Depuis mai 2018 et l'entrée en vigueur du RGPD, la CNIL a prononcé plus de 430 millions d'euros de sanctions en France. Pourtant, 62 % des entreprises françaises qui déploient un agent IA conversationnel n'ont pas formalisé de cartographie des traitements de données associée. Ce guide vous donne les outils concrets pour que votre agent IA - chatbot, callbot ou voicebot - soit conforme dès le premier jour, sans improviser en mode rattrapage.

Les agents IA sont-ils soumis au RGPD ?

La réponse est oui, sans ambiguïté. Dès qu'un agent IA traite des données à caractère personnel, le RGPD s'applique intégralement - quelle que soit la technologie sous-jacente.

Un chatbot qui collecte un prénom et un email pour qualifier un prospect traite des données personnelles. Un callbot qui reconnaît une voix, qui enregistre une conversation ou qui accède à un historique client dans un CRM traite des données personnelles. Un voicebot qui mémorise les intentions d'achat d'un appelant traite des données personnelles.

Les traitements concernés sont nombreux :

  • Données d'identité - nom, prénom, numéro client, email, téléphone
  • Données vocales - enregistrements, empreintes vocales (données biométriques soumises à régime renforcé)
  • Données comportementales - historique de conversation, intentions exprimées, parcours de navigation
  • Données déduites - segmentation, scoring, prédictions générées par l'IA à partir des échanges

Le RGPD désigne votre entreprise comme responsable de traitement et votre fournisseur d'agent IA comme sous-traitant. Cette distinction a des conséquences directes sur les contrats à signer et les responsabilités en cas d'incident.

Cartographier les traitements de données de votre agent IA

Avant tout déploiement, trois questions structurantes doivent trouver une réponse documentée.

Quelles données sont collectées ?

Listez exhaustivement chaque donnée que l'agent IA peut recevoir, stocker ou transmettre. Incluez les données que l'utilisateur fournit volontairement (son nom, sa demande) et celles que le système génère automatiquement (log de session, timestamp, identifiant technique).

Pour quelles finalités ?

Chaque traitement doit avoir une finalité légitime, déterminée et explicite. "Améliorer le service" ne constitue pas une finalité suffisamment précise. En revanche, "traiter les demandes de support niveau 1 et transférer les cas complexes à un agent humain" l'est. La finalité conditionne la base légale applicable : consentement, intérêt légitime, exécution du contrat ou obligation légale.

Pendant combien de temps ?

Les durées de conservation doivent être définies par catégorie de données. Les enregistrements vocaux non nécessaires à la gestion d'un litige n'ont pas à être conservés indéfiniment. Une durée de 30 jours glissants pour les logs de conversation et 12 mois pour les enregistrements à finalité qualité constituent des pratiques courantes et défendables devant la CNIL.

Privacy by Design : intégrer la conformité dès la conception

L'article 25 du RGPD impose la protection des données dès la conception (Privacy by Design) et par défaut (Privacy by Default). Concrètement, cela signifie que les mécanismes de protection ne s'ajoutent pas après coup : ils font partie de l'architecture technique dès le premier jour.

Ce que Privacy by Design signifie pour un agent IA

Ne collecter que les données strictement nécessaires à la finalité déclarée. Si l'agent IA gère uniquement la prise de rendez-vous, il n'a pas à stocker le motif médical de l'appel au-delà de la durée de la session.

Pseudonymiser les données dès que possible. Les logs de conversation peuvent être conservés avec un identifiant anonymisé plutôt qu'avec le nom et le numéro de téléphone de l'appelant.

Chiffrer les données au repos et en transit. Toute conversation vocale stockée doit être chiffrée ; les API entre l'agent IA et le CRM doivent utiliser des connexions sécurisées (TLS 1.2 minimum).

Intégrer les droits RGPD dans les flux applicatifs. Le droit d'accès, le droit de rectification et le droit à l'effacement doivent pouvoir être traités sans intervention manuelle lourde - idéalement par un processus automatisé déclenché en quelques clics.

La checklist conformité RGPD en 10 points

Ces 10 points couvrent les vérifications à effectuer avant la mise en production d'un agent IA, et à auditer annuellement.

  1. Registre des traitements mis à jour - Le traitement associé à l'agent IA figure dans votre registre CNIL avec finalité, base légale, catégories de données, durées de conservation et destinataires.
  2. DPA signé avec le fournisseur - Un Data Processing Agreement conforme à l'article 28 du RGPD est en place avec votre éditeur d'agent IA. Il détaille les mesures de sécurité et les engagements en cas de violation.
  3. Information des utilisateurs - Une mention d'information claire est présentée avant (ou au début de) chaque interaction : l'utilisateur sait qu'il interagit avec un agent IA et connaît les données collectées.
  4. Consentement pour les enregistrements vocaux - Si l'agent IA enregistre les conversations, un consentement explicite est recueilli avant l'enregistrement (message d'annonce + confirmation).
  5. Hébergement en France ou dans l'UE - Les données ne transitent pas hors UE. Si un LLM tiers est utilisé (OpenAI, Google, etc.), vérifiez la localisation des serveurs et l'existence d'un addendum RGPD.
  6. Durées de conservation définies et appliquées - Des règles de purge automatique sont paramétrées. Les données ne sont pas conservées par défaut indéfiniment.
  7. Droits des personnes exercés sous 30 jours - Un processus documenté permet de traiter toute demande d'accès, rectification, portabilité ou suppression dans le délai légal.
  8. Sous-traitants en cascade identifiés - Les sous-traitants du fournisseur (hébergeur, fournisseur de STT, de TTS, de LLM) sont listés et couverts par un DPA en cascade.
  9. Analyse d'impact (AIPD) si nécessaire - Pour les traitements à grande échelle de données sensibles (santé, données vocales biométriques), une analyse d'impact a été réalisée avant mise en production.
  10. Procédure de notification de violation - En cas de violation de données impliquant l'agent IA, la procédure de notification à la CNIL sous 72 heures est documentée et testée.

Hébergement France et souveraineté : un avantage concurrentiel B2B en 2026

La localisation des données est devenue un argument commercial à part entière dans les appels d'offres B2B et publics français.

Pourquoi les grands comptes l'exigent

Depuis l'invalidation du Privacy Shield en 2020 et les incertitudes persistantes sur le cadre EU-US Data Privacy Framework, les directions juridiques des grandes entreprises françaises ont durci leurs exigences. Transférer des données personnelles de clients vers des serveurs américains, même via un LLM de qualité, expose l'entreprise à un risque juridique documenté.

Dans le secteur de la santé, l'hébergement doit être certifié HDS (Hébergeur de Données de Santé). Dans le secteur public et les opérateurs d'importance vitale, le label SecNumCloud est de plus en plus requis. Ces certifications ne s'obtiennent que sur des infrastructures hébergées en France.

L'effet différenciateur dans les cycles de vente

Pour un prestataire B2B qui propose un agent IA à ses clients finaux, l'hébergement France devient un argument de closing. Les équipes achats des grands comptes intègrent désormais un questionnaire RGPD dans leurs processus de qualification des fournisseurs. Répondre "données hébergées en France, DPA disponible sur demande, sous-traitants en cascade documentés" raccourcit les cycles de validation juridique de plusieurs semaines.

TALKR : agents IA agentiques RGPD by design depuis 2011

TALKR développe des agents IA conversationnels depuis 2011 - avant même l'entrée en vigueur du RGPD. Cette ancienneté se traduit par une architecture pensée pour la conformité, pas adaptée à la va-vite.

Infrastructure et hébergement

Les données traitées par les agents TALKR sont hébergées en France sur des serveurs souverains. Aucun transfert hors UE n'est effectué par défaut. Pour les secteurs nécessitant un niveau de contrôle supérieur, TALKR propose deux options : un déploiement en cloud privé dédié (infra isolée dans un datacenter certifié en France) et un déploiement on-premise sur l'infrastructure de l'entreprise cliente.

Enregistrement vocal et consentement

Le module d'enregistrement vocal de TALKR intègre nativement le recueil du consentement explicite. Un message d'annonce personnalisable est diffusé en début d'appel. L'appelant peut refuser l'enregistrement sans être pénalisé dans sa demande. Les enregistrements sont chiffrés au repos et soumis à des règles de purge paramétrables.

Droits RGPD intégrés dans la plateforme

Les droits d'accès, de rectification, d'opposition et d'effacement sont accessibles via l'interface d'administration de la plateforme. Une demande de suppression peut être traitée en quelques minutes, sans développement spécifique. Les exports de données pour le droit à la portabilité sont disponibles en formats standards.

DPA disponible sur demande

TALKR fournit un Data Processing Agreement conforme à l'article 28 du RGPD à chaque client entreprise. Le DPA liste les sous-traitants en cascade (hébergeur, fournisseurs de STT/TTS), les mesures de sécurité mises en œuvre et les engagements en cas de violation de données.

Questions fréquentes sur la conformité RGPD des agents IA

Un agent IA (chatbot, callbot, voicebot) est-il soumis au RGPD ?

Oui, sans exception. Dès qu'un agent IA traite des données à caractère personnel - nom, voix, numéro de téléphone, historique de conversation - le RGPD s'applique. Le règlement européen couvre tout traitement automatisé de données personnelles, quelle que soit la technologie utilisée. Un callbot qui enregistre une voix ou un chatbot qui collecte un email sont tous deux soumis aux obligations du RGPD.

Qu'est-ce qu'un DPA (Data Processing Agreement) pour un agent IA ?

Un DPA est le contrat de sous-traitance RGPD entre votre entreprise (responsable de traitement) et le fournisseur de votre agent IA (sous-traitant). Il précise les catégories de données traitées, les finalités, les mesures de sécurité, la durée de conservation, les modalités de suppression et les engagements en cas de violation. Tout fournisseur sérieux doit vous fournir un DPA signable sur demande.

Le consentement est-il obligatoire pour déployer un agent IA vocal ?

Le consentement explicite est obligatoire pour l'enregistrement des conversations vocales. L'article 7 du RGPD et la loi française imposent d'informer l'appelant qu'il parle à un agent IA et que la conversation peut être enregistrée, avant de commencer à collecter des données. Un message d'annonce en début d'appel suivi d'une confirmation verbale constitue la pratique recommandée par la CNIL.

Pourquoi exiger un hébergement en France pour son agent IA ?

L'hébergement en France garantit que les données personnelles ne quittent pas le territoire de l'UE, supprimant le risque de transfert vers des pays tiers sans niveau de protection adéquat. Pour les secteurs réglementés (santé, finance, collectivités), c'est souvent un prérequis contractuel. En 2026, les grands comptes intègrent systématiquement ce critère dans leurs appels d'offres.

Quelles sanctions risque-t-on en cas de non-conformité RGPD d'un agent IA ?

Les sanctions RGPD peuvent atteindre 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros, le montant le plus élevé étant retenu. Au-delà de l'amende, la CNIL peut prononcer une mise en demeure publique ou une interdiction temporaire de traitement - ce qui peut bloquer l'usage de l'agent IA dans l'entreprise. Les contrôles CNIL sur les agents conversationnels se sont intensifiés depuis 2024.