CRM, dans le journal d'appels.
Transferts vers des pays tiers
De nombreux services vocaux IA sont traités sur des serveurs aux États-Unis ou dans d'autres pays tiers. Après la fin du Privacy Shield et l'arrêt Schrems II de la CJUE (2020), ces transferts ne sont autorisés que sous des conditions strictes.
Mécanismes autorisés pour les transferts vers des pays tiers :
- Décision d'adéquation de la Commission européenne (ex. pour le Royaume-Uni, le Japon, le Canada)
- Clauses contractuelles types (CCT) selon la décision d'exécution 2021/914
- Règles d'entreprise contraignantes (BCR) – pour les groupes
- Dérogations selon l'Art. 49 RGPD – uniquement dans des cas individuels, pas comme règle permanente
Pour les prestataires américains, le cadre EU-US Data Privacy Framework (DPF) s'applique depuis 2023. Vérifiez si votre prestataire y est certifié. Même si c'est le cas, les CCT doivent être convenues comme garantie supplémentaire.
Exigences sectorielles
Cabinets médicaux et secteur de la santé
Les données de santé bénéficient d'une protection particulière selon l'Art. 9 RGPD. Si un agent vocal recueille des symptômes, prend des diagnostics ou traite des demandes d'ordonnances, il traite des données de santé. De plus :
- Secret professionnel médical – les médecins ne peuvent transmettre les données des patients qu'à des employés soumis à leurs instructions ; un prestataire externe d'agents vocaux doit être intégré contractuellement dans ce cercle
- Consentement selon l'Art. 9 Al. 2 lit. a RGPD est en règle générale requis
- Les exigences de sécurité technique sont plus élevées – le chiffrement de bout en bout est obligatoire
Cabinets d'avocats
Les avocats sont soumis au secret professionnel. Les données des clients ne peuvent en principe pas être transmises à des tiers sans consentement. Un agent vocal qui reçoit les demandes des clients doit donc :
- Fonctionner sur une infrastructure hébergée entièrement dans l'UE
- Concevoir le DPA selon des exigences spécifiques aux avocats
- Ne pas transmettre le contenu des dossiers clients à des systèmes IA tiers utilisés à des fins d'entraînement
Liste de contrôle de conformité RGPD pour les agents vocaux
Utilisez cette liste de contrôle pour l'auto-vérification avant de mettre votre agent vocal en service :
- La politique de confidentialité contient une mention de l'agent vocal et du traitement IA
- L'obligation d'information selon l'Art. 13 RGPD est mise en œuvre au début de la conversation
- L'avis d'enregistrement avec consentement actif est implémenté
- DPA conclu avec tous les sous-traitants
- Liste des sous-traitants ultérieurs documentée et vérifiée
- Transferts vers des pays tiers sécurisés juridiquement (CCT, DPF)
- Concept de suppression créé et mis en œuvre techniquement
- Registre des activités de traitement selon l'Art. 30 RGPD mis à jour
- Analyse d'impact relative à la protection des données (AIPD) selon l'Art. 35 RGPD examinée (obligatoire en cas de traitement biométrique)
- Processus pour les droits des personnes concernées définis (délais, responsabilités)
- Formation des collaborateurs internes sur la gestion des données d'agents vocaux
- Exigences sectorielles (santé, droit) vérifiées et mises en œuvre
Recommandations de documentation
Le principe de responsabilité (Art. 5 Al. 2 RGPD) exige que vous puissiez prouver votre conformité. Tenez prêts les documents suivants :
- Politique de confidentialité avec passages spécifiques aux agents vocaux
- Script d'introduction avec mention de protection des données (avec versionnage et date)
- Journal de consentement pour les enregistrements
- DPA avec chaque prestataire
- Liste des sous-traitants ultérieurs (avec date de la dernière vérification)
- Mesures techniques et organisationnelles (MTO)
- Concept de suppression avec délais concrets
- Registre des activités de traitement selon l'Art. 30 RGPD
- AIPD (si requise)
Conclusion
L'exploitation conforme à la protection des données d'un agent vocal n'est pas un problème insoluble – elle nécessite cependant une préparation soigneuse et le bon choix de prestataire. Quiconque pose ces bases peut utiliser la technologie de façon juridiquement sécurisée tout en renforçant la confiance de ses clients. La protection des données n'est pas un obstacle, c'est un avantage concurrentiel : les clients qui savent que leurs données sont en sécurité téléphonent plus volontiers avec votre système.
Prêt à introduire un agent vocal conforme au RGPD ? Nos experts vous accompagnent de la vérification juridique jusqu'à l'exploitation en production.