Mettre une IA au téléphone soulève une vraie question juridique : on enregistre une voix, on transcrit un échange, on stocke un nom, un numéro, parfois une adresse. Tout ça relève du RGPD (Règlement Général sur la Protection des Données) et de la doctrine de la CNIL. Mal géré, c'est une amende qui peut atteindre 4% du chiffre d'affaires annuel.

Cet article fait le tour des obligations concrètes : ce qu'il faut dire à l'appelant, où héberger les données, combien de temps les garder, comment gérer une demande de suppression. Pas de jargon juridique inutile, juste ce qu'un pro doit savoir pour rester en règle quand il met en place un callbot ou un standard IA.

Quelles obligations RGPD pour une IA vocale ?

Une IA vocale qui décroche les appels doit respecter quatre obligations RGPD majeures : informer l'appelant dès le début de la conversation que l'appel est traité par une IA et enregistré, collecter seulement les données nécessaires (principe de minimisation), héberger les données dans l'UE avec un sous-traitant conforme, et permettre à tout moment la suppression sur demande de la personne. Sanctions en cas de manquement : jusqu'à 20 millions d'euros ou 4% du CA annuel mondial.

Les données traitées par une IA vocale

Quand une IA décroche un appel téléphonique, elle manipule plusieurs catégories de données personnelles :

  • L'enregistrement audio de la conversation (la voix est une donnée biométrique potentielle si utilisée pour identifier la personne)
  • La transcription textuelle de ce qui a été dit (équivalent texte de l'audio)
  • L'identité déclarée : nom, prénom (souvent collectés en début d'appel)
  • Les coordonnées : numéro de téléphone (déjà connu via l'appel entrant), email, adresse postale si demandée
  • Le motif de l'appel : nature de la demande, niveau d'urgence, contexte personnel parfois sensible (santé, famille, finances)
  • Métadonnées : date, heure, durée, numéro appelant, géolocalisation approximative liée à l'opérateur

Toutes ces données entrent dans le périmètre du RGPD. Le responsable de traitement, c'est le professionnel qui utilise l'IA (vous), pas le fournisseur du callbot (qui est sous-traitant au sens de l'article 28).

Obligation 1 : informer l'appelant dès le décroché

L'article 13 du RGPD impose d'informer la personne de plusieurs éléments dès que ses données sont collectées : qui collecte, pourquoi, sur quelle base légale, combien de temps, qui y aura accès, comment exercer ses droits. Pour un appel téléphonique, la recommandation CNIL 2022 sur les voicebots précise les attendus.

En pratique, le message de bienvenue doit comporter, dès les premières secondes :

  1. L'indication que l'appel est traité par une IA et non un humain (« Vous êtes en relation avec l'assistant vocal de [nom du pro] »)
  2. L'information que l'appel est enregistré et transcrit
  3. La finalité (« pour qualifier votre demande et organiser un rappel »)
  4. La possibilité de demander un humain ou de raccrocher (option implicite)

Ces mentions peuvent être brèves (10-15 secondes max) pour ne pas alourdir l'appel. L'information détaillée (durée, droits) renvoie à une politique de confidentialité accessible sur le site web du pro.

Obligation 2 : minimisation des données

Le RGPD interdit de collecter plus que nécessaire. Concrètement pour une IA vocale :

  • Ne demandez pas la date de naissance si elle n'est pas indispensable
  • Ne stockez pas l'enregistrement audio si la transcription suffit
  • Ne conservez pas les conversations terminées une fois le RDV pris et le résumé envoyé
  • Ne demandez pas de numéro de sécurité sociale, de RIB ou d'informations médicales détaillées par téléphone (basculer vers un échange sécurisé écrit ou en présentiel)

La CNIL a sanctionné plusieurs sociétés en 2023 et 2024 pour avoir collecté des données « par défaut » au-delà du strict besoin opérationnel.

Obligation 3 : hébergement et transferts

Les données collectées doivent être hébergées dans l'Union Européenne, ou dans un pays adéquat reconnu par la Commission européenne. Le transfert vers les États-Unis est devenu juridiquement risqué depuis l'arrêt Schrems II (2020) et reste sous contrainte malgré le Data Privacy Framework de 2023.

Pour une IA vocale, plusieurs composants doivent être européens :

  • L'hébergement principal (serveurs web, base de données)
  • Le service de transcription vocale (STT)
  • Le LLM si possible (Mistral européen vs OpenAI/Anthropic américains)
  • Le service de synthèse vocale (TTS)
  • L'envoi des emails et SMS de notification

Accueil IA est hébergé 100% en France (serveurs OVHcloud et hébergement maison à Lyon), avec STT et TTS en local sur serveur dédié. Le LLM peut être configuré sur Anthropic Claude (USA, soumis au DPF) ou sur Mistral (FR/UE) selon les exigences du client. C'est documenté dans le DPA (Data Processing Agreement) signé entre Accueil IA et chaque pro client.

Obligation 4 : durée de conservation

Le RGPD impose une durée limitée et proportionnée. La CNIL recommande pour les enregistrements téléphoniques :

Type de donnéeDurée recommandée
Enregistrement audio brut1 à 6 mois maximum (souvent 1 mois)
Transcription textuelle6 mois à 1 an si utilité métier
Résumé structuré + RDV pris3 ans (durée commerciale standard)
Logs techniques (date, durée)1 an pour traçabilité technique

Au-delà de ces durées, les données doivent être supprimées automatiquement ou anonymisées (suppression des éléments identifiants). Une purge automatique programmée est la bonne pratique. Accueil IA purge automatiquement les enregistrements audio après 30 jours et anonymise les transcriptions après 1 an, sauf demande explicite du pro pour conservation plus longue (avec justification documentée).

Obligation 5 : droits des personnes

Tout appelant peut exercer plusieurs droits sur les données qui le concernent :

  • Droit d'accès : obtenir une copie des données stockées le concernant
  • Droit de rectification : corriger une donnée erronée
  • Droit à l'effacement : suppression (sauf obligation légale de conservation)
  • Droit à la portabilité : récupérer ses données dans un format réutilisable
  • Droit d'opposition : refuser certains traitements

Le pro client doit avoir un processus pour répondre à ces demandes dans le délai d'un mois. Une adresse mail dédiée (dpo@... ou rgpd@...) est la norme. L'outil callbot doit fournir une fonction d'export et de suppression rapide.

Sanctions et jurisprudence récente

Cas réels 2024-2025 : la CNIL a infligé en 2024 une amende de 80 000 € à un cabinet médical pour absence d'information sur l'enregistrement des appels téléphoniques, et 250 000 € à une plateforme de relation client pour hébergement hors UE sans garanties suffisantes. Le risque n'est pas théorique.

Au-delà de la CNIL, un appelant peut aussi saisir la justice civile en cas de préjudice (atteinte à la vie privée). Les actions de groupe RGPD se multiplient depuis 2023.

Comment Accueil IA gère le RGPD

  • Message d'information dans le greeting (« assistant vocal », « appel enregistré »)
  • Hébergement 100% France (serveurs OVH + serveur dédié à Lyon)
  • Purge audio à 30 jours, anonymisation transcription à 1 an
  • DPA fourni à chaque client pro (responsable / sous-traitant)
  • Export et suppression par le pro depuis son dashboard, en 1 clic
  • Logs d'accès auditable, conformité ISO 27001 visée 2026

Pour aller plus loin : la fiche CNIL voicebots, comment fonctionne techniquement un callbot, le clonage vocal et ses implications légales.

Pour entendre le greeting Accueil IA et vérifier qu'il intègre bien la mention RGPD, appelez le 09 72 10 55 19. Et pour tester, créez un compte gratuit.