Guide · Conformité

RGPD et centre d'appel : enregistrement des appels, hébergement et conformité

Mis à jour le 31 mai 2026 · 7 min de lecture · par l'équipe Veliade

Cet article donne des repères pratiques et ne constitue pas un avis juridique. Faites valider votre dispositif par votre DPO et référez-vous aux recommandations de la CNIL.

Pour un centre d'appel, le RGPD ne se joue pas sur un cadenas marketing mais sur trois questions concrètes : peut-on enregistrer, où vivent les données et combien de temps les garde-t-on. Bien traitées, elles rassurent vos donneurs d'ordre et sécurisent votre activité. Voici l'essentiel.

Peut-on enregistrer les appels ?

Oui, mais pas n'importe comment. Il faut une base légale (le plus souvent l'intérêt légitime ou l'exécution d'un contrat), ne capter que ce qui est nécessaire à la finalité (qualité, formation, preuve), et éviter l'enregistrement systématique non justifié. La CNIL encadre précisément ce point : documentez votre finalité avant de déployer.

Informer les personnes (appelants et agents)

L'information est obligatoire et porte sur deux publics :

L'appelant : un message au décroché (ou en début d'appel sortant) signalant l'enregistrement et sa finalité, avec un moyen d'exercer ses droits.
Les agents : informés et, le cas échéant, leurs représentants consultés. L'écoute ne doit pas être permanente ni à leur insu.

Hébergement des données : le point critique

C'est souvent là que tout se joue, surtout pour un plateau offshore. Le plus sûr : choisir un prestataire qui héberge et chiffre les données en région UE. Tout transfert hors EEE doit être encadré (clauses contractuelles types, garanties appropriées). Les agents peuvent être hors UE ; ce qui compte, c'est l'endroit où sont stockées et traitées les données.

Durée de conservation et sécurité

Conservez les enregistrements une durée proportionnée à leur finalité, définie à l'avance et documentée — puis supprimez ou anonymisez. Sur la sécurité : chiffrement (au repos et en transit), contrôle des accès (qui peut écouter quoi), et traçabilité. Un bon outil applique le chiffrement AES-256 et restreint l'accès aux enregistrements par périmètre.

DPA et sous-traitance

Votre fournisseur de téléphonie est un sous-traitant au sens du RGPD. Il doit vous fournir un accord de traitement des données (DPA) décrivant les finalités, les mesures de sécurité, la localisation et la sous-traitance ultérieure. Exigez-le au démarrage : c'est un marqueur de sérieux.

Check-list conformité

Base légale documentée pour l'enregistrement ;
Message d'information au décroché + information des agents ;
Données et enregistrements hébergés et chiffrés en UE ;
Durée de conservation définie, puis suppression / anonymisation ;
Contrôle des accès aux enregistrements ;
DPA signé avec le fournisseur ;
Registre des traitements à jour, validé par le DPO.

Un centre d'appel conçu pour l'UE

Veliade héberge et chiffre les enregistrements et transcriptions en région UE (AES-256), avec DPA fourni au démarrage. Aucune donnée ne sort de l'EEE. Testez 3 jours pour 9 €.

Démarrer le Proof Sprint · 9 €

FAQ

Peut-on enregistrer les appels d'un centre d'appel ?

Oui, à condition de disposer d'une base légale (souvent l'intérêt légitime ou l'exécution d'un contrat), de n'enregistrer que ce qui est nécessaire, et d'informer les personnes (appelants et agents). La CNIL encadre cette pratique : l'enregistrement ne doit pas être systématique sans justification.

Où doivent être hébergés les enregistrements d'appels ?

Idéalement en région UE. Tout transfert hors EEE doit être encadré (clauses contractuelles types, garanties). Le plus simple pour la conformité est de choisir un prestataire qui héberge et chiffre les données dans l'Union européenne.

Combien de temps peut-on conserver un enregistrement d'appel ?

Une durée proportionnée à la finalité, définie à l'avance et documentée. Les enregistrements à visée qualité ou formation sont en général conservés peu de temps, puis supprimés ou anonymisés. Faites valider votre politique de conservation par votre DPO.