Accueil
/
Le Prompt
/
Article
/
Enregistrer et analyser ses appels : obligations légales, RGPD, IA Act et bonnes pratiques

Enregistrer et analyser ses appels : obligations légales, RGPD, IA Act et bonnes pratiques

November 28, 2025
par
Article
Outils & Méthodes
5 min de lecture 

Table des matières

Heading 2
Heading 3
Heading 4
Heading 5
Heading 6

Le juridique est le premier frein cité par les dirigeants qui envisagent une solution d'analyse conversationnelle. Entre le droit du travail, le RGPD et le nouveau règlement européen sur l'IA, l'empilement des réglementations donne l'impression d'un terrain miné. La réalité est plus simple à condition de distinguer ce qui relève du vrai risque, du réflexe administratif, et du mythe. Cet article synthétise ce qui compte vraiment pour une entreprise qui veut enregistrer et exploiter ses conversations clients ou commerciales, à partir de l'échange mené dans Le Prompt avec Claire Chapalain, avocate associée au cabinet Lex Inside.

1. Deux réglementations à croiser, pas à opposer

Dès qu'une entreprise enregistre et analyse les appels de ses collaborateurs, elle se trouve à la croisée de deux cadres juridiques. Le droit du travail, qui encadre ce qu'on peut demander ou observer d'un salarié. Le RGPD, qui encadre le traitement des données personnelles, celles des salariés comme celles de leurs interlocuteurs.

Ces deux réglementations ne se remplacent pas, elles se superposent. Ignorer l'une expose aux sanctions de l'autre.

L'IA Act, entré en vigueur en 2024, vient compléter ce dispositif sans s'y substituer. Il ajoute des obligations de transparence sur l'usage de l'IA, mais il ne remplace ni le code du travail, ni le RGPD. L'autorité de contrôle en France reste la CNIL ce n'est pas une commission européenne qui viendra auditer une PME française.

2. Ce que le droit du travail permet (et interdit)

Le principe est clair : un salarié ne peut jamais être enregistré à son insu. L'information préalable est une condition de forme non négociable. Elle passe au minimum par une notice d'information dont on peut prouver la bonne communication. Dans les structures dotées d'un CSE, ce dernier doit être consulté en amont.

Sur le fond, la loi impose que les enregistrements soient proportionnés, ponctuels et justifiés par une finalité acceptable.
Deux finalités sont autorisées :
- l'amélioration du service rendu aux clients,
- la formation du personnel.

Une finalité est interdite : la surveillance des performances individuelles dans un but de sanction, de notation ou de discrimination.

La frontière est fine mais essentielle. Analyser les appels pour accompagner un conseiller dans sa progression est légal. Les analyser pour établir un classement nominatif servant à la rémunération variable ou au licenciement ne l'est pas, sauf cadre sectoriel spécifique.

Le droit au respect de la vie privée implique également que le salarié puisse passer des appels non enregistrés. C'est généralement résolu par une ligne dédiée ou un bouton de désactivation de l'enregistrement.

3. RGPD : les trois bases légales qui comptent vraiment

Le RGPD impose qu'un traitement de données personnelles repose sur l'une des six bases légales qu'il liste. Pour une PME qui fait de l'analyse conversationnelle, trois bases seulement sont mobilisables en pratique.

Le consentement.
Expressément donné, éclairé, opt-in (et non opt-out). En théorie idéal, en pratique impossible à recueillir à chaque appel entrant ou sortant sans casser l'expérience opérationnelle. Peu utilisé dans ce contexte.

L'exécution d'un contrat.
Pertinent pour les traitements liés à la facturation ou à l'exécution d'une commande. Rarement la base adaptée à l'analyse conversationnelle en tant que telle.

L'intérêt légitime. Dans 95 % des cas d'analyse conversationnelle, c'est cette base qui s'applique. L'entreprise a un intérêt légitime à améliorer la qualité de son service, à former ses équipes, à comprendre les besoins de ses clients. Cet intérêt doit être documenté : pourquoi il est légitime, pourquoi il ne porte pas d'atteinte disproportionnée aux droits des personnes concernées. La documentation se fait dans le registre des traitements, qui n'est pas une option mais une obligation.

Les trois autres bases (obligations légales, intérêt public, sauvegarde des intérêts vitaux) s'appliquent à des cas spécifiques: santé, formations avec obligations de conformité vente, secteur de l'assurance réglementé. Utile à connaître, rarement la base par défaut.

4. Durées de conservation : les repères de la CNIL

La CNIL ne fixe pas de durées obligatoires mais donne des repères maximums : six mois pour les enregistrements bruts, un an pour les analyses qui en sont issues. Certaines exceptions permettent d'aller plus loin, notamment les données relatives à une transaction, qui peuvent être conservées jusqu'à cinq ans comme preuve.

Le principe à retenir est celui de la minimisation : ne conserver que ce qui est utile, et pas plus longtemps que nécessaire. Une pratique particulièrement appréciée par la CNIL consiste à supprimer l'enregistrement audio immédiatement après sa transcription, si seule la transcription est utile.

Toute durée de conservation choisie doit pouvoir être justifiée. Et surtout appliquée. Avoir un registre qui prévoit une purge à six mois tout en laissant les enregistrements s'accumuler dans le backoffice est l'un des écarts les plus fréquemment relevés en contrôle.

La bonne approche consiste à croiser le juridique avec le business : combien de temps l'entreprise a-t-elle réellement besoin de ses enregistrements pour traiter une réclamation, prouver une vente, gérer un litige ? Pour un acteur du voyage qui traite des remboursements plusieurs mois après la vente, pour une formation qui peut démarrer quatre mois après la souscription, ces réponses opérationnelles fixent la durée utile, pas le maximum CNIL.

5. Données sensibles : un sujet à risque qu'il faut cadrer

Le RGPD définit une catégorie particulière de données, appelées données sensibles (ou « catégories particulières » dans le texte) : origine raciale ou ethnique, opinions politiques, appartenance syndicale, convictions religieuses, orientation sexuelle, données de santé, données biométriques.

Pour ces catégories, le principe est le suivant : le traitement est interdit, sauf exceptions strictement encadrées.

Or dans un appel spontané, un interlocuteur peut parfaitement évoquer son état de santé, ses convictions, ses opinions sans qu'on l'ait sollicité. Ces données se retrouvent alors potentiellement dans la transcription. La responsabilité de l'entreprise est de les détecter et de les supprimer rapidement. Cela passe par une combinaison de détection automatisée (recherche par mots-clés) et de contrôle humain sur les transcriptions à risque. Si une donnée sensible est repérée, la portion concernée doit être purgée idéalement l'ensemble de la transcription ou de l'enregistrement s'il n'est pas possible de cibler finement.

C'est aussi une responsabilité managériale : les managers qui accèdent aux analyses doivent être formés à identifier ce type de contenu et à savoir comment réagir. Ce n'est pas un sujet qu'on peut sous-traiter intégralement à l'outil.

6. L'IA Act : un cadre plus pragmatique qu'on ne le croit

L'IA Act, adopté en 2024, repose sur trois piliers : l'uniformisation des règles à l'échelle européenne, une approche proportionnée au risque, et la transparence.

Quatre niveaux de risque sont définis :
- inacceptable (usages interdits comme la reconnaissance faciale en temps réel),
- haut risque (véhicules, dispositifs médicaux, emploi, éducation, justice),
- risque limité,
- risque minimal.

L'analyse conversationnelle bien encadrée relève du risque limité.
La condition est posée dès le départ : dès lors que les enregistrements respectent le droit du travail, finalités pédagogiques et d'amélioration du service, pas de notation individuelle, on est hors du champ des IA à haut risque. Les obligations qui s'appliquent sont principalement des obligations de transparence : informer les personnes qu'elles interagissent avec une IA (sauf cas évidents comme un chatbot manifeste), marquer les contenus générés ou modifiés par IA à la fois techniquement et de façon visible.

Cette distinction a une conséquence concrète : une entreprise qui a correctement posé son cadre RGPD et droit du travail n'a pas grand-chose de supplémentaire à craindre de l'IA Act sur son projet d'analyse conversationnelle. Les vraies obligations nouvelles concernent d'autres cas d'usage : les agents vocaux (qui doivent désormais s'annoncer comme IA), les contenus générés par IA (qui doivent être marqués), les systèmes utilisés pour la gestion des travailleurs quand ils décident de recrutement ou de licenciement.

7. Les erreurs les plus fréquentes

La dérive de finalité.
Une entreprise définit bien son cadre au départ: enregistrements pour amélioration du service, puis, deux ans plus tard, exploite ces mêmes données pour du profilage marketing ou de la notation individuelle. Cette dérive est l'un des premiers motifs de sanction constatés. La conformité n'est pas un audit ponctuel, c'est un réflexe à chaque nouveau traitement ou nouvelle fonctionnalité activée.

La documentation absente ou incomplète.
Un process bien pensé mais non écrit n'existe pas en cas de contrôle. Le registre des traitements n'est pas optionnel.

L'écart entre le texte et la pratique.
Avoir les bons documents mais ne pas les appliquer, typiquement, prévoir une purge à six mois et ne pas l'exécuter, reste l'écart le plus fréquemment constaté en contrôle CNIL.

Le défaut de formation des équipes.
Un DPO qui produit une belle documentation ne suffit pas si les managers qui accèdent aux données n'ont pas été sensibilisés aux principes qu'elle porte. La conformité se joue dans l'opérationnel, pas dans les documents.

La mauvaise lecture du positionnement des équipes.
Beaucoup de dirigeants redoutent un rejet des salariés face à l'analyse des appels. La réalité observée est souvent inverse : dans les dispositifs bien amenés, les conseillers demandent eux-mêmes à accéder à leurs enregistrements. L'analyse portée par la donnée est perçue comme plus juste que la double écoute aléatoire d'un manager à condition que le dispositif soit cadré comme un outil de coaching, pas de contrôle.

8. Trois réflexes à adopter dès le départ

  • Poser clairement la finalité avant toute chose, documenter la base légale, les destinataires et la durée de conservation, le registre des traitements est le bon support
  • Vérifier ses prestataires : contrat de sous-traitance conforme au RGPD, localisation des serveurs dans l'UE, mesures de sécurité explicites, clause de réversibilité
  • Appliquer le principe de minimisation sur les données collectées, les destinataires qui y accèdent, et surtout les durées de conservation, et vérifier régulièrement que ce qui est prévu est effectivement exécuté

En cas de contrôle

Les sanctions prévues par le RGPD peuvent aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. En pratique, la CNIL adopte une approche pédagogique avec les PME : un contrôle commence généralement par une mise en demeure, avec un délai pour se mettre en conformité, avant toute sanction financière. Ce qui compte, c'est de pouvoir montrer qu'une réflexion a été menée et documentée même imparfaite. L'absence totale de démarche, elle, n'est pas excusée.

Pour aller plus loin

Écouter l'épisode complet du Prompt et lire l'article du podcast avec Claire Chapalain, avocate associée chez Lex Inside. 

Écouter le podcast