Un agent vocal IA français doit-il respecter le RGPD ?

Oui, obligatoirement. Un agent vocal IA traite des données personnelles à chaque interaction : voix (donnée biométrique), identité, numéro de téléphone, motif d'appel. En France, ce traitement est encadré par le RGPD (depuis mai 2018), la loi Informatique et Libertés, le Code des postes et communications électroniques, et depuis 2025, par l'AI Act européen qui impose d'informer que l'interlocuteur est une IA.

Quels sont les risques légaux d'un agent IA en France ?

Les risques incluent des sanctions de la CNIL allant jusqu'à plusieurs millions d'euros pour manquement RGPD, des poursuites pénales (article 226-1 Code pénal : 1 an d'emprisonnement + 45 000 EUR d'amende pour enregistrement sans consentement), et des responsabilités civiles. En 2024, les sanctions CNIL ont atteint un record, et les traitements d'IA sont désormais prioritaires chez le régulateur.

Comment stocker les données d'un agent IA en France ?

Les données doivent être hébergées en UE avec chiffrement en transit (TLS 1.2 minimum) et au repos (AES-256). Pour les enregistrements audio : conservez 6 mois maximum (recommandation CNIL). Pour les transcriptions : 6-12 mois selon finalité. Pour les contacts : 3 ans après dernier contact. Tous les sous-traitants (fournisseurs STT/LLM) doivent signer des DPA et respecter des audits de sécurité réguliers.

Agent IA RGPD-compliant : quelles solutions en 2026 ?

Cherchez des solutions avec : (1) infos claires dès l'accueil que l'interlocuteur est une IA ; (2) recueil actif du consentement pour enregistrement (pas juste une info passive) ; (3) option de transfert vers un humain sans perte de service ; (4) hébergement EU de bout en bout ; (5) AIPD réalisée pré-production ; (6) DPA signés avec tous les fournisseurs. Faites auditer la conformité avant mise en production.

Consentement client pour un agent vocal IA : comment faire ?

Le consentement RGPD doit être libre, spécifique, éclairé et univoque. Dans un contexte vocal : informez clairement de la finalité (ex. enregistrement pour améliorer le service), demandez une action positive ('dites oui' ou 'appuyez sur 1'), et permettez le refus sans perte d'accès au service. Le simple message 'cet appel est susceptible d'être enregistré' suivi du traitement NE constitue PAS un consentement valide selon la CNIL.

Agent vocal IA en France : RGPD, enregistrement des appels, consentement et script légal

Conformité RGPD pour agent vocal IA en France - conditions générales et cadre légal

Déployer un agent vocal IA en France exige une conformité stricte avec le RGPD, le Code des postes et des communications électroniques, et les recommandations de la CNIL.

Vous êtes prêt à déployer un agent vocal IA pour votre entreprise en France ? Avant de passer en production, il y a un sujet qu'aucune démo ne couvre : la conformité juridique. RGPD, enregistrement des appels, obligation d'information, consentement, conservation des données — le cadre réglementaire français est l'un des plus exigeants d'Europe. Cet article vous donne tout ce qu'il faut savoir pour être conforme, avec des scripts légaux prêts à l'emploi.

Pourquoi la conformité est un sujet critique pour les agents vocaux IA

Un agent vocal IA traite des données personnelles à chaque interaction : voix (donnée biométrique potentielle), identité, numéro de téléphone, motif d'appel, et parfois des données sensibles (santé, finances). En France, ce traitement est encadré par :

Le RGPD (Règlement Général sur la Protection des Données) — applicable depuis mai 2018
La loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978, modifiée)
Le Code des postes et des communications électroniques (CPCE) — pour l'enregistrement des appels
Le Code du travail — si les appels impliquent des salariés
Les recommandations de la CNIL — notamment sur l'IA et les systèmes automatisés

Le risque n'est pas théorique : la CNIL a prononcé des sanctions allant jusqu'à plusieurs millions d'euros pour des manquements au RGPD. En 2024, les sanctions CNIL ont atteint un total cumulé record, et les traitements impliquant de l'IA sont désormais dans le viseur du régulateur.

Les 6 obligations RGPD pour un agent vocal IA

Protection des données et sécurité numérique - RGPD agent vocal IA

1. Base légale du traitement (Article 6 RGPD)

Avant de collecter la moindre donnée, vous devez identifier votre base légale. Pour un agent vocal IA, les bases les plus courantes sont :

Intérêt légitime (art. 6.1.f) — pour le traitement d'appels entrants dans le cadre du service client
Exécution d'un contrat (art. 6.1.b) — pour les clients existants dont l'appel concerne leur contrat
Consentement (art. 6.1.a) — obligatoire pour l'enregistrement des conversations et toute finalité marketing

Attention : la voix est considérée comme une donnée biométrique si elle sert à identifier une personne (art. 9 RGPD). Dans ce cas, le consentement explicite est requis et la base "intérêt légitime" ne suffit plus.

2. Obligation d'information (Articles 13 et 14 RGPD)

Le RGPD impose une information claire, complète et accessible au moment de la collecte. Pour un agent vocal, cela signifie que l'appelant doit être informé dès le début de l'appel :

Qu'il interagit avec un système automatisé / intelligence artificielle
De l'identité du responsable du traitement (votre entreprise)
Des finalités du traitement (service client, prise de RDV, etc.)
De l'existence d'un enregistrement le cas échéant
De ses droits (accès, rectification, opposition, effacement)
De la durée de conservation des données

Obligation renforcée par l'AI Act européen

Depuis l'entrée en application progressive du Règlement européen sur l'IA (AI Act), les systèmes d'IA qui interagissent directement avec des personnes physiques doivent informer l'utilisateur qu'il interagit avec une IA (art. 50 AI Act). Cette obligation se cumule avec le RGPD et s'applique à tous les agents vocaux IA déployés dans l'UE.

3. Minimisation des données (Article 5.1.c RGPD)

Votre agent vocal ne doit collecter que les données strictement nécessaires à la finalité déclarée. Concrètement :

Ne demandez pas de numéro de sécurité sociale si c'est pour une prise de RDV
Ne stockez pas l'intégralité de la conversation si seul le résumé est utile
Évitez de collecter la voix brute si une transcription textuelle suffit

4. Durée de conservation limitée (Article 5.1.e RGPD)

Les données doivent être conservées uniquement pendant la durée nécessaire aux finalités. La CNIL recommande :

Type de donnée	Durée recommandée	Base
Enregistrement audio des appels	6 mois max	Recommandation CNIL
Transcriptions textuelles	6 à 12 mois	Selon finalité (formation, QA)
Données de contact (nom, tel)	3 ans après dernier contact	Recommandation CNIL prospects
Logs techniques (métadonnées)	12 mois	Intérêt légitime sécurité
Données pour entraînement IA	Anonymisation obligatoire	RGPD + AI Act

5. Sécurité des données (Article 32 RGPD)

Les données vocales transitent par des serveurs (STT, LLM, TTS). Chaque maillon de la chaîne doit être sécurisé :

Chiffrement en transit (TLS 1.2 minimum) et au repos (AES-256)
Contrôle d'accès strict aux enregistrements et transcriptions
Hébergement en UE (ou garanties adéquates si hors UE — attention aux transferts vers les États-Unis)
Audit de sécurité régulier des sous-traitants (fournisseurs STT/LLM)

6. Analyse d'Impact (AIPD / DPIA) — Article 35 RGPD

Si votre agent vocal traite des données à grande échelle ou utilise de nouvelles technologies (ce qui est le cas de l'IA vocale), une Analyse d'Impact relative à la Protection des Données (AIPD) est probablement obligatoire. La CNIL a publié une liste de traitements pour lesquels l'AIPD est requise, et les systèmes d'IA conversationnelle y figurent dans plusieurs cas de figure.

Enregistrement des appels : le cadre légal en France

Agent de centre d'appel avec casque - enregistrement d'appels conforme RGPD

L'enregistrement des appels téléphoniques en France est soumis à des règles strictes, issues du RGPD, du CPCE et du Code pénal.

Quand peut-on enregistrer ?

L'enregistrement est licite uniquement dans les cas suivants :

Formation des agents — finalité légitime, consentement requis
Preuve de transactions commerciales — base légale : exécution du contrat ou obligation légale (ex. MiFID II pour les services financiers)
Amélioration de la qualité de service — intérêt légitime, mais consentement recommandé par la CNIL
Sécurité — dans des cas très encadrés (centres d'urgence, etc.)

Ce que dit le Code pénal (Article 226-1)

L'enregistrement de paroles prononcées à titre privé ou confidentiel, sans le consentement de la personne, est puni d'un an d'emprisonnement et de 45 000 euros d'amende. Cela s'applique même si l'enregistrement est fait par un système automatisé.

Les 3 règles d'or de l'enregistrement

Information préalable — L'appelant doit être informé AVANT le début de l'enregistrement
Droit d'opposition — L'appelant doit pouvoir refuser l'enregistrement (et l'appel doit quand même être traité)
Accès et suppression — L'appelant peut demander l'accès à son enregistrement ou sa suppression

Agent vocal IA : cas particulier

Avec un agent vocal IA, la question se complique car l'intégralité de la conversation transite par des serveurs pour le traitement Speech-to-Text (STT) et la génération de réponse (LLM). Même si vous ne "stockez" pas l'audio, le simple transit constitue un traitement au sens du RGPD.

Recommandation : distinguez clairement dans votre politique de confidentialité :

Le traitement temps réel (STT + LLM) — nécessaire au fonctionnement du service
L'enregistrement/stockage — optionnel, soumis à consentement

Le consentement : comment le recueillir correctement

Le consentement au sens du RGPD doit être libre, spécifique, éclairé et univoque (art. 4.11 et 7 RGPD). Dans un contexte vocal, voici comment respecter ces critères :

Critère RGPD	Application vocale	Exemple
Libre	Le refus ne doit pas empêcher l'accès au service	"Si vous refusez, vous serez mis en relation avec un conseiller"
Spécifique	Un consentement par finalité (pas de consentement "global")	Consentement séparé pour enregistrement vs. marketing
Éclairé	Information claire sur ce qui est fait avec les données	"Cet appel sera enregistré pour améliorer notre service"
Univoque	Action positive de l'appelant (pas de silence = acceptation)	"Appuyez sur 1 pour accepter" ou "Dites oui pour continuer"

Piège courant : le message "Cet appel est susceptible d'être enregistré" suivi du traitement de l'appel ne constitue PAS un consentement valide. Il n'y a pas d'acte positif de la personne, et le simple fait de rester en ligne ne vaut pas consentement selon la CNIL.

Scripts légaux : modèles prêts à l'emploi

Voici des modèles de scripts conformes que vous pouvez adapter à votre agent vocal IA. Ils intègrent les obligations d'information, de consentement et de transparence sur l'IA.

Script 1 — Accueil standard (sans enregistrement)

"Bonjour et bienvenue chez [Nom de l'entreprise]. Vous êtes en relation avec notre assistant vocal intelligent. Je suis un agent conversationnel basé sur l'intelligence artificielle, conçu pour répondre à vos questions et vous orienter.

Vos données sont traitées conformément à notre politique de confidentialité, consultable sur notre site [URL]. Vous pouvez à tout moment demander à parler à un conseiller humain en disant 'conseiller'.

Comment puis-je vous aider aujourd'hui ?"

Script 2 — Accueil avec enregistrement (consentement requis)

"Bonjour et bienvenue chez [Nom de l'entreprise]. Vous êtes en relation avec notre assistant vocal intelligent, un système basé sur l'intelligence artificielle.

Pour améliorer la qualité de notre service, nous souhaitons enregistrer cette conversation. L'enregistrement sera conservé pendant 6 mois maximum et sera accessible uniquement à notre équipe qualité. Vous pouvez exercer vos droits d'accès, de rectification et de suppression à tout moment en contactant notre DPO à [email].

Pour accepter l'enregistrement, dites 'j'accepte'. Pour refuser, dites 'je refuse' — vous serez tout de même pris en charge.

Que souhaitez-vous faire ?"

Script 3 — Accueil avec collecte de données personnelles

"Bonjour, ici l'assistant intelligent de [Nom de l'entreprise]. Je suis un agent conversationnel basé sur l'IA.

Pour traiter votre demande, j'aurai besoin de quelques informations personnelles — votre nom et votre référence client. Ces données seront utilisées uniquement pour le traitement de votre demande et conservées conformément à notre politique de confidentialité.

Vous pouvez à tout moment demander la suppression de vos données ou le transfert vers un conseiller humain.

Pouvez-vous me communiquer votre nom, s'il vous plaît ?"

Script 4 — Message de fin d'appel (rappel des droits)

"Merci pour votre appel. Pour rappel, vous pouvez exercer vos droits relatifs à vos données personnelles — accès, rectification, opposition, suppression — en nous contactant à [email DPO] ou via la page [URL politique de confidentialité]. Bonne journée !"

Checklist de conformité : les 12 points à vérifier

Avant de mettre votre agent vocal IA en production, vérifiez chaque point :

#	Point de contrôle	Obligation
1	Base légale identifiée et documentée	RGPD Art. 6
2	Information sur la nature IA de l'interlocuteur	AI Act Art. 50
3	Information complète (identité, finalité, durée, droits)	RGPD Art. 13
4	Consentement recueilli pour l'enregistrement	RGPD Art. 6.1.a + Code pénal 226-1
5	Possibilité de refuser l'enregistrement sans perte de service	RGPD Art. 7.4
6	Option de transfert vers un humain	Bonne pratique CNIL + AI Act
7	Minimisation des données collectées	RGPD Art. 5.1.c
8	Durées de conservation définies et appliquées	RGPD Art. 5.1.e
9	Hébergement des données en UE	RGPD Chapitre V
10	Chiffrement en transit et au repos	RGPD Art. 32
11	Contrats sous-traitance (DPA) avec fournisseurs IA	RGPD Art. 28
12	AIPD réalisée si traitement à grande échelle	RGPD Art. 35

Les erreurs les plus fréquentes (et comment les éviter)

Erreur 1 : "Cet appel est susceptible d'être enregistré" sans recueil de consentement

C'est le classique. Ce message informe mais ne recueille pas le consentement. La CNIL considère que rester en ligne ne vaut pas consentement. Solution : ajoutez une action positive ("dites oui" ou "appuyez sur 1").

Erreur 2 : Ne pas mentionner que l'interlocuteur est une IA

Avec l'AI Act, cette omission devient une infraction. Même sans l'AI Act, la CNIL considère que la transparence sur les systèmes automatisés fait partie de l'obligation d'information loyale. Solution : incluez systématiquement l'information dans le script d'accueil.

Erreur 3 : Transférer les données vocales hors UE sans garanties

Si votre fournisseur STT ou LLM héberge ses serveurs aux États-Unis (ce qui est courant), les données transitent hors UE. Depuis l'invalidation du Privacy Shield (arrêt Schrems II), les clauses contractuelles types (CCT) ou le Data Privacy Framework (DPF) sont nécessaires. Solution : vérifiez les certifications DPF de vos fournisseurs ou choisissez des solutions hébergées en UE.

Erreur 4 : Conserver les enregistrements indéfiniment

Sans politique de purge automatique, les enregistrements s'accumulent et créent un risque juridique croissant. Solution : implémentez une suppression automatique selon les durées définies dans votre registre des traitements.

Erreur 5 : Utiliser les données d'appels pour entraîner l'IA sans anonymisation

Réutiliser les transcriptions pour améliorer le modèle IA est tentant, mais constitue un changement de finalité (art. 5.1.b RGPD). Solution : anonymisez les données avant tout réentraînement, ou recueillez un consentement spécifique pour cette finalité.

Le registre des traitements : ce qu'il doit contenir

L'article 30 du RGPD impose la tenue d'un registre des traitements. Pour votre agent vocal IA, voici les informations à documenter :

Nom du traitement : "Gestion des appels entrants par agent vocal IA"
Responsable du traitement : votre entreprise (nom, adresse, DPO)
Finalités : traitement des demandes client, prise de RDV, routage des appels, amélioration du service (si enregistrement)
Catégories de données : voix, identité, numéro de téléphone, motif d'appel, données de transaction le cas échéant
Catégories de personnes : clients, prospects, appelants
Destinataires : équipe service client, prestataire IA (sous-traitant), hébergeur
Transferts hors UE : oui/non, garanties applicables
Durées de conservation : selon le tableau ci-dessus
Mesures de sécurité : chiffrement, contrôle d'accès, logs d'audit

Focus : l'AI Act et ses implications pour les agents vocaux

Le Règlement européen sur l'intelligence artificielle (AI Act) entre en application progressivement entre 2024 et 2027. Pour les agents vocaux IA, les points clés sont :

Obligation de transparence (art. 50) : informer que l'on interagit avec une IA — applicable depuis février 2025
Classification des risques : un agent vocal de service client est généralement classé comme "risque limité", mais peut basculer en "risque élevé" s'il est utilisé dans des domaines sensibles (santé, crédit, recrutement)
Systèmes de reconnaissance des émotions : si votre agent vocal analyse le ton ou les émotions de l'appelant, des obligations supplémentaires s'appliquent (information spécifique + dans certains cas, interdiction)
Documentation technique : les fournisseurs de systèmes d'IA doivent fournir une documentation technique détaillée aux déployeurs

Recommandations pratiques pour un déploiement conforme

Nommez un DPO (ou un référent RGPD) responsable du projet agent vocal
Réalisez une AIPD avant la mise en production
Rédigez vos scripts avec votre service juridique (pas seulement votre équipe tech)
Choisissez des fournisseurs IA hébergés en UE quand c'est possible
Signez des DPA (Data Processing Agreements) avec tous vos sous-traitants
Testez le parcours utilisateur : le consentement est-il bien recueilli ? Le transfert humain fonctionne-t-il ? Les droits sont-ils exerçables ?
Mettez en place une purge automatique des enregistrements selon vos durées de conservation
Formez vos équipes (service client, IT, management) aux obligations RGPD liées à l'IA vocale
Documentez tout : registre des traitements, AIPD, DPA, procédures de droits des personnes
Auditez régulièrement : la conformité n'est pas un état, c'est un processus continu

Besoin d'aide pour déployer un agent vocal IA conforme en France ?

Chez Nerolia, nous concevons des agents vocaux IA conformes dès le design — RGPD, CNIL, AI Act. On vous accompagne de l'AIPD au script légal, jusqu'à la mise en production.

Planifier un échange

Références et ressources

CNIL (2024). Guide pratique : l'intelligence artificielle et les données personnelles. cnil.fr/fr/intelligence-artificielle
Règlement (UE) 2016/679 du Parlement européen et du Conseil — RGPD. eur-lex.europa.eu — RGPD
Règlement (UE) 2024/1689 — Règlement sur l'intelligence artificielle (AI Act). eur-lex.europa.eu — AI Act
CNIL (2023). Enregistrement des conversations téléphoniques sur le lieu de travail. cnil.fr — Enregistrement des appels
Code pénal — Article 226-1. Atteinte à la vie privée par captation de paroles. legifrance.gouv.fr — Art. 226-1
CNIL (2024). Analyse d'impact relative à la protection des données (AIPD). cnil.fr — AIPD
CNIL (2023). Les bases légales du traitement de données personnelles. cnil.fr — Bases légales