Données d’appels et RGPD : le cadre officiel pour les pros

Avant de parler d’enregistrement, il faut nommer ce dont on parle. Un appel entrant qui demande un rendez-vous, un devis ou un renseignement transporte presque toujours des données personnelles : un nom, un numéro, parfois une adresse, un motif de visite. Dès lors, tout traitement de ces informations entre dans le champ du RGPD, que l’appel soit géré par un humain, par un standard automatique ou par un prestataire externe.

Cela ne signifie pas que tout est interdit, loin de là. Cela signifie qu’il faut une finalité claire (prendre un rendez-vous, qualifier une demande, établir un contrat), une base légale, une information de la personne, et une durée de conservation limitée. Ces quatre principes structurent tout ce qui suit. Ils s’appliquent indépendamment de la technologie utilisée : la responsabilité reste celle du professionnel, pas seulement de son outil.

C’est le point le plus souvent négligé. Quand un appel est enregistré ou traité, la personne doit en être informée. La CNIL distingue deux niveaux : une mention orale en début d’appel, et une information légale complète, plus détaillée, accessible par ailleurs. La mention orale signale que l’appel peut être enregistré et dans quel but ; l’information complète précise notamment qui est responsable, pourquoi, combien de temps et quels sont les droits de la personne.

Cette obligation existe quel que soit le secteur d’activité, et ce n’est pas une formalité de confort : c’est une condition de licéité du traitement. Un enregistrement réalisé sans que l’appelant en ait été averti est, par construction, un traitement irrégulier. La bonne pratique consiste donc à annoncer, dès la première phrase, une information claire et compréhensible, doublée d’une information accessible — sur votre site, dans un document remis, ou par tout autre canal durable.

L’idée qu’on pourrait tout enregistrer, en continu, par sécurité, est fausse. La CNIL est explicite : l’enregistrement permanent ou systématique des appels est interdit. Enregistrer doit répondre à un besoin précis et proportionné — par exemple conserver la preuve d’un engagement pris par téléphone — et non constituer une surveillance générale et indifférenciée.

Concrètement, un dispositif doit pouvoir justifier pourquoi tel appel est enregistré et conservé, et non se contenter de tout archiver « au cas où ». La logique du RGPD est celle de la nécessité : on traite ce qui est utile à une finalité légitime, pas davantage. Un système bien conçu enregistre ou conserve de façon ciblée, pas par défaut sur l’intégralité du flux.

Sur la durée, la CNIL fixe un repère clair pour les enregistrements d’appels : une conservation de six mois au maximum, sauf obligation légale spécifique imposant de conserver plus longtemps. Au-delà, l’enregistrement doit être supprimé.

Cette limite n’est pas un chiffre arbitraire : elle découle d’un principe plus général du RGPD, la limitation de la conservation. L’article 5(1)(e) du règlement, accessible sur EUR-Lex, pose que les données ne sont pas conservées plus longtemps que nécessaire au regard des finalités. Six mois est donc un plafond, pas un objectif : si vos besoins sont remplis en quelques semaines, vous devez purger plus tôt. La bonne question n’est jamais « jusqu’à quand puis-je garder ? » mais « de combien de temps ai-je réellement besoin ? ».

Tout traitement a besoin d’une base légale. La CNIL reconnaît un cas particulièrement utile au téléphone : lorsqu’un contrat se forme par appel, l’enregistrement destiné à en établir la preuve peut reposer sur l’exécution du contrat, prévue à l’article 6.1.b du RGPD. C’est une base solide, à condition de rester dans son périmètre — prouver le contrat, pas profiler l’appelant à d’autres fins.

Vient ensuite le lieu où vivent ces données. Le RGPD encadre strictement les transferts hors de l’Union européenne. Choisir un hébergement et un traitement situés dans l’UE simplifie nettement la conformité : on évite les mécanismes complexes de transfert international et on garde les données sous un régime juridique homogène. Demander où sont stockés et traités les enregistrements est l’une des questions les plus efficaces à poser à un prestataire.

Enfin, si c’est une IA qui décroche, une obligation nouvelle s’ajoute. Le règlement européen sur l’IA (UE 2024/1689) prévoit à son article 50(1) qu’un système d’IA interagissant avec une personne doit l’informer qu’elle parle à une IA, sauf si c’est évident. Son application générale est fixée au 2 août 2026 (article 113), et les sanctions ne sont pas anecdotiques : jusqu’à 15 M€ ou 3 % du chiffre d’affaires mondial, réduits à 7,5 M€ ou 1 % pour les PME et startups. Pour un professionnel, la conclusion est simple : un agent vocal doit s’annoncer comme tel, en plus de l’information RGPD sur l’enregistrement.

Tinos est un agent vocal qui décroche le téléphone des professionnels et prend les rendez-vous, et la conformité fait partie de sa conception, pas d’une option. L’agent s’annonce comme une IA dès la première phrase, l’information de l’appelant est traitée en début d’appel, les données sont hébergées dans l’Union européenne, et les durées de conservation suivent les repères rappelés ici plutôt qu’une logique d’archivage indéfini. L’objectif est simple : vous permettre de ne plus manquer d’appels sans transiger sur le cadre que la CNIL, le RGPD et le règlement européen sur l’IA imposent à tous.

• CNIL — L’écoute et l’enregistrement des appels sur le lieu de travail
• CNIL — Enregistrement des conversations pour prouver un contrat
• CNIL — Les durées de conservation des données
• RGPD — Article 5 (limitation de la conservation), EUR-Lex
• EU AI Act — Article 50 (information de l’utilisateur)
• EU AI Act — Article 113 (entrée en application)
• EU AI Act — Article 99 (sanctions)