- 4 % du CA : montant maximum des amendes CNIL pour non-conformité agent vocal
- 72 heures : délai légal de notification en cas de violation de données vocales
- 30 jours : durée maximale de conservation des enregistrements recommandée par la CNIL (hors contentieux)
- 100 % des agents vocaux IA traitent des données biométriques potentielles (voix)
- 2 textes s'appliquent simultanément : RGPD + AI Act européen depuis 2026
Depuis 2026, déployer un agent vocal IA en France sans respecter le cadre juridique expose votre entreprise à des risques concrets : plaintes CNIL, amendes, et perte de confiance client. Le RGPD, l'AI Act européen et le Code des postes et communications électroniques forment un triptyque réglementaire que toute PME doit maîtriser avant de lancer son callbot ou standard IA.
La bonne nouvelle : la conformité n'est pas un obstacle — c'est un avantage compétitif. Les PME qui la documentent rassurent leurs clients et se différencient des concurrents qui bricolent dans l'urgence.
Pourquoi le RGPD s'applique-t-il aux agents vocaux IA ?
Un agent vocal IA collecte, traite et stocke des données personnelles à chaque appel : numéro de téléphone, voix (potentiellement biométrique selon l'article 9 du RGPD), identité déclarée, motif d'appel et créneaux de rendez-vous. Il ne s'agit pas d'un simple répondeur téléphonique — c'est un système de traitement automatisé de données personnelles au sens de l'article 4 du RGPD.
Depuis le 2 août 2026, l'AI Act européen est pleinement applicable. Il ajoute une couche réglementaire spécifique aux systèmes d'IA en contact direct avec des personnes physiques. Les agents vocaux IA relèvent de la catégorie "systèmes à risque limité" — ce qui signifie des obligations de transparence obligatoires, mais pas d'interdiction.
"Tout système automatisé en contact avec une personne physique doit se déclarer comme tel sans ambiguïté. L'utilisateur doit pouvoir interagir avec un humain sur simple demande." — Recommandation CNIL, mars 2025
En pratique, votre agent vocal IA est soumis à trois textes cumulatifs :
- RGPD (Règlement UE 2016/679) : licéité du traitement, durée de conservation, droits des personnes
- AI Act (Règlement UE 2024/1689) : transparence obligatoire sur la nature IA du système
- Code des postes et communications électroniques (CPCE) : enregistrement des appels, consentement explicite
Quelles sont les 4 obligations légales incontournables en 2026 ?
| Obligation | Texte de référence | Sanction si manquement |
|---|---|---|
| Identifier l'IA dès la première seconde | AI Act art. 50 + CNIL 2025 | Amende CNIL jusqu'à 20 M€ |
| Consentement explicite pour l'enregistrement | CPCE art. L.34-1 + RGPD art. 6 | Nullité de l'enregistrement + amende |
| Hébergement des données en Union européenne | RGPD art. 44-49 (transferts internationaux) | Mise en demeure CNIL + 4 % CA |
| Durée de conservation limitée et documentée | RGPD art. 5(1)(e) + recommandation CNIL | Injonction de suppression + amende |
1. Identifier l'IA dès le début de l'appel
C'est l'obligation la plus visible — et la plus souvent négligée par les PME qui déploient des agents vocaux trop "humains". L'AI Act (article 50) impose que tout système IA en interaction directe avec une personne physique se déclare comme tel immédiatement. En France, la CNIL a précisé en mars 2025 que cette obligation s'applique y compris en cas d'appel entrant.
2. Consentement explicite pour l'enregistrement
L'enregistrement audio d'un appel sans consentement constitue une infraction au Code pénal (article 226-1) autant qu'une violation du RGPD. Pour les agents vocaux, le consentement doit être actif (pas juste implicite). Une phrase d'avertissement suffit si la personne continue l'appel — mais elle doit être claire et enregistrée elle-même comme preuve.
3. Hébergement des données en Union européenne
Les données vocales captées par votre callbot sont des données personnelles. Si votre fournisseur héberge les serveurs aux États-Unis (AWS US East, Google Cloud US, etc.), vous êtes potentiellement en violation du RGPD depuis l'invalidation du Privacy Shield en 2020 et malgré le Data Privacy Framework (DPF) adopté en 2023, dont la solidité juridique reste contestée.
En 2026, exigez de votre fournisseur d'agent vocal IA une confirmation écrite d'hébergement en UE (idéalement FR ou DE) et une clause contractuelle standard (CCS) dans le DPA.
4. Durée de conservation limitée
La CNIL recommande 30 jours maximum pour les enregistrements d'appels à des fins de qualité/formation. En cas de litige, la durée peut être allongée jusqu'à la prescription (5 ans en commercial). Toute durée plus longue nécessite une justification documentée dans votre registre de traitement.
Comment rédiger un script de transparence conforme CNIL ?
Un bon script de conformité tient en 3 parties : identification, enregistrement, sortie humaine. Voici un modèle réutilisable pour toute PME française :
"Bonjour et merci d'appeler [Nom entreprise]. Vous êtes en ligne avec un assistant vocal automatisé — pas un conseiller humain. Cet appel peut être enregistré à des fins de qualité. Pour continuer avec moi, restez en ligne. Pour parler à un humain, dites 'humain' ou tapez 0. Comment puis-je vous aider ?"
Ce script couvre :
- L'identification IA (AI Act art. 50)
- Le consentement implicite à l'enregistrement (CPCE)
- L'offre d'accès à un opérateur humain (recommandation CNIL)
Pour les secteurs sensibles (santé, assurance, services financiers), le consentement à l'enregistrement doit être explicite — un simple "Pour confirmer votre accord, dites oui" suffit.
Hébergement des données vocales : quels risques hors UE ?
En 2026, la majorité des plateformes d'agent vocal IA grand public (Vapi, ElevenLabs, Deepgram, Twilio) hébergent leurs serveurs primaires aux États-Unis. Cela crée un risque juridique réel pour les entreprises françaises, même si ces fournisseurs proposent des clauses contractuelles standard (CCS).
Selon l'ARCEP (Rapport annuel 2025), 63 % des PME françaises utilisant des outils de téléphonie cloud ignorent où leurs données vocales sont stockées. Ce chiffre illustre l'ampleur du risque systémique.
"La voix est une donnée personnelle au sens du RGPD. Son traitement par un système IA sans hébergement UE expose à des risques juridiques et réputationnels majeurs." — ARCEP, Rapport sur la téléphonie IA, 2025
Les options conformes en 2026 :
- OVHcloud (France) : hébergement certifié HDS et ISO 27001
- Scaleway (France) : RGPD-ready, serveurs Paris/Amsterdam
- Google Cloud eu-west (Belgique) : conforme avec DPA européen
- AgentVocal.ai : infrastructure hébergée en France, RGPD documenté
Si votre agent vocal IA actuel héberge les données hors UE, vérifiez qu'un DPA (Data Processing Agreement) conforme aux exigences RGPD est signé avec votre fournisseur. Ce document est obligatoire — pas optionnel.
Quelles sanctions pour une PME non conforme en 2026 ?
Les amendes CNIL sont calculées sur la base du chiffre d'affaires mondial de l'entité. Pour une PME française, les montants les plus fréquents dans les dossiers instruits en 2025-2026 :
| Type de manquement | Amende typique CNIL | Exemple réel |
|---|---|---|
| Enregistrement sans consentement | 20 000 – 200 000 € | Décision CNIL n°2024-045 |
| Transfert hors UE non documenté | Jusqu'à 4 % du CA | Mise en demeure publique |
| Absence d'identification IA (AI Act) | Amendes en cours de définition | AI Act applicable depuis 08/2026 |
| Conservation excessive des données | 10 000 – 50 000 € | PME secteur santé, 2025 |
Au-delà des amendes, le risque réputationnel est réel : la CNIL publie systématiquement ses décisions. Une PME de services citée dans une décision CNIL sur les agents vocaux peut perdre durablement la confiance de ses clients.
Checklist conformité agent vocal IA en 10 points
Voici la liste de contrôle que toute PME devrait valider avant de déployer ou de pérenniser son agent vocal IA :
- Script d'identification IA — L'agent se déclare comme automatisé en moins de 5 secondes
- Option humain accessible — Mot-clé "humain" ou touche 0 fonctionnelle à tout moment
- Message de consentement à l'enregistrement — Diffusé avant tout enregistrement
- DPA signé avec votre fournisseur — Document contractuel RGPD art. 28 en place
- Hébergement UE confirmé par écrit — Certification ou clause contractuelle standard
- Registre de traitement à jour — Traitement "agent vocal" documenté (base légale, durée, destinataires)
- Politique de conservation définie — 30 jours qualité, durée étendue si litige avec justification
- Procédure de violation des données — 72h pour notifier la CNIL en cas d'incident
- Mention dans la politique de confidentialité — Page accessible sur votre site web
- Audit annuel — Révision des paramètres à chaque mise à jour majeure de l'agent
Pour les secteurs réglementés (santé, assurance, banque), deux points supplémentaires s'ajoutent : une AIPD (Analyse d'Impact relative à la Protection des Données) et la désignation d'un DPO (Délégué à la Protection des Données).
Si vous souhaitez suivre précisément l'attribution de vos appels entrants par canal et mesurer le ROI de votre agent vocal IA, un outil de call tracking comme Calltrack.fr permet d'intégrer les données d'appels dans votre reporting marketing tout en respectant le cadre RGPD.
Pour une vision complète de la gestion de la relation client IA pour les professionnels de l'assurance et du courtage, MonCourtier.ai propose une suite dédiée aux contraintes ORIAS et IOBSP.