Chaque appel entrant traite par votre standard telephonique automatise produit un enregistrement vocal. Ce fichier audio part quelque part -- un datacenter, un serveur de transcription, un modele de reconnaissance vocale. La question que peu de DSI se posent : ou exactement, et sous quelle juridiction ? Si la reponse est "chez AWS", "chez Google Cloud" ou "chez Azure", vous avez probablement un probleme RGPD. Et il est plus serieux qu'une case a cocher.
La voix de vos clients est une donnee biometrique
Ce point est fondamental et encore trop souvent ignore. La CNIL est explicite : la voix constitue une donnee biometrique des lors qu'elle est utilisee pour identifier ou authentifier une personne. Or, tout callbot moderne analyse la voix pour en extraire des caracteristiques -- ton, rythme, empreinte spectrale -- afin d'adapter sa reponse ou d'identifier l'appelant.
L'article 9 du RGPD classe les donnees biometriques dans la categorie des donnees sensibles a traitement interdit par defaut, au meme titre que les donnees de sante ou les opinions politiques. Le traitement n'est licite que dans des cas limitativement enumeres : consentement explicite, interet vital, mission d'autorite publique... et sous conditions strictes.
"Les donnees biometriques aux fins d'identifier une personne physique de maniere unique constituent une categorie particuliere de donnees dont le traitement est en principe interdit."
-- Article 9, paragraphe 1, Reglement (UE) 2016/679 (RGPD)
Concretement : si votre standard enregistre les appels et les envoie a un service de transcription tiers, vous etes responsable du traitement de donnees biometriques. Vous devez documenter la base legale, informer vos appelants, et garantir que le sous-traitant offre des garanties equivalentes au RGPD. Ce qu'un prestataire soumis a une loi americaine ne peut pas faire.
Le CLOUD Act : quand les autorites americaines accedent a vos donnees sans demander
Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act), adopte en 2018, impose aux entreprises americaines de communiquer aux autorites federales US toute donnee qu'elles detiennent, quel que soit le pays ou cette donnee est physiquement stockee. Un datacenter AWS a Paris n'y echappe pas.
La CJUE l'a confirme avec l'arret Schrems II (juillet 2020) : le Privacy Shield a ete invalide precisement parce que la surveillance americaine ne peut pas etre contree par des clauses contractuelles. Le Privacy Data Framework qui l'a remplace en 2023 reste fragile -- plusieurs recours sont en cours.
En pratique : les enregistrements vocaux de vos clients, stockes sur une infrastructure cloud americaine, sont potentiellement accessibles par des agences federales americaines, sans notification a votre entreprise. Pour une banque, un cabinet medical, un cabinet d'avocats ou un service public, ce risque est inacceptable.
EU AI Act aout 2026 : les systemes vocaux passent en "haut risque"
Le Reglement europeen sur l'intelligence artificielle entre en application progressive, avec pleine effectivite au 2 aout 2026. Les callbots et standards telephoniques automatises sont directement concernes.
Les systemes d'IA interagissant avec des personnes dans des contextes sensibles -- sante, finance, infrastructures critiques, RH -- sont classes "haut risque". Ca entraine des obligations concretes :
- Documentation technique complete (architecture, donnees d'entrainement, performances)
- Registre des evenements et tracabilite des decisions
- Transparence obligatoire : l'utilisateur doit savoir qu'il interagit avec une IA
- Supervision humaine effective
- Evaluation de conformite avant mise sur le marche
- Enregistrement aupres d'une base de donnees europeenne
Les systemes d'identification biometrique a distance en temps reel sont soumis a des restrictions specifiques. Si votre callbot identifie l'appelant par la voix pour personnaliser sa reponse, vous etes probablement dans ce perimetre.
Sanctions prevues : jusqu'a 30 millions d'euros ou 6% du chiffre d'affaires mondial. Soit 50% de plus que le plafond RGPD standard.
Ce que ca implique pour votre standard telephonique
Mettons le jargon de cote. Voici ce que la combinaison RGPD + EU AI Act signifie concretement pour vous :
- Registre des traitements obligatoire : documenter que votre standard traite des donnees vocales, avec quelle finalite, quelle duree de conservation, quels sous-traitants.
- Information des appelants : le message d'accueil doit mentionner le traitement IA. Pas optionnel.
- Analyse d'impact (AIPD) : obligatoire des que le traitement est susceptible d'engendrer un risque eleve pour les droits des personnes -- ce qui est le cas pour des donnees biometriques.
- Duree de conservation : les enregistrements ne peuvent pas trainer indefiniment. Politique de purge automatique obligatoire.
- Localisation des donnees : vous devez justifier que les donnees ne quittent pas l'UE, ou encadrer les transferts avec des garanties appropriees.
- Droit d'acces et d'effacement : un client peut demander l'acces a l'enregistrement de son appel et en reclamer la suppression.
Amendes : jusqu'a 4% du CA mondial ou 20 millions d'euros pour violation des principes fondamentaux.
HDS et SecNumCloud : les certifications qui comptent
HDS -- Hebergeur de Donnees de Sante
Si vous etes dans le medical -- cabinet, clinique, mutuelle -- la certification HDS est obligatoire pour tout hebergeur traitant des donnees de sante. Les appels de patients contiennent par nature des donnees de sante (motif de consultation, symptomes). Un callbot medical sur un serveur non-HDS est en infraction directe.
HDS implique : infrastructure en France, audit par un organisme accredite, procedures de securite strictes (continuite, chiffrement, controle d'acces physique).
SecNumCloud -- La qualification ANSSI
Pour les administrations, les OIV et les OSE, SecNumCloud definit le niveau d'exigence pour les prestataires cloud. Elle impose l'immunite au CLOUD Act : le prestataire ne peut etre soumis a une legislation extraterritoriale.
C'est pour ca que le Health Data Hub a annonce sa migration hors Microsoft Azure vers une infrastructure SecNumCloud francaise. Si l'Etat juge que le cloud americain n'est pas acceptable pour ses donnees les plus sensibles, la question de votre propre infrastructure merite d'etre posee.
Comment GOODEV garantit la souverainete de vos donnees vocales
Chez GOODEV, l'hebergement souverain n'est pas une option dans une grille tarifaire. C'est une contrainte de conception non negociable.
- Serveur physique en France : toute l'infrastructure tourne sur un serveur dedie sur le territoire francais, sans dependance a un cloud americain.
- Aucune donnee ne quitte le territoire : transcription, analyse semantique, generation de reponse -- tout est fait localement, sur des modeles deployes on-premise.
- Modeles IA locaux : pas d'API OpenAI, Google ou Amazon pour le traitement vocal. Les modeles de reconnaissance (Whisper, Vosk) et de synthese (Piper, XTTS) tournent sur notre infra, sous notre controle exclusif.
- Chiffrement : TLS 1.3 sur toutes les communications, AES-256 pour les enregistrements stockes.
- Purge configurable : duree de conservation parametrable par client, suppression automatique certifiee, logs d'audit.
- Documentation reglementaire : registre des traitements, AIPD, clauses DPA livrees avec le produit.
La confiance se construit par la transparence sur le traitement des donnees, pas par un message d'accueil rassurant.
Checklist : questions a poser a votre fournisseur de callbot
Avant de signer, posez ces questions par ecrit et exigez des reponses engageantes :
- Localisation : ou sont physiquement les enregistrements vocaux ? Quel datacenter, quel pays ?
- Sous-traitants : la reconnaissance vocale est-elle deleguee a Google Speech-to-Text, AWS Transcribe, Azure Cognitive Services ? Si oui, ou transitent les donnees ?
- CLOUD Act : votre entreprise ou vos sous-traitants sont-ils soumis a la juridiction US ?
- Certification : HDS si medical ? SecNumCloud si secteur critique ?
- AIPD : avez-vous realise une Analyse d'Impact ? Pouvez-vous la communiquer ?
- Droits des personnes : comment gerez-vous acces, rectification et effacement sur les enregistrements ?
- Conservation : quelle politique ? Les suppressions sont-elles tracables ?
- EU AI Act : serez-vous conforme au 2 aout 2026 ? Quelle feuille de route ?
- Transparence appelant : le systeme informe-t-il que c'est une IA et que les donnees sont traitees ?
- DPA : proposez-vous un accord conforme a l'article 28 du RGPD, signe avant tout traitement ?
Si votre fournisseur ne peut pas repondre precisement a ces questions, considerez ca comme un signal d'alarme. L'ignorance d'un sous-traitant ne vous exonere pas.
Le cas du Health Data Hub
Le HDH centralise les donnees de sante de 67 millions de Francais pour la recherche medicale. Sa mise en production sur Microsoft Azure avait declenche une decision de la CNIL pointant le risque de transfert US via le CLOUD Act.
Le gouvernement a annonce la migration vers une infrastructure SecNumCloud francaise d'ici fin 2026. Ce choix envoie un message clair : le cloud americain n'est pas une option acceptable pour les donnees sensibles, quelles que soient les clauses contractuelles.
Si le niveau d'exigence de l'Etat pour ses propres donnees conduit a quitter Azure, la question de votre infra merite d'etre posee serieusement. Surtout si vous traitez des appels medicaux, juridiques ou financiers.
FAQ RGPD -- Standard telephonique et donnees vocales
Mon callbot ne fait que transcrire, sans identifier les appelants. Suis-je concerne ?
Oui, si la transcription est couplee a des donnees identifiantes (numero de telephone, compte client). La CNIL precise que le caractere biometrique s'apprecie dans le contexte du traitement global. Si votre systeme peut, meme indirectement, relier une empreinte vocale a une personne identifiable, l'article 9 s'applique.
Notre prestataire est francais mais heberge chez AWS Paris. On est protege ?
Non. La localisation du datacenter ne suffit pas si l'operateur cloud est americain. AWS Inc. est soumis au CLOUD Act et peut etre contraint de fournir les donnees hebergees n'importe ou dans le monde. Un prestataire francais qui delegue a AWS ne vous protege pas du risque extraterritorial.
Le consentement de l'appelant suffit-il ?
Partiellement. Le consentement doit etre libre, specifique, eclaire et univoque. Un message "Cet appel peut etre enregistre" ne constitue pas un consentement valide au traitement biometrique. Il faut une information explicite sur la nature biometrique, la finalite, la duree de conservation, et une option de refus sans prejudice.
Duree maximale de conservation pour les enregistrements vocaux ?
Le RGPD ne fixe pas de duree universelle -- il impose le principe de limitation. Pour un standard telephonique, 30 jours est generalement justifiable. Au-dela, il faut une justification specifique. Plus de 6 mois, ca doit etre solidement documente.
Mon secteur n'est pas medical. Suis-je moins expose ?
Le RGPD s'applique a tous les secteurs. Les donnees biometriques sont sensibles partout. Un cabinet d'avocats, un cabinet de recrutement, une mutuelle -- tous traitent des donnees tres sensibles via leurs appels. L'exposition est reelle meme hors secteur medical.
Prendre le probleme a la racine
La conformite RGPD d'un standard telephonique IA n'est pas un probleme juridique qu'on regle avec un avenant. C'est un probleme d'architecture : ou tourne le code, ou sont les donnees, a qui appartient l'infra.
Un callbot souverain construit sur des modeles open-source deployes on-premise, sur des serveurs en France, sans dependance a un cloud americain -- c'est la seule architecture qui permet de repondre "oui" a toutes les questions de la checklist.
L'EU AI Act entre en vigueur dans quelques mois. Les controles CNIL sur les systemes IA s'intensifient. Le moment d'auditer votre infrastructure vocale, c'est maintenant -- pas apres la premiere mise en demeure.