Le déploiement d'un agent vocal IA en entreprise soulève deux catégories de questions réglementaires distinctes mais complémentaires. D'un côté, le RGPD (Règlement général sur la protection des données), applicable depuis mai 2018 et pleinement consolidé dans les pratiques des DPO français. De l'autre, l'AI Act européen (Règlement UE 2024/1689), entré en vigueur le 1er août 2024 et dont les dispositions s'appliquent de manière progressive jusqu'en 2027, avec des obligations cruciales déjà actives en 2026 pour les systèmes IA à haut risque.
Un agent vocal IA qui collecte, traite et enregistre des conversations téléphoniques est doublement concerné. Il traite des données personnelles au sens du RGPD (voix, identité, contenu des échanges). Il est potentiellement classé comme système IA à risque limité ou élevé selon l'AI Act en fonction de son contexte de déploiement. Méconnaître l'un ou l'autre de ces textes expose l'entreprise à des sanctions significatives et à un risque réputationnel réel.
Ce guide n'est pas un avis juridique : il présente les obligations structurantes, les points de vigilance identifiés sur les déploiements Vocalis en 2025-2026, et une checklist opérationnelle à valider avec votre DPO et vos conseils juridiques. Pour aller plus loin, consultez également nos articles sur le RGPD et l'agent vocal en entreprise et sur la conformité IA vocale RGPD.
Agent vocal IA et RGPD : les obligations de base
Le RGPD s'applique dès lors qu'un système traite des données à caractère personnel de résidents européens. Un agent vocal IA traite des données personnelles par construction : la voix est une donnée biométrique potentiellement identifiante (article 9 RGPD), le contenu des échanges peut révéler des informations sensibles (santé, situation financière, opinions), et les métadonnées (heure d'appel, numéro appelant, durée) constituent des données personnelles à part entière.
La base légale du traitement
Avant de déployer un agent vocal IA, l'entreprise doit identifier sa base légale pour chaque type de traitement. Trois bases légales sont généralement invoquées en contexte d'agent vocal :
- L'exécution du contrat (article 6.1.b) : traiter un appel SAV est nécessaire à l'exécution du contrat de vente ou de service. C'est la base légale naturelle pour les flux transactionnels (suivi commande, retour, réclamation).
- L'intérêt légitime (article 6.1.f) : utilisable pour des finalités comme l'amélioration de la qualité de service, à condition de passer le test de mise en balance. Attention : cette base est souvent contestée par les autorités de contrôle pour des traitements intrusifs.
- Le consentement (article 6.1.a) : obligatoire pour les traitements non nécessaires à l'exécution du service, notamment les appels sortants de prospection ou de relance commerciale non contractuelle. Le consentement doit être libre, spécifique, éclairé et univoque.
Le registre des activités de traitement
Chaque traitement réalisé par l'agent vocal IA doit être documenté dans le registre des activités de traitement (article 30 RGPD). L'entrée au registre doit préciser : la finalité du traitement, les catégories de données traitées, les destinataires des données, la durée de conservation, et les mesures de sécurité. Pour un agent vocal, cela signifie au minimum trois entrées distinctes : enregistrement des appels, transcription et analyse, et données de session (logs, métadonnées).
La désignation d'un sous-traitant
Le fournisseur de l'agent vocal IA est un sous-traitant au sens du RGPD. Un contrat de sous-traitance (DPA — Data Processing Agreement) est obligatoire, conformément à l'article 28. Ce contrat doit couvrir : la description des traitements, les instructions de l'entreprise (responsable de traitement), les obligations de sécurité, les conditions de transfert hors UE, les conditions de suppression ou restitution des données, et les modalités d'audit.
L'AI Act européen : ce qui change pour les agents vocaux IA
Le Règlement européen sur l'intelligence artificielle (AI Act, Règlement UE 2024/1689) introduit un cadre réglementaire spécifique aux systèmes IA, en complément du RGPD. Son approche est fondée sur le risque : plus le risque potentiel d'un système IA est élevé, plus les obligations sont strictes.
L'AI Act distingue quatre niveaux de risque : risque inacceptable (systèmes interdits), risque élevé (obligations lourdes), risque limité (obligations de transparence), et risque minimal (aucune obligation spécifique). La majorité des agents vocaux IA déployés en service client se situent dans la catégorie risque limité, avec quelques exceptions importantes selon le secteur et les fonctionnalités.
Calendrier d'application
L'AI Act entre en application progressivement :
- Février 2025 : Interdiction des systèmes IA à risque inacceptable (article 5) — notation sociale, manipulation subliminale, exploitation de vulnérabilités, reconnaissance biométrique en temps réel dans l'espace public sauf exceptions.
- Août 2025 : Application des dispositions sur les modèles IA à usage général (GPAI), dont l'obligation de documentation technique et de copyright.
- Août 2026 : Application complète pour les systèmes IA à risque élevé des annexes III et I. Date critique pour de nombreux déploiements sectoriels (RH, crédit, santé).
- Août 2027 : Application pour les systèmes IA à risque élevé embarqués dans produits couverts par d'autres réglementations de sécurité.
En 2026, les entreprises qui déploient des agents vocaux IA classés à risque élevé doivent déjà avoir complété leur mise en conformité pour l'échéance d'août 2026. Ce n'est plus un sujet "à venir".
Classification de risque de votre agent vocal sous l'AI Act
Déterminer la classification de risque de votre agent vocal IA est l'étape fondamentale. Elle conditionne l'ensemble des obligations applicables. Le tableau ci-dessous résume les cas de figure les plus fréquents rencontrés dans les déploiements Vocalis.
| Contexte de déploiement | Classification AI Act probable | Obligations principales |
|---|---|---|
| SAV e-commerce, suivi commande, retours | Risque limité | Transparence, information de l'appelant |
| Prise de rendez-vous, qualification de leads | Risque limité | Transparence, information de l'appelant |
| Relance commerciale sortante (opt-in) | Risque limité | Transparence + consentement RGPD |
| Recouvrement de créances / rappels de paiement | Risque limité à élevé selon scoring | Si scoring : risque élevé (Annexe III) |
| Décisions affectant l'accès au crédit ou à l'assurance | Risque élevé (Annexe III) | Conformité complète AI Act + audit externe |
| Secteur santé : prise de RDV médical avec triage symptômes | Risque élevé (Annexe III) | Conformité complète + certification notifiée possible |
| RH : tri de candidatures, entretiens automatisés | Risque élevé (Annexe III) | Conformité complète AI Act |
| Détection de fraude vocale biométrique | Risque élevé ou inacceptable selon usage | Avis juridique obligatoire |
La majorité des agents vocaux IA en service client standard (SAV, prise de RDV, information produit) relèvent du risque limité. Les obligations sont moins lourdes mais non négligeables : essentiellement des obligations de transparence envers l'utilisateur final. En revanche, dès qu'un agent vocal est impliqué dans une décision automatisée affectant les droits d'une personne (refus de crédit, hausse de prime d'assurance, rejet de candidature), la classification bascule en risque élevé avec des obligations substantielles.
Consentement, transparence et information de l'appelant
L'obligation la plus immédiatement concrète pour un déploiement d'agent vocal IA est l'obligation de transparence envers l'appelant. Elle découle simultanément du RGPD (article 13 — information lors de la collecte) et de l'AI Act (article 50 — obligations de transparence pour les systèmes IA en interaction avec des humains).
Ce que doit entendre l'appelant
Dès le début de l'appel, l'appelant doit être informé :
- Qu'il est en communication avec un système automatisé (et non un humain) — obligation AI Act article 50.1
- De l'identité de l'entreprise responsable du traitement — obligation RGPD article 13
- De la finalité du traitement de ses données vocales
- De l'éventuel enregistrement de l'appel et de sa durée de conservation
- De son droit à parler à un humain (possibilité de transfert) — bonne pratique fortement recommandée
Cette information peut être délivrée en moins de 20 secondes dans le message d'accueil. Elle ne doit pas être noyée dans un long message légal récité à toute vitesse. La CNIL recommande une formulation claire et compréhensible par tout public.
Consentement pour les appels sortants de prospection
Pour les appels sortants de prospection ou de relance commerciale non contractuelle, l'opt-in préalable est obligatoire. Il doit être :
- Spécifique : "J'accepte d'être contacté par téléphone pour des offres commerciales" — pas un opt-in générique couvrant tous les canaux
- Documenté : date, heure, source de collecte du consentement conservées et auditables
- Révocable : le client doit pouvoir se désabonner facilement (liste d'opposition interne + liste Bloctel)
Pour les appels sortants contractuels (confirmation de livraison, rappel de rendez-vous, notification de retour reçu), la base légale de l'exécution du contrat suffit, sans consentement supplémentaire. Voir également notre analyse sur la conformité IA vocale RGPD pour les nuances sectorielles.
"Le RGPD et l'AI Act ne sont pas des obstacles au déploiement de l'IA vocale. Ce sont des cadres qui, bien intégrés dès la conception, renforcent la confiance des utilisateurs et protègent les entreprises contre des risques réglementaires coûteux. Un agent vocal conforme coûte la même chose à opérer qu'un agent non conforme — mais il protège l'entreprise de sanctions pouvant atteindre 4% du chiffre d'affaires mondial." — Juriste spécialisé protection des données, cabinet conseil en droit du numérique, France, 2026.
Conservation et sécurité des enregistrements vocaux
Les enregistrements vocaux constituent une catégorie de données personnelles particulièrement sensible. La voix peut être biométriquement identifiante. Le contenu de la conversation peut révéler des données de santé, financières, ou d'autres catégories sensibles de l'article 9 RGPD (origine ethnique via accent, données de santé mentionnées, situation financière difficile).
Durée de conservation
Le RGPD impose que les données soient conservées le temps strictement nécessaire à la finalité. Pour les enregistrements d'appels SAV, les pratiques consolidées en France sont :
- 1 mois : durée standard pour les appels de service courant sans litige identifié
- 3 à 6 mois : avec litige en cours ou réclamation documentée
- 5 ans maximum : pour les appels ayant une valeur probatoire dans le cadre d'un contrat
- Jamais indéfiniment : toute conservation sans durée définie est non conforme
Les transcriptions textuelles anonymisées peuvent être conservées plus longtemps que les enregistrements audio, à condition que l'anonymisation soit effective et irréversible. L'analyse de sentiment (score numérique) anonymisé est encore plus libre, à condition qu'il soit impossible de remonter à l'individu.
Mesures de sécurité obligatoires
L'article 32 RGPD impose des mesures de sécurité appropriées au risque. Pour les enregistrements vocaux, les mesures minimales attendues par la CNIL sont :
- Chiffrement des données en transit (TLS 1.2 minimum) et au repos (AES-256 recommandé)
- Contrôle d'accès strict avec authentification forte (MFA) pour les accès aux enregistrements
- Journalisation des accès (qui a écouté quoi, quand)
- Cloisonnement des données par tenant pour les solutions mutualisées
- Plan de réponse aux incidents et notification dans les 72h en cas de violation (article 33 RGPD)
Pour les déploiements en secteur réglementé (santé, finance, assurance), des mesures renforcées sont attendues : hébergement HDS pour la santé, audits de sécurité réguliers, tests de pénétration annuels. Voir notre article spécialisé sur le RGPD santé et agent vocal IA.
Droits des personnes : accès, rectification, effacement
Les appelants dont les données sont traitées par un agent vocal IA disposent de l'ensemble des droits RGPD (articles 15 à 22). L'entreprise doit être capable de les exercer dans les délais légaux (1 mois, extensible à 3 mois pour les demandes complexes).
Droit d'accès (article 15)
L'appelant peut demander à obtenir une copie de toutes les données le concernant : enregistrement audio, transcription, logs de session, données CRM générées ou modifiées lors de l'appel. L'entreprise doit disposer d'un processus pour extraire ces données de l'ensemble des systèmes impliqués (agent vocal, CRM, ERP) et les transmettre dans un format intelligible. La complexité de cet exercice plaide pour une architecture de données claire dès la conception.
Droit à l'effacement (article 17)
La demande de suppression doit pouvoir être traitée de bout en bout : suppression de l'enregistrement audio, de la transcription, des métadonnées de session, et mise à jour ou anonymisation dans le CRM. Si des données ont été transmises à des sous-traitants (infrastructure, analyse IA), ceux-ci doivent être instruits de procéder à la suppression. Le DPA doit prévoir cette chaîne explicitement.
Droit d'opposition aux appels sortants automatisés
L'article 21 RGPD donne le droit à toute personne de s'opposer à un traitement fondé sur l'intérêt légitime. Pour les appels sortants automatisés, ce droit d'opposition s'ajoute au droit de retrait du consentement. La liste d'opposition interne doit être maintenue à jour et consultée avant chaque campagne d'appels sortants.
Checklist conformité 2026 (RGPD + AI Act)
Cette checklist synthétise les points de conformité à valider avant de déployer ou de mettre en conformité un agent vocal IA. Elle est organisée par domaine et indique le texte de référence. Elle ne remplace pas une analyse juridique spécifique à votre contexte.
Fondations RGPD
- Base légale identifiée et documentée pour chaque finalité de traitement (art. 6)
- Entrées au registre des activités de traitement créées pour chaque flux (art. 30)
- DPA signé avec le fournisseur de l'agent vocal (art. 28)
- Localisation des données et transferts hors UE vérifiés et couverts (art. 44-49)
- Politique de conservation définie et paramétrée dans le système (art. 5.1.e)
Transparence et information
- Message d'accueil informant l'appelant qu'il parle à un système automatisé (AI Act art. 50)
- Mention de l'enregistrement et de sa finalité dans le message d'accueil (RGPD art. 13)
- Option de transfert vers un agent humain proposée ou disponible à tout moment
- Politique de confidentialité mise à jour pour couvrir les traitements de l'agent vocal
- Notice d'information disponible sur le site web ou envoyée avant le premier appel entrant
Sécurité des données vocales
- Chiffrement en transit (TLS 1.2+) et au repos (AES-256) activé et vérifié
- Contrôle d'accès avec MFA pour toute consultation des enregistrements
- Journalisation des accès aux données vocales activée et auditée
- Plan de réponse aux violations de données (notification CNIL 72h) documenté
- Tests de sécurité (pentest) réalisés avant mise en production et annuellement
Droits des personnes
- Processus d'exercice des droits documenté et testé (accès, effacement, opposition)
- Délai de traitement des demandes dans les 30 jours garanti et suivi
- Chaîne de suppression couvrant tous les sous-traitants et systèmes impliqués
- Liste d'opposition interne maintenue et consultée avant appels sortants
AI Act (applicable 2025-2026)
- Classification de risque de l'agent vocal documentée et validée juridiquement
- Si risque limité : obligations de transparence art. 50 cochées (voir ci-dessus)
- Si risque élevé : documentation technique complète (art. 11), système de gestion des risques (art. 9), logs de transparence (art. 12), supervision humaine (art. 14), exactitude et robustesse (art. 15)
- Si risque élevé : enregistrement dans la base de données EU AI Act (art. 49) avant mise en production
- DPO et conseils juridiques informés et impliqués dans la classification et la conformité
FAQ juridique
Un agent vocal IA est-il autorisé à traiter des données de santé ?
Un agent vocal IA peut prendre des rendez-vous médicaux sans traiter de données de santé au sens strict, si la conversation se limite à la disponibilité et à l'identité du patient. Dès que la conversation aborde des symptômes, des diagnostics, des traitements ou des antécédents médicaux, on entre dans le domaine des données de santé (catégorie spéciale article 9 RGPD), qui nécessitent une base légale renforcée (consentement explicite ou soin de santé). Pour les déploiements en santé, l'hébergement de données de santé (HDS) est obligatoire en France. Voir notre article dédié sur le RGPD santé et agent vocal IA.
L'obligation d'informer l'appelant qu'il parle à une IA peut-elle nuire à l'adoption ?
Les données d'expérience sur les déploiements Vocalis montrent l'inverse : une information claire et rassurante ("Vous êtes en contact avec notre assistant vocal automatisé. Je suis là pour vous aider rapidement sur votre commande") génère moins de friction qu'un agent qui tente de faire croire qu'il est humain. La perception de rapidité et d'efficacité prime sur la nature de l'interlocuteur pour les flux transactionnels. L'obligation de transparence de l'AI Act est aussi une bonne pratique business.
Quelles sont les sanctions en cas de non-conformité ?
Pour le RGPD : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel pour les violations les plus graves (articles 83.4 et 83.5). Pour l'AI Act : jusqu'à 35 millions d'euros ou 7% du CA mondial pour les violations des interdictions (article 99.1), et jusqu'à 15 millions ou 3% du CA pour les autres violations. Ces montants s'appliquent séparément — une violation simultanée des deux textes peut donc cumuler les sanctions.
Faut-il réaliser une AIPD (Analyse d'Impact sur la Protection des Données) pour un agent vocal IA ?
L'AIPD (ou DPIA en anglais) est obligatoire lorsque le traitement est "susceptible d'engendrer un risque élevé" pour les droits et libertés des personnes (article 35 RGPD). La CNIL a publié une liste de types de traitements nécessitant systématiquement une AIPD. Les systèmes de surveillance à grande échelle et les décisions automatisées à effets significatifs en font partie. Pour un agent vocal IA gérant des volumes importants d'appels, une AIPD est fortement recommandée, et souvent obligatoire selon le contexte sectoriel. Elle doit être réalisée avant la mise en production, et révisée à chaque changement significatif du système.
Conclusion
La conformité RGPD et AI Act d'un agent vocal IA n'est pas une contrainte optionnelle : c'est une condition de viabilité à moyen terme. Les autorités de contrôle européennes montent en compétence sur les systèmes IA, et les contrôles sur les agents vocaux automatisés sont en augmentation depuis 2025. Les premières sanctions significatives sur des déploiements d'IA non conformes sont désormais documentées.
La bonne nouvelle est que la conformité est atteignable sans remettre en cause la valeur opérationnelle de l'agent vocal. Les obligations de transparence ne dégradent pas l'expérience utilisateur. Les mesures de sécurité sont des bonnes pratiques que tout système traitant des données personnelles devrait appliquer. Et la classification de risque sous l'AI Act, pour la grande majorité des déploiements en service client, reste en "risque limité" avec des obligations proportionnées.
Le point de départ recommandé : mandater votre DPO pour réaliser une revue des traitements de votre agent vocal existant ou en projet, classifier sous l'AI Act avec l'appui de conseils juridiques spécialisés en droit du numérique, et compléter la checklist ci-dessus. Pour préparer votre déploiement en tenant compte de ces contraintes dès la conception, consultez notre guide complet agent vocal IA.