Guide
RGPD & appels : enregistrement, transcription, rétention — vos obligations
7 min de lecture
Dès qu'un appel est enregistré et transcrit, vous traitez des données personnelles — et le RGPD s'applique. Rien d'insurmontable, mais quelques principes à respecter. Ce guide fait le tour de l'essentiel. Il ne remplace pas un conseil juridique adapté à votre situation.
Qui est responsable de quoi ?
Quand vous utilisez un standard téléphonique pour vos appels, vous êtes le responsable de traitement : ce sont vos clients, vos finalités. Le prestataire du standard agit comme sous-traitant : il traite les données sur vos instructions, encadré par un accord de sous-traitance (DPA). Cette répartition doit être claire dès le départ.
Informer les appelants
La transparence est la première obligation. L'appelant doit savoir qu'il parle à un système automatisé et, le cas échéant, que l'appel est enregistré et transcrit. Un message d'accueil explicite suffit généralement, complété par une mention dans votre politique de confidentialité.
Sur quelle base légale ?
Selon le contexte, le traitement peut reposer sur :
- l'exécution d'un contrat ou de mesures précontractuelles (traiter une demande de rendez-vous ou de devis) ;
- l'intérêt légitime (assurer un suivi de vos appels professionnels), à mettre en balance avec les droits des personnes ;
- le consentement, notamment si vous allez au-delà du strict nécessaire.
Le principe de minimisation s'applique : ne collectez que ce qui est utile pour rappeler et traiter la demande.
Combien de temps conserver ?
Il n'existe pas de durée unique : elle doit être proportionnée à la finalité. Un enregistrement audio n'a pas besoin d'être gardé aussi longtemps qu'un compte-rendu utile au suivi client. Une bonne pratique consiste à conserver l'audio peu de temps (le temps de vérifier la transcription) puis à le purger, en gardant éventuellement le résumé plus longtemps. Un bon outil vous laisse paramétrer ces durées et purge automatiquement le reste.
Les droits des personnes
Vos appelants disposent des droits d'accès, de rectification, d'effacement, d'opposition, etc. Vous devez pouvoir y répondre. Concrètement, cela suppose de retrouver et, si besoin, de supprimer les données liées à une personne. Votre prestataire doit vous en donner les moyens techniques.
Transferts hors UE
Certaines briques techniques (téléphonie, IA) peuvent impliquer des prestataires hors Union européenne. Ces transferts doivent être encadrés — clauses contractuelles types, cadre de transfert reconnu, mesures de sécurité. Vérifiez que votre prestataire documente ce point ; le DPA doit lister les sous-traitants et leurs garanties.
En résumé
Informer, minimiser, encadrer par un DPA, paramétrer des durées de conservation raisonnables et pouvoir répondre aux demandes des personnes : voilà le socle. Un standard conçu pour le marché français intègre ces exigences par défaut, ce qui vous évite d'avoir à tout construire vous-même.
Prêt à ne plus jamais rater un appel ?
On cadre votre besoin, on met en place votre standard IA et on vous accompagne. Réponse rapide, sans engagement.