Votre téléphone sonne. Une voix fluide, naturelle, vous souhaite le bonjour et vous propose un rendez-vous ou vous informe d'une livraison. Vous répondez. La conversation se déroule normalement. Et puis le doute s'installe : est-ce que je parle à un humain ?
En 2026, cette situation est quotidienne pour des millions de Français. Les agents vocaux IA — également appelés callbots, voicebots ou IA conversationnelles téléphoniques — gèrent des dizaines de millions d'appels chaque mois. Et pourtant, la question du consentement reste largement floue : ni les particuliers ne savent clairement quels sont leurs droits, ni toutes les entreprises ne savent précisément ce qu'elles sont autorisées à faire.
Cet article démêle les obligations légales, les droits des personnes, et les bonnes pratiques de conformité — sous le prisme du RGPD, de l'AI Act 2025 et des recommandations de la CNIL.
Définition — Agent vocal IA (callbot) : système d'intelligence artificielle capable de conduire une conversation téléphonique en langage naturel, en comprenant la parole de l'interlocuteur et en formulant des réponses vocales synthétisées en temps réel, sans intervention humaine directe.
Les 7 types de consentement que vous devez connaître
Le consentement n'est pas monolithique. En droit de la protection des données et en pratique IA, il existe sept formes distinctes, chacune avec ses conditions de validité et son niveau de protection.
| Type de consentement | Définition | Validité RGPD pour appel IA |
|---|---|---|
| Explicite / Exprès | Manifestation de volonté claire, active et documentée (cocher une case, répondre "oui" à une confirmation) | ✅ Requis en B2C |
| Éclairé | La personne a reçu une information complète sur qui appelle, pourquoi, comment ses données seront traitées | ✅ Condition préalable à tout consentement valide |
| Implicite | Déduit d'un comportement ou d'une relation préexistante (ex : client actif) | ⚠️ Insuffisant seul en B2C — acceptable en B2B sous conditions |
| Granulaire | Donné séparément pour chaque finalité (appel de confirmation, appel commercial, appel de relance) | ✅ Best practice CNIL — distinguer les finalités |
| Par option (opt-in) | La personne s'inscrit activement pour recevoir des communications | ✅ Standard recommandé pour les appels sortants |
| Par option de retrait (opt-out) | La personne est incluse par défaut et peut se désinscrire | ⚠️ Acceptable uniquement en B2B — interdit en B2C pour prospection |
| Révocable | Le consentement peut être retiré à tout moment, aussi facilement qu'il a été donné | ✅ Obligatoire — tout consentement RGPD est par définition révocable |
Le principe central du RGPD est que le consentement doit être aussi facile à retirer qu'à donner. Un client ayant accepté d'être rappelé par un agent IA doit pouvoir révoquer ce consentement en un geste simple — pendant l'appel ("je ne souhaite plus être contacté"), par email, ou via un lien de désabonnement.
Ce que dit le RGPD quand une IA vous appelle
Le RGPD (Règlement Général sur la Protection des Données) s'applique pleinement aux agents vocaux IA dès lors qu'ils traitent des données à caractère personnel — ce qui est inévitable : numéro de téléphone, voix, contenu de la conversation, heure d'appel, identité du client.
Article 6 : la base légale du traitement
Toute entreprise déployant un agent vocal IA doit s'appuyer sur une base légale explicite pour traiter les données de l'appelant. Six bases légales existent sous le RGPD :
- Consentement (Art. 6.1.a) — la personne a donné son accord préalable. C'est la base la plus solide et la plus recommandée pour les appels sortants B2C.
- Exécution d'un contrat (Art. 6.1.b) — l'appel est nécessaire pour exécuter un contrat existant (confirmation de livraison, rappel de rendez-vous médical). Pas besoin de consentement séparé.
- Intérêt légitime (Art. 6.1.f) — l'entreprise a un intérêt légitime à contacter la personne, à condition que cet intérêt ne prévale pas sur les droits et libertés de l'individu. Réservé au B2B dans la pratique.
- Obligation légale (Art. 6.1.c) — l'appel est requis par une disposition réglementaire.
Article 13 : l'obligation d'information
Lorsqu'une entreprise collecte des données personnelles directement auprès d'un individu — ce qui est le cas lors d'un appel IA entrant ou sortant — elle est tenue de l'informer immédiatement et de manière claire sur : l'identité du responsable de traitement, la finalité de l'appel, la durée de conservation des données, l'existence de traitements automatisés, et les droits dont il dispose.
En pratique, pour un appel par agent vocal IA, cette information doit être fournie en début d'appel, à l'oral, dans un message d'accueil complet. Un simple "cet appel peut être enregistré" ne suffit pas.
📋 Encart CNIL — Position officielle sur les agents IA vocaux
La Commission Nationale de l'Informatique et des Libertés (CNIL) a précisé sa position sur les systèmes IA conversationnels dans ses recommandations 2024-2025 :
- Obligation d'annonce : tout agent vocal IA doit se présenter comme tel dès les premières secondes de l'appel, sans ambiguïté. L'utilisation d'une voix trop naturelle sans annonce préalable est considérée comme une pratique trompeuse.
- Information sur l'enregistrement : si l'appel est enregistré ou transcrit, l'appelant doit en être informé et la durée de conservation des enregistrements doit être définie et limitée.
- Données biométriques vocales : la voix est une donnée biométrique au sens du RGPD. Son traitement à des fins d'identification de l'individu (reconnaissance du locuteur) requiert un consentement explicite distinct.
- Droit d'opposition : l'appelant doit pouvoir s'opposer à tout moment au traitement de ses données et être redirigé vers un agent humain sur simple demande.
- DPIA recommandée : pour tout déploiement traitant un volume élevé de données vocales, la CNIL recommande la réalisation d'une Analyse d'Impact relative à la Protection des Données (DPIA) préalablement à la mise en production.
AI Act 2025 : l'obligation de transparence sur les IA devient contraignante
Le règlement européen sur l'IA (AI Act), entré en application progressive depuis 2024 et pleinement applicable en 2025-2026, introduit une couche réglementaire spécifique à l'IA qui s'ajoute au RGPD sans le remplacer.
L'interdiction de se faire passer pour un humain
L'AI Act classe comme pratique interdite le déploiement de systèmes IA conçus pour tromper un utilisateur en lui faisant croire qu'il interagit avec un humain, lorsque celui-ci a clairement demandé s'il parlait à une machine. Cette interdiction est absolue et s'applique à tous les agents vocaux IA sans exception de secteur.
L'obligation de transparence pour les systèmes à risque limité
Les agents vocaux IA sont classés dans la catégorie des systèmes à risque limité (pas risque élevé), mais restent soumis à des obligations de transparence précises :
- Informer l'utilisateur qu'il interagit avec un système IA, de manière claire et en temps réel
- Lui permettre de demander à tout moment à être redirigé vers un agent humain
- Ne pas concevoir la voix synthétique et les comportements conversationnels pour imiter un humain au point d'induire en erreur sur la nature du système
Sanctions AI Act vs RGPD
| Infraction | Sanction RGPD (max) | Sanction AI Act (max) |
|---|---|---|
| Absence d'information sur la nature IA | 20 M€ ou 4 % CA mondial | 15 M€ ou 3 % CA mondial |
| Tromperie active (IA se faisant passer pour humain) | 20 M€ ou 4 % CA mondial | 35 M€ ou 7 % CA mondial |
| Absence de base légale pour le traitement de données | 20 M€ ou 4 % CA mondial | — |
| Violation des droits de l'individu (opposition, accès…) | 20 M€ ou 4 % CA mondial | 15 M€ ou 3 % CA mondial |
Privacy by Design : intégrer la conformité dès la conception de l'agent vocal
Le Privacy by Design (protection de la vie privée dès la conception) est un principe imposé par l'article 25 du RGPD. Il oblige les entreprises à intégrer les mécanismes de protection des données dès la phase de conception du système, pas comme une couche ajoutée a posteriori.
Appliqué aux agents vocaux IA, le Privacy by Design se traduit par sept principes opérationnels :
- Proactif, pas réactif : anticiper les risques de vie privée avant le déploiement, pas après une fuite ou une plainte.
- Protection par défaut : les paramètres de confidentialité les plus stricts sont activés par défaut. L'utilisateur doit choisir de partager plus, pas de protéger davantage.
- Intégration dans la conception : les mécanismes de consentement, d'opposition et de minimisation des données sont architecturalement intégrés dans l'agent vocal, pas gérés en dehors.
- Fonctionnalité complète : la conformité ne doit pas dégrader les performances. Un agent vocal conforme doit être aussi performant qu'un agent non conforme.
- Sécurité de bout en bout : les flux vocaux sont chiffrés, les transcriptions sont pseudonymisées, les enregistrements sont soumis à des politiques de rétention strictes.
- Visibilité et transparence : les pratiques de traitement des données sont documentées et accessibles aux utilisateurs et régulateurs.
- Respect de la vie privée de l'utilisateur : l'architecture garantit que l'utilisateur reste maître de ses données — accès, rectification, suppression à la demande.
Ce que Privacy by Design signifie concrètement pour un callbot
- Ne collecter que les données strictement nécessaires à la finalité de l'appel (principe de minimisation)
- Supprimer automatiquement les enregistrements après la durée définie (ex : 30 jours pour les appels de service client)
- Anonymiser les transcriptions utilisées pour l'entraînement des modèles : supprimer noms, numéros, identifiants, voix biométrique
- Séparer logiquement les données clients de différentes entreprises dans une architecture multi-tenant
- Logger et horodater tous les accès aux données pour garantir la traçabilité
Vos droits en tant que personne appelée par un agent IA
Si vous recevez un appel d'un agent IA — ou si vous découvrez après coup que vous avez été en conversation avec un système automatisé — voici les droits que vous pouvez exercer, gratuitement, dans un délai de réponse d'un mois de la part de l'entreprise :
- 🔍 Droit d'accès (Art. 15) — demander quelles données ont été collectées sur vous lors de l'appel, comment elles sont utilisées, et combien de temps elles seront conservées.
- ✏️ Droit de rectification (Art. 16) — demander la correction de données inexactes vous concernant.
- 🗑️ Droit à l'effacement / droit à l'oubli (Art. 17) — demander la suppression de vos données, notamment l'enregistrement de la conversation, si elles ne sont plus nécessaires à leur finalité initiale.
- 🚫 Droit d'opposition (Art. 21) — vous opposer à tout moment à ce que vos données soient utilisées à des fins de démarchage commercial par IA. L'entreprise doit cesser immédiatement.
- 📦 Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré et lisible par machine, pour les transférer à un autre prestataire.
- 🤖 Droit de ne pas faire l'objet d'une décision automatisée (Art. 22) — si l'appel IA a conduit à une décision ayant un effet juridique ou significatif vous concernant (ex : refus de crédit, exclusion d'un programme), vous avez le droit à une révision humaine.
- 🛑 Droit à la limitation du traitement (Art. 18) — demander que vos données soient conservées mais ne soient plus utilisées, notamment le temps d'un contentieux.
Pour exercer ces droits, adressez-vous au Délégué à la Protection des Données (DPO) de l'entreprise qui vous a contacté — ses coordonnées doivent figurer dans la politique de confidentialité. En l'absence de réponse sous un mois, vous pouvez saisir la CNIL via son formulaire en ligne.
Ce que les entreprises sont autorisées — et ce qui est interdit
| Pratique | Statut légal 2026 | Condition(s) |
|---|---|---|
| Appel sortant B2C par agent IA (prospection) | ⚠️ Encadré | Consentement explicite préalable obligatoire + annonce IA en début d'appel |
| Appel sortant B2C de rappel / confirmation (client actif) | ✅ Autorisé | Base légale contrat (Art. 6.1.b) + annonce IA obligatoire |
| Appel sortant B2B (relation commerciale établie) | ✅ Autorisé sous conditions | Intérêt légitime documenté + possibilité d'opposition + annonce IA |
| Enregistrement de la conversation | ⚠️ Encadré | Information explicite + finalité définie + durée limitée |
| Utilisation de la voix pour identification biométrique | 🚫 Très encadré | Consentement explicite distinct + DPIA obligatoire |
| Entraînement IA sur les données de conversation | ⚠️ Encadré | Clause contractuelle explicite + anonymisation préalable obligatoire |
| Agent IA se présentant comme humain | 🚫 Interdit (AI Act) | Aucune — interdiction absolue |
| Refus de redirection vers un agent humain | 🚫 Interdit (AI Act) | Aucune — le droit à l'agent humain est garanti |
Questions spécifiques pour les développeurs et fournisseurs d'IA
Utiliser les données clients pour entraîner vos modèles
L'entraînement ou l'amélioration d'un modèle IA à partir de données clients nécessite un consentement explicite ou une clause contractuelle spécifique. Sans ce droit explicite, cette utilisation peut constituer une violation du RGPD et compromettre la propriété intellectuelle du système développé. La règle d'or : si votre contrat avec votre client ne mentionne pas explicitement ce droit, ne le faites pas.
Anonymiser les données vocales — au-delà de la suppression des noms
Supprimer le nom ou l'email ne suffit pas si les données restantes permettent d'identifier la personne. Pour les données vocales, une anonymisation réelle implique : la suppression de la voix biométrique (transformation du signal vocal), l'effacement des entités nommées dans les transcriptions (NER automatisé), et la vérification que le croisement avec d'autres bases ne permet pas de réidentification. Une anonymisation irréversible et vérifiable libère de la plupart des obligations RGPD sur les données concernées.
Se préparer aux futures réglementations
Même si certains projets de loi (comme la LIAD canadienne) ont été abandonnés début 2025, les principes qui les animaient — gouvernance par les risques, transparence, responsabilité documentée — alimentent les cadres volontaires et provinciaux. Les développeurs d'IA ont intérêt à mettre en place dès maintenant des structures de gouvernance interne, à documenter les données d'entraînement et le comportement des modèles, et à vérifier l'absence de biais discriminatoires. Adopter des normes internationales comme l'ISO/IEC 42001 ou l'AI Risk Management Framework du NIST permet de démontrer une conformité proactive et de réduire le risque de refonte profonde lors des prochaines évolutions réglementaires.
TALKR : une plateforme conçue pour être conforme par construction
TALKR a conçu sa plateforme d'agents vocaux IA avec le Privacy by Design comme principe architectural fondateur — pas comme une case à cocher en fin de projet.
- ✅ Annonce IA automatique configurable en début de chaque appel, conforme AI Act et recommandations CNIL
- ✅ Gestion des consentements intégrée — opt-in, opt-out, révocation en cours d'appel, synchronisation avec le CRM
- ✅ Droit d'opposition en temps réel — l'appelant peut dire "je ne souhaite plus être contacté" et l'agent met fin à la campagne pour ce contact
- ✅ Enregistrements chiffrés avec politique de rétention configurable et suppression automatique
- ✅ Transcriptions pseudonymisées — suppression automatique des entités nommées avant stockage
- ✅ Hébergement souverain disponible en France (OVH, Scaleway) pour les secteurs sensibles (santé, finances, secteur public)
- ✅ Documentation DPIA fournie pour chaque déploiement — facilitant votre obligation de tenue d'un registre des traitements
- ✅ Clause contractuelle explicite sur la non-utilisation des données clients pour l'entraînement de modèles tiers
Déployez un agent vocal conforme RGPD et AI Act — sans compromis sur les performances
Nos experts TALKR vous accompagnent dans la conception d'un agent vocal qui respecte vos obligations réglementaires tout en maximisant l'expérience client. Audit de conformité offert sur votre projet existant.
Demander un audit de conformité Lire notre guide RGPD completFAQ — Consentement, RGPD et agents IA vocaux
Une entreprise peut-elle vous appeler avec une IA sans vous le dire ?
Non. L'AI Act 2025 impose l'obligation de déclarer la nature IA de l'agent dès le début de l'interaction. La CNIL recommande une annonce orale explicite en début d'appel. L'absence d'information constitue une violation du RGPD (Art. 13) et de l'AI Act, exposant l'entreprise à des sanctions pouvant atteindre 4 % de son chiffre d'affaires mondial annuel.
Qu'est-ce que le consentement explicite pour un appel par agent IA ?
Le consentement explicite est une acceptation active, documentée et préalable d'être contacté par un agent IA. Il ne peut pas être déduit d'un silence ou d'une case pré-cochée. En B2C, c'est la seule base légale valide pour les appels de prospection. Il doit être libre (pas de pression), spécifique (pour ce type d'appel), éclairé (la personne sait ce qu'elle accepte) et univoque (pas d'ambiguïté).
Quelle est la différence entre consentement implicite et explicite ?
Le consentement explicite est une acceptation formelle documentée. Le consentement implicite est déduit d'une relation ou d'un comportement préexistant. Le consentement implicite est insuffisant pour des appels de prospection B2C par IA sous le RGPD. Il peut être acceptable en B2B pour une relation contractuelle établie, à condition que la finalité de l'appel soit cohérente avec cette relation.
Quels sont mes droits si j'ai été appelé par une IA ?
Vous disposez de : droit d'accès à vos données, droit de rectification, droit à l'effacement (droit à l'oubli), droit d'opposition (y compris pour les appels futurs), droit à la portabilité, droit de ne pas faire l'objet d'une décision entièrement automatisée, et droit à la limitation du traitement. Ces droits s'exercent auprès du DPO de l'entreprise concernée. En l'absence de réponse sous un mois, vous pouvez saisir la CNIL.
Peut-on entraîner une IA sur les enregistrements des appels clients ?
Seulement avec un consentement explicite ou une clause contractuelle prévoyant ce droit. Les données brutes (voix, transcriptions identifiantes) ne peuvent pas être utilisées sans anonymisation préalable irréversible. L'anonymisation implique plus que la suppression des noms : elle doit rendre toute réidentification impossible, y compris par croisement de bases.
Qu'est-ce que le Privacy by Design pour un agent vocal IA ?
Le Privacy by Design consiste à intégrer les protections de données dès la conception du système, pas a posteriori. Pour un agent vocal, cela signifie : minimisation des données collectées, suppression automatique des enregistrements après la durée définie, anonymisation des transcriptions, chiffrement des flux, et architecture permettant l'exercice des droits des utilisateurs sans développement supplémentaire. L'Art. 25 du RGPD rend cette approche obligatoire.
Que dit l'AI Act sur la transparence des agents vocaux IA ?
L'AI Act impose que tout agent IA interagissant en temps réel avec un humain se déclare comme tel. Il est interdit de concevoir un agent pour qu'il se fasse passer pour un humain. L'utilisateur doit toujours pouvoir demander à être redirigé vers un agent humain. Les violations de ces obligations sont sanctionnées jusqu'à 35 M€ ou 7 % du CA mondial pour les cas les plus graves.
Que faire si une entreprise refuse d'honorer mon droit d'opposition ?
Si une entreprise ne répond pas à votre demande d'opposition dans le délai d'un mois, ou si elle refuse sans motif légitime, vous pouvez : (1) adresser une réclamation à la CNIL via son portail en ligne, (2) saisir le Médiateur des communications électroniques si votre opérateur est impliqué, (3) engager une action civile sur la base du RGPD Art. 82 pour obtenir réparation du préjudice subi. La CNIL dispose de pouvoirs d'enquête et de sanction étendus.
Pour aller plus loin
- RGPD et IA vocale : tout ce que votre callbot doit respecter en 2026
- Agents IA et conformité RGPD : le guide pratique pour les entreprises françaises
- Emotion AI et RGPD : quand votre agent vocal analyse les émotions de vos clients
- Agent vocal IA et mémoire persistante : conformité RGPD et droit à l'oubli
- Réglementations dans le démarchage téléphonique : ce que vous devez savoir