Déployer un agent vocal IA en contact avec des clients européens engage des responsabilités légales spécifiques que beaucoup d'entreprises sous-estiment. Entre le RGPD (applicable depuis 2018), l'AI Act européen (applicable depuis août 2025), et les réglementations sectorielles (HDS pour le médical, DSP2 pour la finance), le cadre normatif est dense. Mais bien compris, il devient un avantage concurrentiel : les entreprises conformes gagnent la confiance de leurs clients.
La voix : une donnée biométrique sous le RGPD
La voix humaine contient des informations biométriques : timbre, fréquence fondamentale, rythme respiratoire — autant de caractéristiques qui permettent d'identifier une personne. À ce titre, l'enregistrement et le traitement de voix humaines relèvent des données sensibles au sens de l'article 9 du RGPD, avec des exigences de protection renforcées.
Cela signifie que vous ne pouvez pas simplement enregistrer tous vos appels "pour améliorer la qualité du service" sans une base légale explicite. Les bases légales valides pour ce traitement sont : le consentement explicite et préalable (pas le consentement tacite par continuation d'appel), l'exécution d'un contrat (si l'enregistrement est nécessaire à la prestation), ou l'intérêt légitime (à condition de passer le test de balance des intérêts).
Les obligations pratiques de conformité
L'information préalable
Avant tout enregistrement vocal, l'appelant doit être informé : que l'appel peut être enregistré, dans quel but, pendant combien de temps les données sont conservées, et comment exercer ses droits (accès, rectification, suppression). Cette information peut être donnée par l'agent IA lui-même en début d'appel, sous forme d'un message court et clair.
La durée de conservation
Les enregistrements vocaux ne peuvent pas être conservés indéfiniment. La durée de conservation doit être proportionnée à la finalité : 3 mois pour la formation des agents, 12 mois pour la résolution de litiges, 5 ans maximum pour les secteurs réglementés (banque, assurance) avec justification documentée. Au-delà de ces durées, les données doivent être supprimées ou anonymisées.
L'hébergement : impératif européen
Les données vocales de citoyens européens doivent être hébergées dans l'UE ou dans un pays reconnu comme offrant une protection adéquate. Cela exclut en pratique les solutions qui stockent les enregistrements sur des serveurs américains sans garanties contractuelles suffisantes (clauses contractuelles types + mécanismes supplémentaires selon la jurisprudence Schrems II).
Vocalis héberge l'intégralité de ses données en France et en Allemagne (AWS Paris, OVHcloud Strasbourg), avec certification ISO 27001 et conformité RGPD documentée dans les DPA (Data Processing Agreements) fournis à chaque client.
L'AI Act : les nouvelles obligations depuis août 2025
Le règlement européen sur l'intelligence artificielle (AI Act) a introduit des obligations spécifiques pour les systèmes d'IA en contact avec des personnes physiques :
- Obligation de transparence : Toute personne en interaction avec un système IA doit en être informée clairement au début de l'interaction. "Ceci est un message automatisé" ne suffit plus — il faut mentionner explicitement l'IA
- Droit d'opt-out humain : Pour les interactions de service client, l'utilisateur doit pouvoir demander à être mis en relation avec un humain
- Documentation technique : Les déployeurs de systèmes IA à risque limité (dont les agents vocaux de service client) doivent maintenir une documentation technique accessible aux autorités
- Gestion des biais : Les systèmes doivent faire l'objet d'une évaluation des biais potentiels, notamment pour les systèmes qui influencent des décisions (attribution de crédit, acceptation de sinistre, scoring de fraude)
Les secteurs avec contraintes spécifiques
Le médical (HDS) impose que toute donnée de santé collectée ou traitée via un agent vocal soit hébergée par un hébergeur certifié HDS. Les données vocales d'un patient appelant pour un rendez-vous médical ne contiennent pas nécessairement de données de santé — mais dès que la conversation porte sur une pathologie, un traitement ou une prescription, le périmètre HDS s'applique.
La banque et l'assurance doivent respecter les exigences d'archivage prudentiel (ACPR) : conservation des preuves contractuelles (enregistrement du consentement) pendant la durée du contrat + 5 ans. Les systèmes de vérification d'identité vocale doivent être documentés et auditables.
"La conformité RGPD n'est pas un frein au déploiement de l'IA vocale — c'est un cadre qui force à construire des systèmes plus robustes et plus dignes de confiance." — DPO, groupe de services financiers français
Checklist de conformité RGPD pour votre déploiement IA vocale
- Registre des activités de traitement mis à jour avec le traitement vocal
- DPA signé avec votre prestataire IA vocal
- Hébergement des données en UE documenté
- Information préalable enregistrée en début d'appel
- Durées de conservation définies et implémentées techniquement
- Procédure d'exercice des droits (accès, effacement, portabilité)
- Documentation AI Act si applicable à votre secteur
- Formation des équipes sur les droits des utilisateurs