Les 3 catégories de données à protéger
1. Données biométriques vocales
La voix humaine est considérée comme une donnée biométrique par le RGPD (Article 9). Son traitement nécessite un consentement explicite, distinct du consentement général de l'appel, et ne peut se faire que pour des finalités précises.
2. Contenu conversationnel (PII)
Tout ce qui est dit pendant l'appel est du contenu personnel : identité, adresse, IBAN, santé, situation financière. La transcription doit être chiffrée, l'accès restreint, et la durée de conservation minimale.
3. Métadonnées
Horodatage, durée, provenance, comportement (hésitations, pauses), patterns. Ces données sont aussi régulées, bien que souvent oubliées.
Checklist RGPD : ce que votre prestataire doit cocher
Consentement
- ☐ Consentement vocal explicite en début d'appel, avec phrase standardisée
- ☐ Enregistrement du consentement séparé du reste de la conversation
- ☐ Droit de retrait immédiat pendant l'appel sur simple demande
- ☐ Information sur la nature IA de l'interlocuteur (transparence algorithmique, cf. AI Act européen)
Hébergement et localisation
- ☐ Serveurs exclusivement en Union Européenne
- ☐ Pas de sous-traitance hors UE sans clauses contractuelles types (CCT)
- ☐ Adresse physique des datacenters documentée dans le contrat
- ☐ Clauses anti-CLOUD Act si le prestataire a une société-mère US
Chiffrement
- ☐ Chiffrement en transit : TLS 1.3 minimum
- ☐ Chiffrement au repos : AES-256
- ☐ Chiffrement des sauvegardes
- ☐ Rotation des clés : procédure documentée
Rétention et suppression
- ☐ Durée de rétention définie selon la finalité (généralement 3 à 24 mois)
- ☐ Suppression automatique au terme de la durée
- ☐ Droit à l'oubli accessible en self-service ou sur demande sous 72h
- ☐ Portabilité des données en format machine-readable
Gouvernance
- ☐ DPO désigné chez le prestataire, contactable directement
- ☐ Registre des traitements tenu à jour et auditable
- ☐ Analyse d'impact (AIPD) réalisée et partagée
- ☐ Procédure de notification de violation en moins de 72h
L'AI Act européen : ce qui change en 2025-2026
Le règlement européen sur l'IA (AI Act), entré en vigueur en 2024, ajoute des obligations spécifiques aux agents vocaux IA :
- Transparence obligatoire : l'interlocuteur doit être informé qu'il parle à une IA
- Documentation technique : les systèmes "à haut risque" (santé, finance, RH) doivent fournir une documentation détaillée
- Surveillance humaine : les décisions automatiques impactant les droits doivent permettre une intervention humaine
- Tests de robustesse : les systèmes doivent être testés contre les biais et erreurs
Le non-respect de l'AI Act peut entraîner des amendes jusqu'à 35 millions d'euros ou 7% du CA mondial, soit plus que le RGPD.
Cas particuliers par secteur
Santé
Les agents vocaux IA traitant des données de santé relèvent de l'Article 9 RGPD et doivent être hébergés sur des infrastructures certifiées HDS (Hébergement de Données de Santé) en France.
Finance et banque
Les appels bancaires nécessitent une journalisation complète pour traçabilité réglementaire (MIF II, DSP2). L'IA doit permettre un export complet sur demande de l'autorité de contrôle.
Recouvrement
Le recouvrement est particulièrement sensible car il manipule des données financières de personnes en difficulté. Le consentement vocal doit être doublé d'une notification écrite (email ou courrier). Voir notre approche recouvrement.
Comment Vocalis AI assure la conformité
Vocalis AI est conçu dès l'origine pour être conforme RGPD et AI Act :
- Hébergement exclusif en Europe (France, Allemagne, Pays-Bas)
- Chiffrement AES-256 au repos, TLS 1.3 en transit
- Consentement vocal enregistré et horodaté séparément
- DPO dédié, contactable 24/7 pour les demandes d'exercice de droits
- AIPD standard fournie sur demande
- Déclaration CNIL type mise à disposition
- Audit annuel par cabinet externe
Besoin d'un agent vocal IA conforme RGPD pour votre entreprise ? Réserver un audit gratuit et nous vous remettons notre documentation de conformité lors du rendez-vous.