RGPD et assistants téléphoniques IA : ce que les entreprises doivent savoir

Guide pratique de la conformité RGPD lors de l'utilisation d'assistants téléphoniques IA. Couvre la collecte de données, la base légale, le stockage, les droits des appelants et ce qu'il faut rechercher chez un fournisseur.

RGPD et assistants téléphoniques IA : ce que les entreprises doivent savoir Guides
David Schemm David Schemm

Si vous êtes chef d’entreprise et que vous envisagez d’utiliser un assistant téléphonique IA, la protection des données figure probablement parmi vos préoccupations. Et c’est légitime. L’Europe dispose de l’un des cadres réglementaires les plus stricts au monde en matière de protection des données personnelles, et une erreur peut se traduire par des amendes, des plaintes auprès de la CNIL (ou de son équivalent national), voire tout simplement la perte de confiance de clients qui s’attendent à ce que leurs données soient traitées correctement.

Mais voici le point important : la conformité RGPD avec un assistant téléphonique IA n’est pas aussi compliquée qu’on pourrait le croire. Vous n’avez pas besoin d’un diplôme en droit. Vous devez comprendre quelles données sont collectées, pourquoi cette collecte est légale, combien de temps elles sont conservées et quels droits ont vos appelants. Ce guide couvre ces quatre points.

Avertissement : Cet article fournit des informations générales sur le RGPD en rapport avec les assistants téléphoniques IA. Il ne constitue pas un conseil juridique. Pour des questions de conformité spécifiques, consultez un avocat spécialisé en protection des données ou le délégué à la protection des données de votre entreprise.

Quelles données un assistant téléphonique IA collecte-t-il ?

Quand quelqu’un appelle votre entreprise et qu’un assistant IA répond, plusieurs types de données sont traités :

1. Le numéro de téléphone de l’appelant. Le numéro est transmis automatiquement via l’identification de l’appelant. Il s’agit d’une donnée personnelle au sens du RGPD, car un numéro de téléphone permet d’identifier une personne, directement ou en combinaison avec d’autres informations.

2. L’enregistrement vocal de la conversation. L’IA doit traiter la parole en temps réel pour comprendre ce que dit l’appelant et répondre. La plupart des assistants téléphoniques IA stockent également l’enregistrement, au moins temporairement, pour générer une transcription et un résumé.

3. La transcription de la conversation. Les paroles sont converties en texte. Cette transcription contient souvent des données personnelles : le nom de l’appelant, le motif de son appel, les demandes de rendez-vous, les coordonnées qu’il partage volontairement.

4. Les métadonnées de l’appel. Date et heure de l’appel, durée, si l’appel a abouti ou a été interrompu. Ces données sont moins sensibles mais relèvent tout de même du RGPD.

5. Les données dérivées. L’IA génère un résumé, extrait des points d’action et peut catégoriser l’appel (nouveau prospect, client existant, réclamation). Ces résultats dérivés constituent également un traitement de données personnelles, car ils sont basés sur les informations de l’appelant.

C’est comparable à ce qui se passe quand un réceptionniste humain répond : il entend l’appelant, prend des notes et transmet un message. La différence est qu’avec l’IA, le traitement est automatisé, ce qui déclenche des considérations supplémentaires au regard du RGPD (notamment l’article 22 sur la prise de décision automatisée, bien que la plupart des assistants téléphoniques IA ne soient pas concernés car ils ne prennent pas de décisions produisant des effets juridiques).

Base légale : pourquoi ce traitement est autorisé

En vertu du RGPD, vous avez besoin d’une base légale pour traiter des données personnelles. Pour les assistants téléphoniques IA, deux bases sont les plus pertinentes :

Intérêt légitime (Article 6(1)(f))

C’est la base légale la plus courante pour les appels téléphoniques professionnels. Votre intérêt légitime est : faire fonctionner votre entreprise, servir vos clients et ne pas manquer d’appels importants. Répondre au téléphone et enregistrer le contenu des demandes commerciales est une activité normale et prévisible dans le cadre d’une activité commerciale.

Pour que l’intérêt légitime s’applique, vous devez satisfaire un test de proportionnalité : votre intérêt à traiter les données doit l’emporter sur les intérêts de l’appelant en matière de vie privée. Dans le contexte d’un appel professionnel, cet équilibre penche généralement en faveur de l’entreprise, car :

  • L’appelant a initié l’appel volontairement.
  • L’appelant s’attend à ce que son message soit reçu et traité.
  • Les données collectées se limitent à ce qui est nécessaire pour traiter la demande.
  • L’appelant peut raisonnablement s’attendre à ce qu’une entreprise utilise des technologies pour gérer ses appels.

Vous devez documenter ce test de proportionnalité (un document d’une page suffit) et le conserver dans vos dossiers.

Consentement (Article 6(1)(a))

Certaines entreprises choisissent d’informer les appelants en début d’appel qu’un assistant IA répond et que la conversation sera enregistrée. Si l’appelant poursuit la conversation après avoir entendu cet avertissement, cela peut constituer un consentement implicite, bien que la solidité juridique du consentement implicite par rapport à un accord explicite fasse débat.

Une approche plus sûre : combiner une brève mention en début d’appel (« Cet appel est pris en charge par un assistant IA et peut être enregistré à des fins de qualité et de service ») avec l’intérêt légitime comme base légale principale. Vous disposez ainsi de la transparence (que le RGPD exige quelle que soit la base légale) en plus d’un fondement juridique solide.

Important : Si vous enregistrez des appels, sachez que l’enregistrement d’un appel téléphonique sans aucune forme d’avertissement peut constituer une infraction pénale dans plusieurs pays européens, notamment en France (article 226-1 du Code pénal). La mention en début d’appel répond à la fois aux exigences de transparence du RGPD et à ces dispositions pénales.

Stockage des données : où, combien de temps et comment

Trois questions sont essentielles ici :

Où les données sont-elles stockées ?

Le RGPD exige que les données personnelles soient stockées au sein de l’UE/EEE, dans un pays offrant un niveau de protection adéquat, ou avec des garanties appropriées (comme les clauses contractuelles types) en cas de transfert hors de l’UE.

Pour les entreprises européennes, l’option la plus simple et la plus sûre est un fournisseur qui stocke les données sur des serveurs situés dans l’UE. Cela évite toute la complexité des transferts internationaux de données.

Si votre fournisseur d’assistant téléphonique IA stocke les données sur des serveurs américains, vous devez vérifier que des mécanismes de transfert appropriés sont en place. Depuis l’entrée en vigueur du cadre de protection des données UE-États-Unis en juillet 2023, les transferts vers des entreprises américaines certifiées sont autorisés, mais ce cadre pourrait être contesté (comme ses prédécesseurs l’ont été). Les autorités européennes de protection des données ont historiquement été sceptiques quant aux transferts de données vers les États-Unis.

Combien de temps les données doivent-elles être conservées ?

Le principe de limitation de la conservation du RGPD (Article 5(1)(e)) stipule que vous ne devez conserver les données personnelles que le temps nécessaire à la finalité pour laquelle elles ont été collectées.

Pour les enregistrements et transcriptions d’appels, une durée de conservation raisonnable est :

  • Résumés et transcriptions d’appels : 6 à 12 mois, en fonction de votre besoin professionnel (délai de suivi des prospects, périodes de garantie pour les appels de service, etc.)
  • Enregistrements audio bruts : Plus court, souvent 30 à 90 jours. Une fois la transcription et le résumé générés, l’enregistrement audio a rempli sa fonction.
  • Métadonnées d’appels : Peuvent être conservées plus longtemps à des fins d’analyse, car elles sont moins sensibles sur le plan de la vie privée.

Documentez vos durées de conservation dans vos registres de traitement des données et configurez votre assistant téléphonique IA pour supprimer automatiquement les données à l’issue de ces périodes.

Comment les données sont-elles protégées ?

Au minimum, votre fournisseur doit proposer :

  • Le chiffrement en transit (TLS) et au repos (AES-256 ou équivalent)
  • Des contrôles d’accès (seul le personnel autorisé peut accéder aux données d’appels)
  • Des audits de sécurité réguliers ou des certifications (ISO 27001, SOC 2)
  • Un processus documenté de réponse aux incidents

Droits des appelants

En vertu du RGPD, les appelants dont vous traitez les données disposent de droits spécifiques. Vous devez être prêt à les gérer :

Droit d’accès (Article 15) : Un appelant peut demander à savoir quelles données vous détenez le concernant. Vous devez répondre dans un délai d’un mois.

Droit à l’effacement (Article 17) : Un appelant peut vous demander de supprimer ses données. S’il n’existe pas d’obligation légale prioritaire de les conserver (comme les exigences fiscales), vous devez vous conformer à cette demande.

Droit de rectification (Article 16) : Si la transcription contient des erreurs (un nom mal orthographié, un numéro de téléphone erroné), l’appelant peut demander une correction.

Droit d’opposition (Article 21) : Si vous traitez les données sur la base de l’intérêt légitime, les appelants peuvent s’opposer au traitement. Vous devez alors démontrer des motifs légitimes impérieux, ou cesser le traitement.

Droit à l’information (Articles 13/14) : Les appelants doivent être informés de l’identité du responsable du traitement, de la finalité du traitement et de la durée de conservation. En pratique, cela peut être géré par une mention d’information sur votre site web et la brève annonce en début d’appel.

En pratique, les demandes d’exercice de ces droits sont rares pour les appels téléphoniques. Mais vous devez avoir un processus en place : une adresse e-mail où les appelants peuvent soumettre leurs demandes, et un workflow pour les traiter dans le délai de 30 jours.

Ce qu’il faut rechercher chez un fournisseur

Tous les fournisseurs d’assistants téléphoniques IA ne se valent pas en matière de protection des données. Voici votre liste de vérification :

Accord de traitement des données (DPA). En vertu de l’article 28 du RGPD, vous avez besoin d’un accord écrit avec tout fournisseur qui traite des données personnelles pour votre compte. C’est non négociable. Le DPA doit préciser quelles données sont traitées, combien de temps elles sont conservées, quelles mesures de sécurité sont en place et ce qu’il advient des données en cas de résiliation du service.

Localisation des serveurs. Allemagne > UE > pays avec décision d’adéquation > reste du monde. Chaque étape supplémentaire ajoute de la complexité et du risque.

Sous-traitants. Votre fournisseur utilise probablement des sous-traitants (hébergeurs cloud, API de reconnaissance vocale, etc.). Demandez la liste. Vérifiez où ces sous-traitants stockent les données. Un assistant IA basé en Europe qui envoie l’audio de vos appels vers une API de reconnaissance vocale américaine n’est peut-être pas aussi conforme au RGPD qu’il y paraît.

Suppression des données. Pouvez-vous supprimer les données d’appels vous-même ? Y a-t-il une suppression automatique après une durée de conservation configurable ? Qu’advient-il des sauvegardes ?

Transparence. Le fournisseur explique-t-il clairement quelles données il collecte, comment il les utilise et s’il utilise vos données pour entraîner ses modèles d’IA ? Certains fournisseurs utilisent les données d’appels clients pour améliorer leur IA. Il s’agit d’une finalité de traitement distincte qui nécessite sa propre base légale.

Certifications. ISO 27001, SOC 2 ou des certifications de sécurité équivalentes indiquent que le fournisseur prend la sécurité des données au sérieux. Elles ne sont pas exigées par le RGPD, mais elles offrent une assurance.

Pour un comparatif plus large des fournisseurs d’assistants téléphoniques IA et de leurs fonctionnalités, consultez notre page de comparaison.

Comment Safina gère le RGPD

Puisque nous sommes sur le blog de Safina, soyons transparents sur notre approche :

  • Made in Germany. Safina est développé par une entreprise allemande, soumise au droit allemand de la protection des données.
  • Serveurs en Allemagne. Toutes les données sont stockées sur des serveurs en Allemagne. Aucun transfert transatlantique pour le traitement des appels.
  • DPA disponible. Nous fournissons un accord de traitement des données à tous nos clients professionnels, comme l’exige l’article 28 du RGPD.
  • Conservation configurable. Vous contrôlez la durée de conservation des données d’appels et pouvez supprimer des appels individuels ou toutes les données à tout moment.
  • Annonce d’appel. Safina peut être configuré pour informer les appelants qu’ils parlent avec un assistant IA, répondant ainsi aux exigences de transparence du RGPD et du droit des télécommunications.
  • Chiffrement. Toutes les données sont chiffrées en transit et au repos.
  • Pas d’entraînement sur vos données. Vos données d’appels ne sont pas utilisées pour entraîner nos modèles d’IA.

Ce ne sont pas de simples fonctionnalités. Ce sont les exigences minimales pour exploiter un service IA conforme au RGPD en Europe. Si votre fournisseur ne peut pas cocher chacun de ces points, c’est un signal d’alerte.

Étapes pratiques pour votre entreprise

Voici ce que vous devez faire avant d’activer un assistant téléphonique IA :

  1. Obtenez le DPA. Signez un accord de traitement des données avec votre fournisseur avant la mise en service. Sans exception.
  2. Mettez à jour votre politique de confidentialité. Ajoutez une section sur le traitement des appels par IA à la politique de confidentialité de votre site web. Mentionnez la finalité, la base légale, la durée de conservation et les droits des appelants.
  3. Activez l’annonce d’appel. Configurez votre assistant IA pour informer les appelants en début d’appel. Un simple « Cet appel est pris en charge par un assistant IA et peut être enregistré » suffit.
  4. Définissez les durées de conservation. Configurez la suppression automatique pour les enregistrements (30 à 90 jours) et les transcriptions/résumés (6 à 12 mois).
  5. Documentez votre analyse d’intérêt légitime. Rédigez un bref document expliquant pourquoi vous utilisez un assistant téléphonique IA, quelles données il collecte et pourquoi votre intérêt professionnel l’emporte sur l’impact sur la vie privée.
  6. Créez un processus pour les demandes d’exercice de droits. Désignez une adresse e-mail (comme privacy@votreentreprise.com) où les appelants peuvent demander l’accès, la rectification ou la suppression de leurs données.

Aucune de ces étapes ne prend plus d’une heure. Et une fois terminées, vous opérez dans les règles.

En résumé

La conformité RGPD n’est pas une raison d’éviter les assistants téléphoniques IA. C’est une raison de choisir le bon. Un fournisseur basé en Europe, avec des serveurs européens, un DPA en bonne et due forme et des pratiques transparentes en matière de données vous offre le même niveau de conformité que n’importe quel autre sous-traitant avec lequel vous travaillez déjà (votre fournisseur de messagerie, votre CRM, votre stockage cloud).

Les entreprises qui ont des problèmes avec le RGPD ne sont généralement pas celles qui ont soigneusement réfléchi à leurs pratiques en matière de données. Ce sont celles qui n’y ont pas réfléchi du tout.

Si vous souhaitez découvrir comment Safina fonctionne pour votre entreprise, consultez nos solutions de réponse automatique aux appels ou voyez comment nous nous comparons aux autres fournisseurs. Et si vous avez des questions spécifiques sur la protection des données, notre page intégrations détaille comment Safina se connecte à vos outils existants tout en maintenant la conformité RGPD.

9:41

Safina a traité 51 appels cette semaine

46

Fiable

4

Suspect

1

Dangereux

7 derniers jours
Filter
EB
Emma Martin 67s 15:30

Souhaite discuter de l'offre pour la nouvelle campagne et a des questions sur le calendrier.

LS
Laura Dupont 54s 14:45

Demande le statut de la commande et la date de livraison.

TH
Thomas Petit 34s 13:10

Planifier une réunion pour la discussion projet la semaine prochaine.

Inconnu 44s 11:30

Promesse de gain – probablement du spam.

SM
Sophie Moreau 10s 09:15

Réclamation sur la dernière commande, demande un rappel.

MM
Michel Mercier 95s 13 déc.

Souhaite discuter d'une collaboration potentielle.

AR
Amélie Robert 85s 13 déc.

C'est votre collègue et elle souhaite discuter du projet.

JK
Julien Keller 42s 12 déc.

Se renseigne sur les créneaux disponibles la semaine prochaine.

LB
Louise Bernard 68s 12 déc.

A des questions sur la facture et demande des éclaircissements.

Appels
Safina
Contacts
Profil
9:41
Appel d'Emma Martin
12 déc.
11:30
67s

Souhaite discuter de l'offre pour la nouvelle campagne et a des questions sur le calendrier.

Points clés

  • Rappeler Emma Martin
  • Clarifier les questions de calendrier et de tarifs
Rappeler
Modifier le contact

Aperçus IA

Humeur de l'appelant Très bon

L'appelant était coopératif et a fourni les informations nécessaires.

Urgence Faible

L'appelant peut attendre une réponse.

Audio et transcription

0:16

Bonjour, ici Safina AI, l'assistante digitale de Peter. Comment puis-je vous aider ?

Bonjour Safina, ici Emma Martin. Je voulais discuter de l'offre et du calendrier.

Merci Emma. Hésitez-vous surtout entre le forfait Standard et le forfait Pro pour le lancement ?

Exactement. Nous avons besoin du forfait Pro et nous aimerions démarrer le mois prochain si l'onboarding est possible la première semaine.

Dites adieu à votre messagerie vocale dépassée.

Essayez Safina gratuitement et commencez à gérer vos appels intelligemment.

Commencer l'essai gratuit