Guide RGPD
Conformité Call Center
Obligations légales et bonnes pratiques
pour les centres d'appel
VOC-Call
Centre d'appel français
Version 2025
Introduction
Le Règlement Général sur la Protection des Données (RGPD) s'applique à tous les centres d'appel
traitant des données personnelles de résidents européens. Ce guide vous accompagne dans la
mise en conformité de votre activité de call center.
⚠️ Important : Ce guide est informatif. Pour une conformité totale,
consultez un juriste spécialisé en protection des données.
1. Les Principes Fondamentaux du RGPD
1.1 Les 7 principes
- Licéité, loyauté et transparence : Traitement transparent et légal
- Limitation des finalités : Données collectées pour un objectif précis
- Minimisation des données : Collecter uniquement le nécessaire
- Exactitude : Données exactes et à jour
- Limitation de la conservation : Conservation limitée dans le temps
- Intégrité et confidentialité : Sécurité des données
- Responsabilité : Le responsable doit démontrer la conformité
1.2 Données personnelles concernées
- Nom, prénom
- Adresse email, téléphone
- Adresse postale
- Numéro de client
- Enregistrements d'appels
- Historique d'interactions
- Toute information permettant d'identifier une personne
2. Obligations Légales
2.1 Base légale du traitement
Le traitement doit reposer sur une base légale :
- Consentement : Consentement explicite du client
- Exécution d'un contrat : Nécessaire pour le service
- Obligation légale : Exigé par la loi
- Intérêt légitime : Intérêt légitime du responsable
2.2 Consentement
Le consentement doit être :
- Libre (pas de contrainte)
- Spécifique (pour chaque finalité)
- Éclairé (information claire)
- Univoque (action positive)
- Révocable (possibilité de retirer)
2.3 Information des personnes
Vous devez informer les clients sur :
- L'identité du responsable de traitement
- Les finalités du traitement
- La base légale
- Les destinataires des données
- La durée de conservation
- Les droits des personnes (accès, rectification, suppression, etc.)
- Le droit de retirer le consentement
3. Droits des Personnes
3.1 Les 8 droits
- Droit d'accès : Obtenir une copie des données
- Droit de rectification : Corriger les données inexactes
- Droit à l'effacement : Supprimer les données ("droit à l'oubli")
- Droit à la limitation : Limiter le traitement
- Droit à la portabilité : Récupérer les données dans un format structuré
- Droit d'opposition : S'opposer au traitement
- Droit de retirer le consentement : À tout moment
- Droit de définir des directives post-mortem : Que faire des données après décès
3.2 Délais de réponse
⚠️ Obligation : Répondre aux demandes dans un délai d'1 mois
(peut être prolongé de 2 mois pour demandes complexes).
4. Sécurité des Données
4.1 Mesures techniques
- ✓ Chiffrement des données (transit et stockage)
- ✓ Authentification forte des accès
- ✓ Sauvegardes régulières et sécurisées
- ✓ Pare-feu et antivirus à jour
- ✓ Mise à jour des systèmes
- ✓ Logs d'accès et traçabilité
4.2 Mesures organisationnelles
- ✓ Politique de sécurité documentée
- ✓ Formation des équipes au RGPD
- ✓ Accès limité aux données (principe du besoin d'en connaître)
- ✓ Procédures en cas de violation
- ✓ Contrôles réguliers
5. Enregistrements d'Appels
5.1 Obligations spécifiques
⚠️ Important : L'enregistrement d'appels est considéré comme un traitement
de données personnelles et doit respecter le RGPD.
Avant l'enregistrement
- Informer le client que l'appel est enregistré
- Obtenir le consentement si nécessaire
- Indiquer la finalité de l'enregistrement
Conservation
- Durée limitée (ex: 6 mois, 1 an maximum)
- Accès restreint aux personnes autorisées
- Suppression automatique après la durée
6. Sous-traitance (Externalisation)
6.1 Contrat de sous-traitance
Si vous externalisez, le contrat doit inclure :
- L'objet et la durée du traitement
- La nature et la finalité du traitement
- Le type de données personnelles
- Les obligations du sous-traitant
- Les mesures de sécurité
- Les garanties de conformité RGPD
6.2 Obligations du sous-traitant
- Traiter uniquement selon les instructions
- Garantir la sécurité des données
- Informer en cas de violation
- Assister le responsable dans l'exercice des droits
- Permettre les audits
7. Violation de Données
7.1 Définition
Une violation est une faille de sécurité entraînant :
- Destruction accidentelle ou illicite
- Perte, altération
- Divulgation ou accès non autorisé
7.2 Procédure en cas de violation
- Détection : Identifier la violation
- Évaluation : Analyser l'impact et les risques
- Notification CNIL : Dans les 72h si risque pour les droits
- Notification personnes : Si risque élevé pour leurs droits
- Documentation : Consigner la violation
8. Checklist de Conformité
Organisation
- □ DPO (Délégué à la Protection des Données) désigné si nécessaire
- □ Registre des traitements à jour
- □ Analyse d'impact (PIA) réalisée si nécessaire
- □ Politique de confidentialité mise à jour
Processus
- □ Consentement obtenu selon les règles
- □ Information des clients complète
- □ Procédure pour exercer les droits
- □ Procédure en cas de violation
Sécurité
- □ Chiffrement des données
- □ Accès sécurisés et limités
- □ Sauvegardes régulières
- □ Formation des équipes
Sous-traitance
- □ Contrats de sous-traitance conformes
- □ Garanties des sous-traitants vérifiées
9. Sanctions
9.1 Montants
Les sanctions peuvent aller jusqu'à :
- 20 millions d'euros OU
- 4% du chiffre d'affaires annuel mondial
Le montant le plus élevé étant retenu.
9.2 Critères d'appréciation
- Gravité de la violation
- Durée de la violation
- Caractère intentionnel ou non
- Mesures correctives prises
- Coopération avec la CNIL
10. Ressources et Contacts
10.1 Ressources utiles
- CNIL : www.cnil.fr
- Guide CNIL : Guide pratique RGPD
- Modèles : Contrats, registres, politiques
10.2 Contacts
Pour toute question sur la conformité RGPD de votre call center,
consultez un juriste spécialisé ou contactez la CNIL.
Conclusion
La conformité RGPD est une obligation légale mais aussi un atout pour votre entreprise.
Elle renforce la confiance de vos clients et protège votre réputation.
Prenez le temps de mettre en place les processus nécessaires et formez vos équipes.
💡 Bonne pratique : Faites auditer régulièrement votre conformité
et mettez à jour vos processus selon l'évolution de la réglementation.
Document créé par VOC-Call - Version 2025
Ce guide est informatif. Consultez un juriste pour une conformité totale.
Pour plus d'informations : www.voc-call.com