FR
Demander un devis
☎️ 01 83 75 57 11
Essayer gratuitement
Fonctionnalités
Transcription messages
Lisez au lieu d'écouter
Système VoIP
Un numéro, tous vos appareils
Deuxième Numéro
Séparez vie pro et vie perso
SMS Appel Manqué
Répondez automatiquement
Logiciel SVI
Transférez vos appels
Enregistrement d'Appels
Ne perdez plus le fil
Renvoi d'Appel
Restez joignable
Transcription d'Appels IA
L'IA prend les notes pour vous
Réceptionniste IA
Ne ratez plus aucun appel
Assistant vocal IA
Tirez le meilleur de vos appels
Intégrations
Apollo
Attio
HubSpot
Notion
Odoo
Salesforce
Sellsy
Shopify
Streak
Webhook
Zapier
Zoho Flow
Découvrir l'application en vidéo
Tour complet de l'application
en
fr
es
Contacter l'équipe commerciale
☎️ 01 83 75 57 11
Essayez
Essayez
Enregistrement et transcription

Conformité de l'enregistrement des appels en 2026

Quelque part entre « cet appel peut être enregistré pour des raisons de qualité » et la mise en conformité, il existe un écart dans lequel la plupart des équipes commerciales vivent tranquillement.

Maria Correa
Maria est content manager et experte VoIP chez Allo.
Mis à jour: Mar 16, 2026

L'appel est terminé. Un résumé est affiché dans votre CRM. Votre représentant passe au prospect suivant.

Ce flux de travail se produit des milliers de fois par jour pour les équipes commerciales du monde entier. Et dans la plupart de ces cas, personne ne s'est arrêté pour poser une question simple mais importante : était-ce légal ?

Quelque part entre « cet appel peut être enregistré pour des raisons de qualité » et la mise en conformité, il existe un écart dans lequel la plupart des équipes commerciales vivent tranquillement.

Si vous vous trompez, vous n'êtes pas simplement confronté à une conversation gênante avec le service juridique, vous êtes confronté à des sanctions pénales, à des poursuites civiles et à des des amendes réglementaires pouvant atteindre des millions.

Ce guide explique ce que signifie réellement la conformité à l'enregistrement des appels, où sont tracées les limites légales et comment AlloLes outils de conformité intégrés permettent de rester protégé sans sacrifier l'intelligence des appels dont dépend votre équipe.

Point fort juridique

Tout ce que contient ce guide est conçu pour vous aider à comprendre les options qui s'offrent à vous et à configurer efficacement les outils de conformité d'Allo. Il ne s'agit pas d'un avis juridique. Les lois sur l'enregistrement sont réellement complexes, elles varient selon les juridictions et elles changent. Pour toute question de conformité spécifique concernant votre entreprise, en particulier si vous travaillez dans un secteur réglementé, si vous exercez vos activités dans plusieurs pays ou si vous avez eu des questions réglementaires, consultez un conseiller juridique.

Les outils de conformité d'Allo sont conçus pour rendre la conformité réalisable sans sacrifier l'intelligence des appels dont dépend votre équipe. Mais c'est à vous de prendre les décisions relatives à la configuration, idéalement en consultation avec quelqu'un qui connaît les lois spécifiques qui s'appliquent à votre situation.

Lecture rapide

Voici comment y penser de manière pratique, en fonction du mode de fonctionnement de votre équipe.

Si vous êtes principalement un trafic entrant : Allumez un message de consentement à l'échelle de l'organisation. Chaque appelant est averti avant que l'appel ne soit connecté. Vous êtes couvert dans les États où toutes les parties donnent leur consentement, dans le cadre du RGPD et dans toutes les autres juridictions qui exigent une notification. Stockez les enregistrements conformément à votre politique de conservation.

Si vous téléphonez principalement vers l'étranger et que vous appelez depuis les États-Unis : Activer Mode de confidentialité pour vos lignes sortantes. Cela signifie qu'aucun fichier audio n'est stocké, ce qui élimine toute exposition en vertu des lois sur le consentement de toutes les parties. Vous conservez les transcriptions complètes et les résumés de l'IA. Formez les représentants à ouvrir des appels à des prospects de l'État à double consentement avec une divulgation verbale. Appliquez la même approche lorsque la fonction de conformité automatique basée sur les codes de zone est livrée.

Si vous appelez vers l'UE : Activez le message de consentement pour les appels entrants grâce à un mécanisme d'acceptation affirmative (appuyez sur 1 pour accepter). Utilisez le mode confidentialité pour les appels sortants afin de minimiser la collecte de données. Configurez l'enregistrement au niveau de la ligne pour maintenir la proportionnalité : toutes les lignes n'ont pas besoin d'enregistrer tous les appels. Signez un DPA avec Allo, définissez la durée de conservation à 6 mois pour les données audio (recommandation de la CNIL) et envisagez de passer à Mistral pour le traitement de l'IA en Europe si la juridiction des données est importante pour vos clients.

Si vous appelez au Canada : Activez le message de consentement pour tous les appels entrants. Pour les appels sortants, formez les représentants à divulguer verbalement l'enregistrement dès le début. Traitez le Canada comme une juridiction de consentement de toutes les parties, et non comme une juridiction de consentement unique. Si vous offrez des services à des clients canadiens du secteur des services financiers, soyez prêt à répondre à des questions concernant la résidence et l'emplacement de stockage des données.

Si vous êtes dans le secteur de la santé : Contactez le support Allo à propos du HIPAA BAA, configurez la conservation pour atteindre le minimum de 6 ans et assurez-vous que vos divulgations de consentement couvrent spécifiquement l'analyse du contenu des appels par l'IA.

Si vous avez un volume d'appels élevé dans l'Illinois : Obtenez des conseils juridiques spécifiques sur le BIPA et les fonctionnalités d'identification des locuteurs avant d'activer toute analyse biométrique vocale.

*Toutes les conditions et spécifications sont expliquées ci-dessous. * Pour les clients professionnels, Allo fournit un contrat de traitement des données (DPA) complet dans le cadre de son contrat-cadre de service. La DPA définit contractuellement les responsabilités de chaque partie dans le cadre du RGPD, en ce qui concerne le stockage, la conservation, la suppression et les droits d'accès des données.

Le problème : les lois sur l'enregistrement sont fragmentées et impitoyables

La plupart des équipes commerciales partent du principe que l'enregistrement d'un appel est acceptable, à condition qu'il y ait un avertissement rapide au début. Et dans certains endroits, c'est vrai. Mais « certains endroits » fait beaucoup de travail dans cette phrase.

Rien qu'aux États-Unis, il n'existe pas de norme fédérale unique pour le consentement à l'enregistrement des appels. Le niveau de référence fédéral, établi par le Loi sur la protection des communications électroniques, suit un modèle de consentement unilatéral, ce qui signifie qu'une seule personne participant à l'appel (généralement vous, la personne qui enregistre) doit être au courant de l'enregistrement. Cela semble assez simple. Mais 13 États américains ont adopté leurs propres lois sur le consentement de toutes les parties, plus strictes, qui obligent chaque participant à un appel à être averti et à donner son consentement avant le début de l'enregistrement.

Imaginez maintenant que vous dirigez une équipe de vente sortante de 15 personnes qui compose des numéros dans les 50 États. Votre représentant à Austin appelle un prospect en Californie. Le Texas suit les règles fédérales relatives au consentement d'un parti unique. La Californie est l'État de consentement multipartite le plus strict du pays, avec des sanctions pénales en cas de violation. Quelle loi s'applique ? La plus stricte. Toujours.

De l'autre côté de l'Atlantique, le règlement général sur la protection des données de l'UE établit un cadre uniforme dans tous les États membres, mais il comporte son propre ensemble d'exigences en matière de consentement, de stockage des données, de délais de suppression et de documentation qui vont bien au-delà d'une annonce préalable à l'appel. L'autorité française de protection des données, la CNIL, ajoute un autre niveau d'application.

Le cadre fédéral canadien de la LPRPDE exige la connaissance et le consentement de toutes les parties pour l'enregistrement des appels, ce qui le rapproche davantage du modèle de l'UE que du niveau de référence du parti unique américain. La Loi 25 du Québec ajoute des exigences provinciales supplémentaires à cela. Le Royaume-Uni maintient des normes équivalentes au RGPD après le Brexit, avec des réglementations supplémentaires concernant les enregistrements internes dans le cadre du RIPA.

Le but n'est pas de vous submerger d'acronymes. Le fait est que la mosaïque de lois qui se chevauchent crée une véritable exposition pour toute équipe qui enregistre les appels sans stratégie de conformité délibérée. Et les conséquences ne sont pas abstraites.

Consentement d'un parti ou consentement de tous les partis : la distinction fondamentale

La chose la plus fondamentale à comprendre à propos de la conformité de l'enregistrement des appels est la différence entre les cadres de consentement unitaires et multipartites (également appelés cadres bipartites ou bipartites).

Consentement d'une seule partie signifie qu'une seule personne à l'appel doit savoir que l'enregistrement est en cours. Si c'est vous qui enregistrez, vous répondez à l'exigence simplement en étant présent. Vous n'avez pas besoin d'avertir l'autre partie. Il s'agit de la base de référence fédérale aux États-Unis, et elle s'applique dans la majorité des États américains, ainsi que dans certains États australiens comme le Queensland.

Consentement de toutes les parties signifie que chaque participant à l'appel doit être informé et doit donner son consentement avant le début de l'enregistrement. Il s'agit de la norme dans 13 États américains, dont la Californie, la Floride, l'Illinois, le Massachusetts, la Pennsylvanie et Washington, dans toute l'UE dans le cadre du RGPD, dans des cadres équivalents au RGPD au Royaume-Uni, au Canada en vertu de la LPRPDE et dans des États australiens tels que la Nouvelle-Galles du Sud et Victoria.

Il y a là une nuance importante : aux États-Unis, « consentement » ne signifie pas nécessairement un « oui » verbal explicite. Dans de nombreuses juridictions américaines, la participation continue à l'appel après une divulgation claire est considérée comme un consentement implicite. C'est pourquoi les annonces préalables à l'appel telles que « Cet appel peut être enregistré à des fins de qualité et de formation » sont si largement utilisées, elles répondent aux exigences de notification et la décision de l'appelant de rester en ligne constitue un consentement dans la plupart des juridictions multipartites américaines. Dans le cadre du RGPD, toutefois, la norme est différente : le consentement implicite n'est pas suffisant, et les entreprises doivent soit obtenir un accord affirmatif, soit s'appuyer sur une base juridique distincte, telle que l'intérêt légitime. Cette distinction est traitée en détail dans la section UE ci-dessous.

Le défi pour les équipes commerciales qui effectuent des appels sortants est que vous ne pouvez pas toujours contrôler où se trouvent vos prospects. Un prospect dont l'indicatif régional est 617 (Boston) appelle depuis le Massachusetts, l'un des États les plus stricts du pays. Un prospect dont l'indicatif régional est 213 (Los Angeles) ou 310 (Beverly Hills) se trouve en Californie. Il ne s'agit pas de cas marginaux obscurs, mais de marchés commerciaux majeurs que toute équipe sortante appellera régulièrement.

Pour les appels entrants, un message de consentement préalable à l'appel permet de résoudre le problème proprement. Pour les appels sortants, la solution nécessite une approche différente, et c'est là que l'ensemble d'outils de conformité d'Allo devient essentiel.

États américains à consentement (double) multipartite : 13 États

Ces États exigent le consentement de toutes les parties avant qu'un appel puisse être enregistré légalement.

State Key Notes
California All-party consent. Violations carry criminal penalties.
Connecticut All-party consent for in-person and phone.
Delaware All-party consent.
Florida All-party consent. Criminal and civil penalties.
Illinois All-party consent. Also has BIPA for biometric data.
Maryland All-party consent.
Massachusetts All-party consent. Strictest state: secret recordings are a felony.
Michigan All-party consent.
Montana All-party consent.
Nevada All-party consent for in-person. One-party for phone (courts vary).
New Hampshire All-party consent.
Pennsylvania All-party consent. Criminal penalties.
Washington All-party consent. Criminal and civil penalties.

Tous les autres États suivent le principe du consentement d'une seule partie (niveau de référence fédéral).

Le modèle à trois niveaux

Des objectifs différents nécessitent différents niveaux de collecte de données. Une session de coaching d'équipe commerciale peut nécessiter la transcription complète, mais pas l'audio. Une équipe chargée de la conformité peut avoir besoin des trois. Une ligne d'assistance client peut n'avoir besoin que du résumé de l'IA. Allo permet à chaque équipe, à chaque ligne, à chaque utilisateur de choisir le bon niveau.

Les trois niveaux :

  1. Résumé de l'IA uniquement: un minimum de données, un maximum de confidentialité. Pas de transcription, pas d'audio. Juste la note d'appel générée par l'IA.
  2. Résumé + transcription: texte complet de l'appel consultable, plus résumé de l'IA. Aucun fichier audio.
  3. Résumé + transcription + audio: enregistrement complet conservé.

Comment Allo aborde la conformité

Allo met à votre disposition quatre outils pour configurer la conformité au sein de votre organisation : le message de consentement, le mode de confidentialité, le contrôle de la transcription et le choix du fournisseur d'IA. Chacune d'entre elles aborde une dimension différente de la situation en matière de conformité et peut être combinée en fonction de vos besoins spécifiques.

1. Message de consentement

Le message de consentement est une annonce automatique qui est diffusée avant que l'appel ne soit connecté, informant l'appelant que la conversation sera enregistrée. L'appelant l'entend avant que quelqu'un ne décroche et, en restant en ligne, il donne son consentement implicite dans la plupart des juridictions américaines.

Cet outil est conçu pour les appels entrants. C'est le moyen le plus fiable de satisfaire simultanément aux exigences de notification dans les États où toutes les parties ont donné leur consentement et dans les juridictions de l'UE/RGPD. Le message est personnalisable afin que vous puissiez adapter la langue à vos exigences légales spécifiques ou à la voix de votre marque, et il peut être activé par numéro de téléphone ou appliqué à l'ensemble de l'organisation.

Pour toute entreprise recevant des appels entrants de clients provenant de plusieurs juridictions, le message de consentement doit simplement être activé, en permanence. Il n'y a aucun inconvénient pratique à notifier les appelants, et cela élimine votre exposition dans chaque juridiction de consentement bipartite à la fois.

Comment ça fonctionne :

  • Le message est lu automatiquement avant que le téléphone ne sonne
  • L'appelant l'entend avant que quelqu'un ne décroche
  • Texte personnalisable
  • Basculer par numéro de téléphone ou à l'échelle de l'organisation

2. Mode de confidentialité

Mode de confidentialité est l'outil le plus important pour les équipes de vente sortantes qui appellent dans des états de consentement de toutes les parties, et cela vaut la peine de passer un peu de temps à comprendre pourquoi il fonctionne ainsi.

Lorsque le mode confidentialité est activé, Allo ne stocke jamais le fichier d'enregistrement audio. L'appel n'est pas enregistré au sens traditionnel du terme. Ce qu'Allo fait à la place, c'est générer une transcription complète et un résumé basé sur l'IA à partir de la conversation en direct en temps réel, et ces sorties, la transcription et le résumé, sont stockées et synchronisées normalement avec votre CRM.

Le mode confidentialité réduit considérablement l'exposition de vos données en éliminant complètement le fichier d'enregistrement audio. Cela est particulièrement utile dans les juridictions où le consentement de toutes les parties est obtenu, où le fichier audio constitue la principale préoccupation juridique. En vertu du RGPD, l'audio et la transcription sont des données personnelles, mais la suppression du fichier audio réduit le volume et la sensibilité des données stockées, ce qui est conforme au principe de minimisation des données du RGPD. Si vous conservez les informations (transcriptions, résumés d'IA, synchronisation CRM), vous perdez l'artefact de données le plus sensible.

Ce que vous conservez lorsque le mode confidentialité est activé : la transcription textuelle complète, le résumé de l'appel généré par l'IA, la synchronisation CRM de la transcription et du résumé, et toutes les métadonnées de l'appel, y compris la durée, l'heure et le résultat. Ce qui est supprimé, c'est exactement une chose : le fichier audio. Aucune lecture dans l'application Allo, aucun lien audio dans les notifications par e-mail.

Activer le mode confidentialité

  1. Contactez le support Allo pour activer le mode confidentialité
  2. Choisissez la portée : par ligne, par utilisateur ou à l'échelle de l'organisation
  3. Le support confirmera une fois activé. Les modifications prennent effet immédiatement.

*Le mode confidentialité est idéal pour les équipes de vente sortantes. Vous recevez toujours des transcriptions vers votre CRM (Attio, HubSpot, Salesforce, etc.), mais aucun fichier audio.

3. Contrôle de la transcription

Pour les équipes qui ont besoin d'un niveau encore plus élevé de minimisation des données, Allo propose Contrôle de la transcription, qui désactive complètement la transcription textuelle. Au lieu d'un enregistrement mot pour mot de la conversation, seuls des résumés générés par l'IA sont produits.

Cela est utile pour les organisations opérant dans le cadre de structures qui découragent spécifiquement le stockage d'enregistrements détaillés des conversations, ou pour les entreprises qui souhaitent minimiser les données personnelles qu'elles conservent à la suite des appels des clients. Selon le principe de minimisation des données du RGPD, ne conserver que ce dont vous avez besoin dans un but légitime constitue à la fois une bonne pratique et, selon certaines interprétations, une obligation.

Lorsque le contrôle de transcription est activé, vous conservez le résumé de l'IA, les métadonnées des appels et la synchronisation CRM du résumé. Ce qui a été supprimé, c'est la transcription complète consultable et le texte attribué à l'orateur. Le comportement d'enregistrement audio est contrôlé séparément.

Activez le contrôle de la transcription

Contacter Allo support pour désactiver la transcription par ligne ou à l'échelle de l'organisation. Le comportement d'enregistrement audio est contrôlé séparément.

4. Choix du fournisseur d'IA

Cet outil est particulièrement pertinent pour les entreprises opérant dans le cadre des exigences de l'UE en matière de juridiction en matière de données ou pour les entreprises qui se sont explicitement engagées à maintenir le traitement des données au sein de l'infrastructure européenne.

Le fournisseur d'IA par défaut d'Allo traite la transcription et la génération de résumés via une infrastructure cloud standard. Pour les équipes qui ont besoin d'un traitement de données européen, Allo offre la possibilité de passer à Mistral, une société française d'IA, pour toutes les tâches d'analyse de l'IA. Cela permet de conserver les données de vos appels au sein de l'infrastructure européenne tout au long du pipeline de traitement de l'IA, ce qui peut être directement pertinent pour la documentation de conformité au RGPD et pour satisfaire aux exigences de résidence des données auprès des entreprises clientes.

Le passage à Mistral ne change rien aux fonctionnalités elles-mêmes, vous obtenez les mêmes résumés de qualité, le même comportement de synchronisation CRM, tout pareil. Il s'agit purement d'une décision en matière d'infrastructure, mais pour certaines organisations, elle est d'une importance capitale.

Changer de fournisseur d'IA

Contacter Allo support pour passer à Mistral. Disponible sur tous les plans.

[[premier bouton]]

Les États-Unis : une réalité État par État

Pour les entreprises basées aux États-Unis, voici le détail pratique de ce à quoi vous avez affaire.

Les 13 États du consentement multipartite sont la Californie, le Connecticut, le Delaware, la Floride, l'Illinois, le Maryland, le Massachusetts, le Michigan, le Montana, le New Hampshire, le Nevada (avec une certaine variabilité des tribunaux en ce qui concerne le téléphone en particulier), la Pennsylvanie et Washington. Tous les autres États suivent la base de référence fédérale en matière de consentement d'un parti unique.

Quelques remarques spécifiques sur les juridictions les plus strictes :

La Californie est l'État de consentement multipartite le plus litigieux du pays et possède la barre des plaignants la plus active en matière d'enregistrement des violations. Si votre équipe appelle régulièrement des prospects californiens, traiter la Californie comme un cas de conformité particulier n'est pas trop prudent, c'est nécessaire.

Le Massachusetts, comme mentionné, traite l'enregistrement secret comme un crime. Cela est vraiment inhabituel, même parmi les États multipartites. Il n'y a pas de zone grise ici.

L'Illinois est remarquable car il possède le BIPA, le Loi sur la protection des renseignements biométriques, qui peut s'appliquer si vos outils d'IA permettent d'identifier les locuteurs, ce qui peut être considéré comme une collecte de données biométriques (en particulier des empreintes vocales). Si vous gérez des appels avec des résidents de l'Illinois et que votre système reconnaît n'importe quel haut-parleur, il s'agit d'une question juridique distincte qui mérite d'être abordée avec un avocat.

Configuration recommandée pour les équipes de vente sortantes qui appellent les 50 États :

Activez le message de consentement pour tous les appels entrants, ce qui vous couvre dans toutes les juridictions américaines en matière de trafic entrant. Activez le mode de confidentialité pour les appels sortants, ce qui signifie qu'aucun fichier audio ne déclenche les lois de consentement de toutes les parties dans les 13 états de double consentement.

Formez vos représentants à ouvrir des appels sortants à des prospects dans des états de double consentement en leur communiquant verbalement rapidement : « Je tiens à vous informer que cet appel peut être transcrit pour des raisons de qualité. » Et synchronisez tout avec votre CRM grâce aux intégrations standard d'Allo, vous conservez l'intelligence, vous perdez toute responsabilité.

Allo développe également des règles de conformité automatiques basées sur les codes régionaux en tant que fonctionnalité de feuille de route. Cela vous permettra de définir des règles telles que « les appels vers les numéros 415, 213, 310 et autres indicatifs régionaux de Californie utilisent automatiquement le mode confidentialité, tandis que les appels vers des numéros du Texas sont enregistrés normalement ». Lorsque cela est expédié, une grande partie de la configuration manuelle disparaît.

UE, Royaume-Uni et international : ce que le RGPD exige réellement

Pour les entreprises opérant dans l'UE ou faisant escale dans l'UE, le RGPD établit le cadre, mais il vaut mieux être précis quant à ses exigences réelles plutôt que de le traiter comme une vague interdiction de collecte de données. Cette section couvre les huit domaines les plus importants.

1. Processeur ou responsable du traitement : qui est responsable de quoi

La première chose à comprendre est de savoir comment le RGPD attribue les responsabilités.

Dans le cadre du RGPD, Allo agit en tant que processeur de données (sous-traitant en droit français) : nous traitons les données relatives aux appels pour le compte de nos clients, mais nous ne déterminons ni la finalité ni les moyens de ce traitement. Votre organisation est responsable du traitement (responsable de traitement), ce qui signifie que vous êtes responsable de déterminer la base légale de l'enregistrement, la portée et la proportionnalité de ce que vous enregistrez, ainsi que la durée pendant laquelle vous le conservez.

Le travail d'Allo est de vous fournir les outils techniques nécessaires pour mettre en œuvre ces décisions. Il ne s'agit pas de rejeter la faute, mais de clarté. Lorsque votre équipe juridique demande « qui est responsable de la conformité au RGPD en matière d'enregistrement des appels ? » , la réponse est la suivante : votre organisation prend les décisions, Allo fournit l'infrastructure nécessaire pour les exécuter en toute conformité. Si vos choix de configuration s'avèrent disproportionnés ou injustifiés, il s'agit d'un problème au niveau du contrôleur. Si Allo ne fournit pas les contrôles techniques dont vous avez besoin, c'est un problème au niveau du processeur.

En pratique, cela signifie qu'Allo vous donne les leviers (bascules d'enregistrement par numéro, mode de confidentialité, contrôles de transcription, paramètres de conservation, choix du fournisseur d'IA) et vous décidez comment les configurer en fonction de vos obligations légales et de vos besoins commerciaux.

2. Base légale : consentement contre intérêt légitime

Le RGPD exige que vous disposiez d'un base légale pour enregistrer les appels. Les deux bases les plus couramment applicables sont le consentement et l'intérêt légitime, et elles fonctionnent de manière très différente.

Consentement selon le RGPD, signifie un accord affirmatif. Contrairement au consentement implicite à l'américaine, où il suffit de rester en ligne après une divulgation, le RGPD exige que le consentement soit donné librement, spécifique, éclairé et sans ambiguïté. Une annonce passive « cet appel peut être enregistré », sans donner à l'appelant le moyen d'accepter ou de refuser activement, ne répond pas à la norme du RGPD si vous vous basez sur le consentement comme base légale. Dans la pratique, cela signifie proposer aux appelants un mécanisme d'acceptation affirmative (appuyez sur 1 pour accepter l'enregistrement) ou un mécanisme de désinscription clair (appuyez sur 2 pour refuser). L'autorité danoise de protection des données a infligé une amende à une agence gouvernementale pour avoir enregistré des appels avec uniquement une notification préalable à l'appel et sans consentement affirmatif, ce qui en fait un véritable risque d'exécution, et non un risque théorique.

Intérêt légitime en vertu de l'article 6, paragraphe 1, point f) du RGPD, constitue une base juridique distincte qui ne nécessite pas de consentement explicite. Si votre entreprise a une raison légitime et documentée d'enregistrer les appels, telle qu'une formation, une assurance qualité, la prévention des fraudes ou une preuve contractuelle, et que cet intérêt ne l'emporte pas sur les droits à la vie privée de l'appelant, vous pouvez enregistrer sans consentement affirmatif. Mais cela nécessite une documentation Évaluation de l'intérêt légitime (LIA), qui constitue un test d'équilibre formel démontrant que vos besoins en matière d'enregistrement l'emportent sur le droit à la vie privée de l'individu. Vous devez toujours informer les appelants que l'enregistrement est en cours, mais vous n'avez pas besoin de leur accord explicite.

La plupart des équipes commerciales et du service client utilisent une combinaison des deux approches : le consentement (avec un opt-in affirmatif) pour les appels entrants lorsque le message de consentement peut gérer correctement le flux de travail, et l'intérêt légitime (avec une documentation appropriée) pour les appels sortants pour lesquels un mécanisme d'opt-in ne serait pas pratique.

La CNIL française, qui est notamment l'une des autorités chargées de faire appliquer le RGPD les plus actives en Europe, ajoute des exigences spécifiques concernant la qualité du consentement : celui-ci doit être donné librement, spécifique et éclairé. Si votre message de consentement pour les appels en français est vague ou caché dans un long menu automatisé, il se peut qu'il ne réponde pas aux normes de la CNIL. Les enregistrements utilisés à des fins de formation à l'IA peuvent également devoir être anonymisés ou faire l'objet d'un consentement distinct conformément aux directives de la CNIL.

3. La proportionnalité : la règle que tout le monde oublie

La CNIL exige que l'enregistrement des appels soit proportionné à son objectif déclaré. C'est là que de nombreuses entreprises rencontrent des difficultés, car l'instinct par défaut est de tout enregistrer.

En matière de suivi de la qualité et de formation, la pratique industrielle standard reconnue par la CNIL consiste à enregistrer environ 20 à 30 % des appels, mais pas tous. L'enregistrement systématique et permanent de chaque appel est généralement interdit à moins qu'une obligation légale spécifique ne l'exige (par exemple pour les transactions de services financiers dans le cadre de la MiFID II, les ventes d'assurance en vertu du Code des assurances français ou les services d'urgence tels que le SAMU). Ce chiffre de 20 à 30 % n'est pas un seuil légal strict, la CNIL n'a jamais fixé de plafond spécifique, mais il apparaît régulièrement dans les décisions d'application et les directives du secteur comme une référence raisonnable en matière de proportionnalité.

Le principe clé est que si vous n'évaluez que quatre appels par employé et par mois à des fins de formation, vous ne pouvez pas justifier l'enregistrement de 100 % des appels de cet employé. La CNIL a sanctionné une entreprise en JANVIER 2020-003 exactement pour cela : enregistrer tous les appels lorsque le responsable de formation n'écoutait qu'un seul enregistrement par salarié et par semaine.

C'est là que la configuration par numéro d'Allo devient essentielle pour la conformité avec l'UE. En activant l'enregistrement sur certaines lignes (par exemple, les ventes sortantes) et en le désactivant sur d'autres (par exemple, support ou interne), vous pouvez démontrer la proportionnalité au niveau de l'organisation. Le modèle à trois niveaux d'Allo (résumé IA uniquement, résumé + transcription, ou résumé + transcription + audio) vous offre une granularité supplémentaire pour adapter le niveau de collecte de données à chaque cas d'utilisation.

Un autre point qui joue fortement en faveur d'Allo : les appels internes entre numéros Allo sont automatiquement exclus de l'enregistrement. Lorsque les membres de votre équipe s'appellent, aucun résumé audio, aucune transcription ou aucun résumé basé sur l'IA n'est généré, et les responsables n'ont pas accès aux données internes des appels. Cela répond directement aux exigences de la CNIL en matière de confidentialité des employés et empêche le type de surveillance interne permanente que les régulateurs considèrent comme disproportionnée.

4. Protections des employés

La conformité à l'enregistrement des appels dans l'UE, et en particulier en France, ne concerne pas uniquement les personnes que vous appelez. Il s'agit également des employés qui passent ces appels. Le droit du travail français et la CNIL imposent des obligations spécifiques aux employeurs qui enregistrent les appels de leurs employés :

Les employés doivent être informés. Avant le déploiement de tout système d'enregistrement, les employés doivent être informés que leurs appels peuvent être enregistrés, pendant quelles périodes, à quelles fins et qui aura accès aux enregistrements. Ces informations doivent être suffisamment précises pour que les employés sachent quand elles sont enregistrées et ne le sont pas.

Les représentants du personnel doivent être consultés. Si votre organisation dispose d'un CSE (Comité Social et Économique), celui-ci doit être informé et consulté avant la mise en place de tout système d'enregistrement des appels. Il s'agit d'une exigence procédurale en droit du travail français, et ne pas la respecter peut invalider l'ensemble du système d'enregistrement.

Les employés doivent avoir accès à des lignes non enregistrées. La CNIL impose aux employeurs de fournir des lignes téléphoniques ou un mécanisme technique permettant aux employés de passer des appels personnels sans être enregistrés. Il en va de même pour les appels passés par les représentants du personnel dans l'exercice de leurs fonctions syndicales ou représentatives.

L'enregistrement ne peut pas être constant. Au-delà de la règle de proportionnalité pour les clients, la CNIL est particulièrement stricte en ce qui concerne les enregistrements des employés. Vous ne pouvez pas enregistrer les appels d'un employé 24 h/24 et 7 j/7. Si l'objectif est la formation, les enregistrements doivent être limités à des périodes spécifiques et à un sous-ensemble défini d'appels.

Allo répond à plusieurs de ces exigences dès le départ. Les appels internes entre les numéros Allo ne sont pas enregistrés, ce qui donne aux employés un canal intégré pour les communications internes non enregistrées. Chaque utilisateur peut également gérer un liste de favoris des contacts exclus de l'enregistrement, fournissant un mécanisme simple pour respecter la confidentialité des appels personnels. Et les bascules d'enregistrement par numéro et par utilisateur permettent aux organisations de configurer exactement quelles lignes sont enregistrées et lesquelles ne le sont pas.

5. Obligations d'information : le modèle à deux niveaux de la CNIL

La CNIL recommande une approche de l'information à deux niveaux pour l'enregistrement des appels, qui va au-delà d'une simple annonce préalable à l'appel.

Premier niveau : brève mention orale au début de l'appel. Cela devrait couvrir l'existence de l'enregistrement, son objectif (contrôle de la qualité, formation, preuve contractuelle, etc.) et le droit de l'appelant de s'opposer ou, le cas échéant, la nécessité de donner son consentement. Il doit également mentionner la possibilité de conclure l'interaction par d'autres moyens, le cas échéant (par exemple, en ligne, par courrier). C'est ce que gère le message de consentement d'Allo.

Deuxième niveau : renvoi à des informations détaillées. La divulgation complète de l'article 13 du RGPD étant trop longue pour être lue par téléphone, la CNIL recommande de diriger les appelants vers l'URL d'un site Web ou d'appuyer sur une touche (par exemple, « appuyez sur 1 pour plus d'informations sur nos pratiques de confidentialité ») où ils peuvent accéder à la déclaration de confidentialité complète couvrant : l'identité du responsable du traitement, les finalités et la base légale de l'enregistrement, la période de conservation des données, les destinataires des données et les droits de l'appelant (accès, rectification), suppression, opposition).

En pratique, cela signifie que votre message de consentement ne doit pas simplement indiquer « cet appel peut être enregistré ». Il doit indiquer l'objectif et indiquer à l'appelant un endroit où il peut obtenir la divulgation complète de la confidentialité. Par exemple : « Cet appel peut être enregistré à des fins de qualité et de formation. Pour plus d'informations sur la manière dont vos données sont traitées, rendez-vous sur withallo.com/privacy ou appuyez sur 1. »

6. Conservation : combien de temps pouvez-vous conserver quoi

La conformité ne s'arrête pas à la fin de l'appel. La CNIL fournit des directives de conservation spécifiques en fonction de la finalité de l'enregistrement :

Des enregistrements audio pour la qualité et la formation : maximum 6 mois à compter de la collecte. Il s'agit de la recommandation standard de la CNIL, et c'est la référence sur laquelle la plupart des organisations devraient s'aligner.

Documents d'analyse (résumés des appels, grilles d'évaluation, notes de coaching dérivées des enregistrements) : maximum 1 an. Cela inclut les résumés générés par l'IA.

Les enregistrements comme preuve contractuelle (par exemple, un accord verbal portant sur une vente conclue par téléphone, lorsqu'aucun contrat écrit n'existe) : jusqu'à 5 ans, ce qui correspond au délai de prescription général en droit civil français. Une fois qu'un contrat écrit ou une autre preuve est obtenu, l'enregistrement doit être supprimé.

Les exigences spécifiques à l'industrie prévalent sur les règles générales. HIPAA exige une conservation minimale de 6 ans pour les dossiers médicaux, qui peuvent inclure des enregistrements d'appels contenant des informations sur les patients. SOX exige une conservation de 7 ans pour les dossiers financiers. La MiFID II impose de conserver les appels liés aux services d'investissement pendant 5 à 7 ans selon les États membres.

CCPA nécessite de répondre aux demandes de suppression dans un délai de 45 jours.

Allo conserve les enregistrements jusqu'à trois ans par défaut. Pour les organisations qui ont besoin d'une conservation alignée sur la CNIL, Allo peut configurer la suppression automatique à 6 mois pour les enregistrements audio et à 12 mois pour les transcriptions et les documents d'analyse, conformément aux recommandations de la CNIL. Pour les clients professionnels, des politiques de rétention personnalisées sont disponibles sur demande.

7. Droits des personnes concernées : accès, suppression et droit à l'oubli

En vertu du RGPD, les personnes dont vous enregistrez les appels disposent de droits spécifiques que votre organisation doit être en mesure de respecter :

Droit d'accès (article 15) : Toute personne peut demander une copie de son enregistrement d'appel et de toutes les données qui en découlent (y compris les transcriptions et les résumés de l'IA). Vous devez répondre dans un délai de 30 jours (extensible à 90 jours pour les demandes complexes). Cela signifie que votre système doit être capable de rechercher, de localiser et d'exporter des enregistrements spécifiques à la demande.

Droit à l'effacement/droit à l'oubli (article 17) : Une personne peut vous demander de supprimer toutes les données que vous détenez à son sujet, y compris les enregistrements d'appels, les transcriptions et les résumés de l'IA. Vous devez vous y conformer, sauf si vous avez l'obligation légale de conserver les données (par exemple, des exigences réglementaires financières) ou si les données sont toujours nécessaires à leur objectif initial. Lorsqu'un contact est supprimé dans Allo, tous les enregistrements, transcriptions et résumés associés sont également supprimés.

Droit d'opposition (article 21) : Si votre base légale d'enregistrement est l'intérêt légitime (et non le consentement), l'appelant a le droit de s'opposer à l'enregistrement. Dans ce cas, vous devez arrêter l'enregistrement à moins que vous ne puissiez démontrer des motifs légitimes impérieux qui l'emportent sur leurs intérêts. En pratique, cela signifie que vos représentants ont besoin d'un moyen d'arrêter ou de désactiver l'enregistrement en cours d'appel si un appelant s'y oppose, ou si le système doit être configuré pour respecter les désinscriptions.

Droit de rectification (article 16) : Si les données personnelles contenues dans un enregistrement ou une transcription sont inexactes, la personne peut demander la correction. Pour les enregistrements audio, cela n'est pas pratique, mais pour les transcriptions et les résumés d'IA, cela peut impliquer de mettre à jour ou d'annoter des informations inexactes.

Remarque importante : ces droits s'appliquent aux données, où qu'elles se trouvent. Si vous envoyez des enregistrements et des résumés à votre CRM (HubSpot, Salesforce, Attio, Pipedrive), une demande de suppression signifie la suppression des données d'Allo et du CRM. Vos politiques de rétention CRM doivent être alignées sur vos politiques de rétention Allo.

8. DPA et documentation

Pour les entreprises clientes et toute organisation qui prend au sérieux la conformité au RGPD, la couche contractuelle compte autant que la couche technique.

Allo fournit une gamme complète Accord de traitement des données (DPA) dans le cadre de son contrat-cadre de service. La DPA définit contractuellement les responsabilités de chaque partie dans le cadre du RGPD : Allo en tant que responsable du traitement des données et votre organisation en tant que responsable du traitement des données. Il couvre les emplacements de stockage des données, les obligations de conservation et de suppression, les divulgations des sous-traitants, les procédures de notification des violations et les droits d'audit.

Si vous êtes en train d'évaluer Allo pour un déploiement en entreprise, le DPA est le document que votre équipe juridique souhaitera consulter. Il précise par écrit ce qu'il advient de vos données, qui est responsable de quoi et ce à quoi Allo s'engage contractuellement. Pour les secteurs réglementés ou les organisations qui ont fait l'objet d'un audit RGPD, la DPA fournit la trace écrite qui démontre que votre chaîne d'approvisionnement est conforme.

Au-delà de la DPA, les organisations opérant dans le cadre du RGPD doivent maintenir :

  • UNE enregistrement des activités de traitement (Article 30) qui inclut l'enregistrement des appels en tant qu'activité de traitement des données, avec son objectif, sa base légale, sa période de conservation et ses destinataires.
  • UNE Évaluation de l'intérêt légitime si vous vous basez sur l'intérêt légitime comme base légale pour l'enregistrement.
  • Documentation de l'employé information et consultation si vous avez déployé l'enregistrement des appels sur un lieu de travail français.

Royaume-Uni et Canada : notes spécifiques à chaque juridiction

Pour les opérations au Royaume-Uni, le cadre est équivalent au RGPD dans le cadre du RGPD britannique, avec l'ajout de la RIPA (Regulation of Investigatory Powers Act), qui autorise les enregistrements à des fins purement internes (formation, prévention des fraudes) sans consentement explicite tant que les enregistrements restent internes et répondent aux exigences de protection des données.

Pour les appels canadiens, la LPRPDE fédérale exige le consentement éclairé de toutes les parties, y compris la notification de l'enregistrement, de ses objectifs et l'accord de chaque personne pour procéder. La Loi 25 du Québec ajoute des exigences provinciales plus strictes en plus du cadre fédéral. Il est essentiel d'activer le message de consentement pour tous les appels entrants canadiens, et pour les appels sortants, les représentants doivent divulguer verbalement l'enregistrement au début de chaque conversation. Les régulateurs financiers canadiens sont de plus en plus actifs dans l'application de la confidentialité des données, et les prospects des secteurs réglementés tels que la planification financière s'attendront à ce que vous indiquiez où les données des appels sont stockées et comment elles sont protégées.

Résumés et transcriptions basés sur l'IA : les mêmes règles s'appliquent

Une question revient régulièrement : l'utilisation de l'IA pour transcrire et analyser les appels crée-t-elle des obligations de conformité distinctes en plus des règles d'enregistrement des appels ?

La réponse courte est oui, avec des nuances. La transcription en temps réel et l'analyse par IA sont généralement traitées de la même manière que l'enregistrement dans la plupart des cadres de consentement, le même consentement qui couvre l'enregistrement couvre la transcription. Mais il existe des situations spécifiques où des considérations supplémentaires s'appliquent.

BIPA de l'Illinois est le principal film à surveiller aux États-Unis. Si votre système de transcription utilise l'identification du locuteur ou la biométrie vocale, cela peut être considéré comme une collecte de données biométriques dans le cadre du BIPA, qui a ses propres exigences en matière de consentement et de divulgation. Il s'agit d'un domaine contentieux actif dans l'Illinois qui mérite une attention particulière si vous avez un volume d'appels important avec des contacts basés dans l'Illinois.

AB 2013 de Californie et Loi du Texas les deux exigent la divulgation lorsque l'IA est utilisée pour analyser les appels. Votre message de consentement doit mentionner explicitement l'analyse de l'IA, et pas seulement l'enregistrement. « Cet appel peut être enregistré et analysé à l'aide de l'IA à des fins de qualité et de formation » est plus complet juridiquement que « Cet appel peut être enregistré ».

Les résumés générés par l'IA sont traités comme des données dérivées dans la plupart des frameworks. Les mêmes règles de conservation et d'accès que celles qui s'appliquent aux enregistrements s'appliquent aux résumés. Si un client de l'UE demande la suppression de ses données, cela inclut le résumé de son appel par l'IA.

Il existe également une considération spécifique de la CNIL concernant données bancaires: si votre équipe gère des appels où les clients partagent des numéros de carte de crédit ou des informations bancaires, la CNIL exige que votre système d'enregistrement soit en mesure de suspendre ou d'exclure cette partie de l'appel. La CNIL a rendu de multiples décisions exécutoires sur ce point, considérant les informations bancaires comme nécessitant une protection renforcée en raison des risques de fraude. Si Allo enregistre un appel au cours duquel un client lit un numéro de carte, ce segment doit idéalement être exclu de l'enregistrement et de la transcription.

Conclusion

La conformité de l'enregistrement des appels n'est pas une case à cocher unique. Il s'agit d'une décision de configuration permanente qui reflète votre lieu d'activité, les personnes que vous appelez et l'utilisation que vous faites des données que vous collectez. La bonne nouvelle, c'est qu'avec les bons outils en place, rester en conformité ne signifie pas renoncer à quoi que ce soit. Le mode de confidentialité, le message de consentement, les contrôles de transcription et les options des fournisseurs d'IA d'Allo sont spécialement conçus pour permettre aux équipes commerciales de recueillir les informations dont elles ont besoin à chaque appel, tout en éliminant le risque juridique lié aux pratiques d'enregistrement non gérées.

Si vous n'êtes pas sûr de l'état de votre configuration actuelle, c'est une bonne raison de passer 30 minutes à revoir votre configuration Allo. Il est beaucoup plus facile d'avoir une conversation sur la conformité avant que quelque chose ne se passe mal qu'après.

No items found.
Essayez Allo
Essayez Allo

Demo

Autres article récemment publiés

Télésecrétariat

Best AI Answering Services for HVAC (2026 selection)

Six AI answering services for HVAC teams, compared on cost, mobile access, and what actually matters on a busy day.

Lire l'article
SMB Tech & Trends

Cold Calling : ce qui fonctionne réellement en 2026

Basé sur notre masterclass avec Pauline Perez et Adrien Gaucher, organisée au Morning Général à Paris, et sur des entretiens approfondis menés avec Pauline sur l'art du cold calling B2B.

Lire l'article
SMB Tech & Trends

Comment le RaaS a tué le SaaS (et pourquoi c'est une bonne nouvelle)

– Le point de vue de notre CEO sur la prochaine grande évolution des logiciels

Lire l'article

Boostez votre productivité

Vos appels, vos messages vocaux et vos SMS dans une seule app.
Testez Allo gratuitement pendant 7 jours.

Essayer Allo
Essayer Allo
Voir les tarifs
Voir les tarifs
Mockup illustration of Allô product.