Comment intégrer le RGPD et l’AI Act à votre agent vocal ?
Samuel Nespolo-Besson, Senior Manager chez Converteo, co-pilote l’offre de transformation des services clients via l’IA agentique et accompagne les entreprises dans l’intégration de solutions conversationnelles intelligentes (voicebots, chatbots) pour optimiser durablement leurs parcours utilisateurs. Débora Cohen est experte en droit du numérique et protection des données. DPO certifiée AFNOR, elle accompagne les entreprises dans leur conformité stratégique (RGPD, IA Act) et sécurise leur digitalisation, tout en formant étudiants et professionnels aux enjeux juridiques de la data.
À retenir
- La voix n’est pas une donnée comme les autres : c’est par nature une donnée biométrique, soumise à des règles renforcées par le RGPD.
- L’AI Act, malgré les assouplissements récents portés par le « omnibus » européen, accélère les exigences de transparence sur les systèmes d’IA conversationnelle. Prévenir l’utilisateur qu’il parle à une IA n’est pas une option.
- À l’oral, certaines pratiques bien rodées à l’écrit deviennent beaucoup plus difficiles. Anonymiser un numéro de carte bancaire dans un texte est trivial. Le détecter à la volée dans un flux vocal demande une vraie ingénierie.
Quand on parle de conformité, on a souvent en tête les sujets digitaux classiques : cookies, formulaires, bases de données clients. La voix introduit une couche d’enjeux supplémentaire, plus subtile et plus exigeante. Parce qu’elle est par nature une donnée biométrique, parce qu’elle circule en continu, parce qu’elle est difficile à filtrer en temps réel.
Pour les organisations qui déploient un agent vocal, ces sujets ne peuvent pas attendre la fin du projet. Ils doivent être traités dès le cadrage, sous peine de devoir reconstruire des pans entiers du système une fois la production atteinte. Tour d’horizon des principaux points d’attention.
La voix est une donnée biométrique
C’est le point de départ. Une voix permet, dans certaines conditions, d’identifier une personne avec un haut degré de certitude. Le RGPD considère donc qu’elle relève des données biométriques, c’est-à-dire d’une catégorie « particulière » de données personnelles, soumise à un régime renforcé.
Plusieurs conséquences pratiques :
- La base légale doit être solide. Le traitement d’une voix nécessite en général un consentement explicite, ou une base légale spécifique clairement identifiée. Un « bandeau cookies » à l’européenne ne suffit pas.
- La conservation doit être limitée. Combien de temps garde-t-on les enregistrements ? Pourquoi ? Qui y a accès ? Chaque réponse doit être documentée, et les durées doivent être les plus courtes possibles au regard de la finalité.
- La sous-traitance doit être maîtrisée. Si l’agent vocal repose sur un modèle hébergé chez un prestataire, il faut comprendre exactement où circule la voix, où elle est traitée, où elle est éventuellement stockée. Les enjeux de souveraineté reviennent ici en force.
AI Act et IA vocal : un enjeu de transparence
L’AI Act européen, sur le volet « omnibus » récent, a assoupli certaines obligations en termes de calendrier. Mais il a aussi confirmé un point structurant : les exigences de transparence vis-à-vis de l’utilisateur.
Concrètement, un utilisateur qui interagit avec un système d’IA conversationnelle doit être prévenu qu’il s’adresse à une machine, et non à une personne. Ce point peut sembler évident, voire trivial. Il a pourtant des implications concrètes :
- À quel moment la mention est-elle faite ? À l’ouverture de l’appel ? Si oui, comment ?
- Comment l’utilisateur peut-il demander à parler à un humain ?
- Que se passe-t-il si l’agent IA est intercalé sans que l’utilisateur n’en soit averti (cas du call screening, par exemple) ?
Sur ces points, la doctrine continue à se préciser. Mais la direction est claire : moins de zones grises, plus de transparence explicite. Les organisations qui anticipent évitent les risques de remise en cause à grande échelle plus tard.
La gestion des PII à l’oral : un défi technique
Les données personnelles identifiables (PII pour Personally Identifiable Information) doivent être protégées dans les systèmes d’IA, comme dans tout autre système. À l’écrit, on sait faire : on détecte un numéro de carte bancaire, un IBAN, un numéro de sécurité sociale, et on le masque automatiquement. C’est une pratique bien outillée.
À l’oral, c’est beaucoup plus difficile.
-
Détecter en temps réel
Une carte bancaire dictée dans le flux d’une conversation ne se reconnaît pas aussi facilement qu’un numéro dans un formulaire. Le détecteur doit travailler à la volée, sur une voix qui peut être marquée par un accent, par du bruit ambiant, par des hésitations.
-
Filtrer avant stockage
Quand l’enregistrement audio existe, le numéro est par construction présent dans le signal. Pour respecter une politique de minimisation des données, il faut soit ne pas enregistrer ces séquences, soit les supprimer après transcription, soit utiliser des architectures qui évitent de capter ces moments.
-
Gérer la transcription
Si la transcription est faite, le numéro y apparaît en clair. Il faut donc des règles strictes de filtrage à ce niveau aussi, et idéalement avant tout stockage prolongé.
Tous ces sujets s’anticipent. Ils sont rarement bloquants quand on les traite dès le cadrage. Ils deviennent extrêmement lourds quand on les découvre après la mise en production.
Biométrie vocale : un sujet à part
Au-delà de la voix comme donnée à protéger, certains usages exploitent la voix comme moyen d’authentifier la personne. C’est ce qu’on appelle la biométrie vocale. Cas d’usage : reconnaître un client à la signature de sa voix, sans qu’il ait à donner ses identifiants.
Ces usages sont puissants, mais ils relèvent d’un régime juridique particulièrement exigeant. Le RGPD encadre strictement la biométrie utilisée à des fins d’identification unique d’une personne. Le consentement, l’analyse d’impact, les mesures de sécurité, sont des prérequis non négociables.
Tout déploiement de biométrie vocale doit donc faire l’objet d’une analyse d’impact relative à la protection des données (AIPD), et d’un dialogue clair avec la CNIL le cas échéant.
La conformité des agents vocaux touche à des choix structurants : architecture (où circule la voix), produit (à quel moment on informe l’utilisateur), opérationnel (comment on gère les PII en temps réel), juridique (quelle base légale, quelle durée de conservation).
La bonne nouvelle, c’est que tous ces sujets sont solvables. Aucun n’empêche aujourd’hui le déploiement d’un agent vocal sérieux en Europe. À condition de les traiter dès le départ, en associant les équipes juridiques et conformité au projet, et de documenter avec rigueur les choix qui sont faits.