Conformité RGPD

Réglementation des centres d’appels : où en est-on en 2025 ?

Pourquoi les règles se sont durcies ?

Le téléphone reste un canal majeur de prospection et de service client. Mais l’essor des robocalls, l’usurpation de numéros, les abandons d’appels et la surexposition des consommateurs ont fait exploser les plaintes. Résultat : un durcissement des lois (RGPD, encadrement du démarchage, authentification des numéros) et des contrôles (CNIL, DGCCRF, ARCEP, Ofcom, FCC…). En 2025, un centre d’appels performant doit être compliant par conception (privacy/security by design) et mesuré dans ses volumes, ses horaires et ses méthodes.

Le RGPD, colonne vertébrale des traitements en centre d’appels

Le Règlement Général sur la Protection des Données (RGPD) s’applique à tout traitement de données personnelles de personnes situées dans l’UE, y compris en prospection téléphonique et dans les CRM/dialers.

Bases légales & transparence

  • Base légale : intérêt légitime (prospection B2B généralement), consentement (appels automatisés/préenregistrés et dans divers cas B2C), exécution/formation du contrat (service client, ventes orales encadrées), obligation légale (secteurs réglementés).
  • Information : message clair en début d’appel (« qui appelle, pourquoi, droits RGPD, opposition »), plus mention complète (site, SMS, mail).
  • Droit d’opposition : offrir un opt‑out simple et immédiat (liste d’exclusion interne + Bloctel en France).

Minimisation, conservation, sécurité

  • Minimiser les données collectées (coordonnées, statuts de consentement/opposition, traces d’appel utiles).
  • Limiter la durée de conservation (politiques d’archivage et purge).
  • Sécuriser : contrôles d’accès, chiffrement, journalisation, sauvegardes et plan de réponse à incident.

Enregistrement des conversations

  • Enregistrement justifié (qualité, conformité, preuve contractuelle lorsque la loi l’exige) ; bouton de pause/masquage pour les données sensibles (ex. carte bancaire).
  • Accès restreint, traçabilité des écoutes, politique de rétention distincte selon la finalité (qualité vs. preuve).

Gouvernance

  • DPO (si requis), registre des traitements, DPIA (analyse d’impact) pour traitements à risque, clauses de sous‑traitance (art. 28), procédures d’exercice des droits et de notification des violations.

Vicidial : atouts et bonnes pratiques de conformité

Vicidial (logiciel open‑source de centre d’appels) embarque des fonctions utiles à la conformité lorsqu’on les configure correctement :

Gestion des droits & traçabilité

  • Comptes et profils d’accès granulaires (agents/superviseurs/admins).
  • Journaux (logs) et reports détaillés (appels, enregistrements, actions agents, téléchargements).

Listes & consentement

  • Listes d’exclusion (DNC) internes par campagne/globales, gestion des statuts d’opt‑out.
  • Champs personnalisés pour preuve de consentement, sources, date/heure, canal, périmètre (B2C/B2B).

Enregistrement & confidentialité

  • Paramètres fines d’enregistrement (always/on‑demand) et pause recording pour masquer des séquences (ex. paiement).
  • Archivage sur serveur dédié, rotation et purge programmées.

Contrôle de la numérotation

  • Modes manuel/preview (préconisés quand les règles limitent l’autodial/predictif).
  • Dial level et abandon rate cibles (tolérance zéro ou très basse pour les appels abandonnés).
  • AMD (détection de répondeur) à manier prudemment pour éviter des messages pré‑enregistrés non consentis.

Droits RGPD

  • Export ciblé des données liées à une personne (droit d’accès/portabilité).
  • Suppression/anonymisation de contacts (droit à l’effacement) avec journalisation.

Numéros & affichage

  • Gestion de CLI conformes (plages dédiées prospection en France), rotation raisonnable, consignation des affectations.

⚠️ Vicidial n’est pas « compliant » par nature : c’est son paramétrage et vos procédures (RGPD, télécom, consommation) qui créent la conformité. Documentez vos choix (registre, DPIA, politiques internes) et formez vos équipes.

France : règles télécom & consommation applicables aux centres d’appels

Au‑delà du RGPD, la France encadre strictement le démarchage :

  • Bloctel : respect du registre d’opposition (vérification préalable, puis scrubbing périodique). Exceptions limitées : relation contractuelle en cours, consentement explicite et spécifique, devis en cours, etc.
  • Plages horaires & jours (décret d’application, en vigueur depuis 1er mars 2023) : appels uniquement du lundi au vendredi, 10h–13h et 14h–20h (heure du destinataire). Interdits samedi, dimanche et jours fériés.
  • Fréquence : ≤ 4 sollicitations sur 30 jours par même professionnel (ou agissant pour son compte) vers une même personne, pour des fins commerciales.
  • Secteurs interdits/ultra‑encadrés : rénovation énergétique (prospection téléphonique interdite hors relation contractuelle), assurance/santé (fortes contraintes), énergie (scripts d’information renforcés).
  • Numérotation dédiée à la prospection : utilisation des plages réservées (ex. 09‑48, 01‑62, etc.) pour les appels sortants commerciaux ; interdiction d’utiliser 06/07 à des fins de démarchage.
  • Authentification du numéro (MAN) : généralisation de l’authentification des appels côté opérateurs pour bloquer l’usurpation (spoofing) et tracer les appels sortants.
  • Sanctions : amendes administratives/pénales élevées (jusqu’à 375 000 € pour les personnes morales en cas d’abus, hors autres sanctions RGPD/CNIL).

Impacts opérationnels

  • Obligation de scrubber en amont et en continu : Bloctel + DNC interne, exclusions sectorielles et contrats.
  • Configuration du dialer pour respect strict des fenêtres horaires (calendriers, timezones) et respect des quotas (compteurs par contact/campagne).
  • Choix d’un mode d’appel adapté (souvent preview/manual en B2C FR) avec dial‑level bas et taux d’abandon ≈ 0 %.
  • Gestion rigoureuse des CLIs : plages conformes, registre d’affectation par campagne, contrôles MAN avec l’opérateur.

Exemples de contentieux récents

  • Amendes prononcées pour démarchage interdit dans la rénovation énergétique (plusieurs centaines de milliers d’euros).
  • Pédagogie publique continue : guides Service‑Public et DGCCRF sur la conduite à tenir, modalités de plainte et rappel des peines encourues.

Robocalls et appels pré‑enregistrés

L’UE (via la directive « ePrivacy ») et la France considèrent que les appels automatisés avec message pré‑enregistré (« automated calling machines ») nécessitent un consentement préalable explicite en B2C. Sans consentement, privilégier un agent humain (prospection « non automatisée ») et garantir le droit d’opposition immédiat. En France, certains secteurs interdisent de fait les séquences automatisées vers les particuliers.

Bonnes pratiques

  • Pour toute campagne IVR/outbound (rappels RDV, relances facture), vérifier la base légale (contrat/intérêt légitime + information + opt‑out clair).
  • Éviter les messages drop automatiques post‑AMD sans consentement.
  • Journaliser l’origine et la preuve du consentement (horodatage, canal, texte accepté).

Gestion des plaintes : transformer le risque en contrôle qualité

Les sources de plaintes récurrentes : appels répétés, en dehors des horaires, usurpation de numéros, enregistrements non annoncés, non‑respect de l’opposition, messages automatisés non consentis, ventes agressives.

Système de réponse

  • Canaliser les plaintes : adresse e‑mail dédiée RGPD, formulaire web, numéro de rappel, procédures internes (SLA, catégories).
  • Preuve : extraire de Vicidial le call log, l’agent, le script lu, l’état Bloctel/DNC, la piste de consentement, la timeline de contact.
  • Appliquer l’opposition (DNC + liste maîtresse), former l’agent, et corriger la campagne (pacing, horaires, ciblage).
  • Remontée réglementaire : DPO/CNIL (données), DGCCRF (pratiques commerciales), ARCEP (usurpation/numérotation), selon le cas.

France vs. international : grandes différences

Royaume‑Uni (UK)

  • Règles PECR : consentement préalable requis pour appels automatisés (messages pré‑enregistrés).
  • TPS/CTPS : il est interdit d’appeler des numéros inscrits sur ces listes sans consentement préalable (TPS = particuliers, CTPS = entreprises/organisations).
  • Ofcom : politique de lutte contre les appels silencieux/abandonnés ; la fameuse tolérance de 3 % d’abandons n’est pas un « safe harbour » : l’autorité peut agir même en‑dessous si les pratiques nuisent aux consommateurs.

États‑Unis (USA)

  • TCPA : appels vers mobiles et messages pré‑enregistrés ⇒ nécessitent des consentements clairs (souvent « express written consent »), sous peine de dommages statuaires par infraction.
  • STIR/SHAKEN : authentification IP des appels sortants pour lutter contre le spoofing ; les opérateurs dépriorisent/filtrent les appels non authentifiés.

Union européenne (hors France)

  • Socle commun : RGPD + transposition nationale de ePrivacy (automated calls ⇒ consentement). Registres d’opposition nationaux variables (ex. Robinson), horaires/cadences parfois moins normés qu’en France, mais sanctions RGPD disponibles.

Conséquence : un donneur d’ordre multi‑pays doit géocoder ses listes, appliquer des règles locales par campaign profile, et parfois désactiver l’autodial (ou passer en preview/manual) selon le pays et le segment (B2C/B2B).

IA et centres d’appels : ce que disent les textes

  • RGPD : l’IA n’échappe pas aux principes (licéité, transparence, minimisation, sécurité) ni aux règles sur les décisions automatisées (art. 22 : information, intervention humaine, contestation, le cas échéant).
  • AI Act (UE) : en 2025, cadre horizontal :
    • Transparence pour les systèmes conversant avec des humains (chatbots/voicebots : annoncer qu’on parle à une IA).
    • Interdictions ciblées (ex. reconnaissance des émotions au travail et à l’école).
    • Haut risque pour certaines fonctionnalités (ex. biométrie) :

Sources clés (pour vos équipes conformité)

  • Horaires/jours autorisés en France (depuis le 1ᵉʳ mars 2023) et plafonnement à 4 sollicitations/30 jours : fiches officielles Économie.gouv et Service-Public. Ministère des FinancesService-Public
  • Interdiction du démarchage rénovation énergétique (loi du 24 juillet 2020) et exemples de sanctions DGCCRF. Ministère des FinancesMaison à part
  • Plages de numérotation dédiées à la prospection (09 48, 01 62, etc.) et réformes ARCEP. Arcep+1
  • Authentification des appels (MAN) pour lutter contre le spoofing, montée en charge 2024-2025. fr.web2contact.com
  • Robocalls : exigence de consentement préalable (Directive ePrivacy, art. 13). CNIL
  • Enregistrement d’appels : obligations d’information, base légale et durée de conservation (CNIL). CNIL
  • AI Act (UE) : transparence pour chat/voicebots, interdiction de la reconnaissance des émotions au travail/à l’école, et obligations pour systèmes à haut risque.
  • UK : PECR (TPS/CTPS, règles live vs. automated calls) et politique Ofcom sur appels abandonnés/silencieux (fin du « 3 % safe harbour » comme tolérance automatique). ICOwww.ofcom.org.ukdma.org.uk
  • USA : TCPA (consentement strict pour mobiles et messages pré-enregistrés) et STIR/SHAKEN. ICOwww.ofcom.org.uk
  • Vicidial : documentation (features utiles à la conformité : DNC, logs, pause-recording, exports RGPD, etc.). vicidial.org
Retour en haut