RGPD et agents vocaux IA : ce que votre prestataire ne vous dit pas

Vous avez décidé de déployer un standard téléphonique IA dans votre entreprise. Vous avez évalué les fonctionnalités, comparé les prix, fait une démo. Mais avez-vous pensé à vérifier où vont les données vocales de vos clients ?

Dans 90% des cas, la réponse est : aux États-Unis. Et dans 90% des cas, ni vous ni votre client n'avez été informés comme le RGPD l'exige.

---

Ce que les agents vocaux IA traitent comme données

Quand un client appelle votre standard téléphonique IA, plusieurs types de données sont traitées :

1. La voix

L'enregistrement audio brut de la conversation. Ce sont des données personnelles au sens du RGPD — la voix d'une personne est identifiante. Dans certains cas (si l'on peut déduire des informations de santé, des opinions, etc. depuis la conversation), ce peut être des données sensibles (catégorie spéciale de l'article 9).

2. La transcription

La plupart des agents vocaux IA transcrivent la conversation (Speech-to-Text) pour alimenter le LLM. Cette transcription contient toutes les informations échangées : nom, numéro de commande, adresse, problème de santé, situation financière... selon votre secteur.

3. Les métadonnées téléphoniques

Numéro appelant, heure d'appel, durée, localisation estimée. Ces métadonnées sont des données personnelles.

4. Le contenu traité par le LLM

Le LLM (GPT-4, Gemini, Llama...) reçoit la transcription pour générer une réponse. Si le LLM est hébergé hors UE, toutes ces données y transitent.

---

Le problème avec les solutions américaines

Vapi, Retell, Bland.ai, ElevenLabs

Ces plateformes sont toutes basées aux États-Unis. Leurs serveurs sont principalement localisés en Amérique du Nord. Quand vos données clients transitent par ces services, elles quittent l'Union Européenne.

Le RGPD (article 46) impose des garanties pour tout transfert de données hors UE :

• Décision d'adéquation de la Commission européenne
• Clauses contractuelles types (CCT/SCC)
• Règles d'entreprise contraignantes (BCR)

Le Data Privacy Framework (DPF) entre l'UE et les USA, en vigueur depuis juillet 2023, permet certains transferts — mais il a déjà été contesté juridiquement (Schrems I et II), et les activistes de la vie privée continuent de le challenger. Même avec DPF, l'entreprise américaine doit être certifiée DPF, et vous devez vérifier cette certification.

Dans la pratique : la plupart des PME qui utilisent Vapi ou Retell n'ont ni vérifié la certification DPF de leur prestataire, ni mis en place de DPA (Data Processing Agreement), ni informé leurs clients des transferts hors UE. C'est une non-conformité.

Ce que dit la CNIL sur la téléphonie IA

La CNIL a publié des lignes directrices sur les systèmes d'IA. Ses exigences clés pour la téléphonie IA :

• Information préalable — le client doit être informé qu'il parle à un système automatisé (article 13 du RGPD)
• Base légale — il faut une base légale pour traiter les données (consentement, intérêt légitime, exécution du contrat)
• Durée de conservation — les enregistrements et transcriptions doivent être supprimés selon des délais définis
• Droit d'accès et d'opposition — vos clients peuvent demander à ne pas interagir avec un système automatisé
• Sous-traitant — si vous utilisez un prestataire, vous devez avoir un DPA avec lui

---

Les 5 questions à poser à votre prestataire

Avant de signer avec un fournisseur d'agent vocal IA, posez ces 5 questions :

1. "Où sont hébergées mes données ?"

La réponse attendue : dans l'Union Européenne, idéalement en France. Toute réponse vague ("nos données sont sécurisées", "nous respectons les standards internationaux") est un signal d'alerte.

2. "Proposez-vous un DPA (Data Processing Agreement) ?"

Sans DPA, vous n'avez aucun cadre contractuel pour le traitement de vos données. Le DPA doit préciser les catégories de données traitées, les sous-traitants, les mesures de sécurité et les durées de conservation.

3. "Quels sont vos sous-traitants ?"

Un agent vocal IA utilise généralement plusieurs briques tierces : STT (transcription), LLM (intelligence), TTS (synthèse vocale), téléphonie. Chaque brique est un sous-traitant. Vous devez savoir où se trouvent tous ces sous-traitants.

4. "Mes données transitent-elles hors UE ?"

Soyez précis : est-ce que les transcriptions de mes conversations clients transitent par des serveurs hors UE ? La réponse honnête peut être "oui, via le LLM" — ce qui est acceptable si les garanties juridiques sont en place.

5. "Quelle est votre politique de suppression des données ?"

Combien de temps conservez-vous les enregistrements ? Les transcriptions ? Peut-on demander la suppression en cours de contrat ?

---

Ce que Noteefy fait concrètement pour votre conformité

Hébergement France

La base de données Firestore est hébergée dans la région europe-west9 (Paris). Vos données clients ne quittent pas la France.

Transparence sur les sous-traitants

Nos sous-traitants sont publics sur notre page À propos :

• Google Firebase / Firestore — stockage Paris (europe-west9)
• Twilio — infrastructure téléphonie
• Google Gemini — LLM principal
• Groq — LLM alternatif
• Stripe — paiement

Information des appelants

Noteefy permet de configurer un message d'accueil qui informe l'appelant qu'il interagit avec un assistant automatisé. Cette transparence est recommandée par la CNIL.

DPA disponible sur demande

Un Data Processing Agreement est disponible sur simple demande à contact@noteefy.fr.

---

---

Articles liés :

• Agent vocal IA RGPD France — présentation Noteefy
• Alternative à Vapi en France — comparatif
• Politique de confidentialité Noteefy