Comment gérer la question de la conformité RGPD avec la pratique de l'enregistrement téléphonique ?
Excepté les cas où la loi exige de tels enregistrements (secteur financier ou assurance), de quelle façon les entreprises peuvent y avoir recours en respectant la protection des données personnelles des individus concernés ?
Nous allons donc vous expliquer :
- L'application du RGPD sur l’enregistrement des conversations ;
- Les actions à mettre en place pour ne pas tomber sous le coup des sanctions de la CNIL.
En quoi l'enregistrement des conversations téléphoniques est-il concerné par le RGPD ?
Conversations téléphoniques et données personnelles
Une donnée personnelle est une donnée permettant d'identifier une personne physique.
Elle peut l'être directement grâce à un nom/prénom ou indirectement par le biais d'un identifiant, d'une adresse, d'une image ou bien encore d'une voix.
Une seule donnée est parfois suffisante pour reconnaître une personne, mais en général, un responsable de traitement aura recours à un croisement de données personnelles : numéro client, nom et adresse mail.
Les conversations téléphoniques font donc partie des données personnelles puisque la voix est un élément qui caractérise un individu, d'autant plus que celle-ci est couplée à un numéro de téléphone bien défini.
Enregistrements et traitement de données personnelles
A partir du moment où vous procédez à une opération sur une donnée personnelle dans le cadre de votre activité, vous êtes soumis au RGPD.
En général, les conversations téléphoniques des clients sont enregistrées, conservées, analysées pour une finalité précise qui entre dans le cadre de votre profession. Il y a bel et bien traitement de données au sens du RGPD.
Cela vous contraint à protéger les données personnelles des personnes concernées (clients, salariés, prospects, etc.) en suivant les principes suivants : la minimisation lors de la collecte, l'obligation d'être transparent sur l'utilisation de l'enregistrement, la facilitation de l'exercice des droits, la définition de durées de conservation appropriées, la sécurisation des données...
Enregistrements téléphoniques : de quoi parle-t-on concrètement ?
Enregistrements et preuve de formation du contrat
Que dit la CNIL sur le sujet ? Pour les contrats qui peuvent être conclus à l'oral, l'enregistrement de conversations est possible sous certaines conditions :
- Principe de minimisation : il impose que l'enregistrement des conversations soit adéquat, pertinent et limité à l'extrait qui constitue une preuve de la formation du contrat. Autrement dit, il est interdit d'enregistrer l'entièreté de la conversation ou d'enclencher l'enregistrement systématiquement au moindre appel.
- Absence d'une autre modalité de preuve de la formation d'un contrat ou de son exécution : si vous pouvez vous procurer une confirmation écrite (ou tout autre mode de preuve) a posteriori, alors l'enregistrement à fin de preuve n'a plus lieu d'être. Celui-ci devra tout simplement être supprimé.
Les enregistrements des conversations téléphoniques peuvent avoir pour fondement la base légale du contrat, mais la CNIL précise qu'il faudra informer la personne sur la possibilité, lorsqu’elle existe, de conclure le contrat par d’autres moyens pour que l’enregistrement soit considéré comme preuve de la formation du contrat.
Enregistrement sur le lieu de travail
De nombreuses entreprises ont recours à l'enregistrement des appels avec les clients. La particularité réside dans le fait que cela concerne aussi les salariés.
Quoi qu'il en soit, l'enregistrement des conversations doit respecter un cadre strict :
- la finalité doit être précise et portée à la connaissance du salarié : formation, et éventuellement évaluation des salariés, amélioration du service client, etc.
- la proportionnalité et la pertinence : les enregistrements doivent être strictement nécessaires et pertinents. Ils ne peuvent donc être permanent sur l'ensemble des appels du salarié (sauf exigence légale).
Quid de la vie privée des salariés ?
Il appartient à l’employeur de mettre en place des dispositifs pour que les salariés puissent couper les enregistrements pour les appels personnels.
L'enregistrement des conversations téléphoniques : les bonnes pratiques
Ces pratiques s'appliquent même lors que l'enregistrement des conversations téléphoniques est exigé par la loi.
Information des personnes enregistrées
L'enregistrement des conversations téléphoniques obéit au principe de transparence.
Avant l'activation de l'enregistrement, cela implique d'informer les personnes sur :
- l’existence de l'enregistrement ;
- l'identité du responsable de traitement ;
- l'objectif poursuivi (formation d'un contrat par exemple) ;
- la base légale de l'enregistrement ;
- les destinataires ;
- la durée de conservation ;
- la possibilité de s'opposer à l'enregistrement ;
- l'exercice des droits et la possibilité d'adresser une plainte à la CNIL.
Ces informations pouvant être longues à fournir à l'oral, la CNIL indique qu'il est possible de mentionner dans un premier temps l'existence du dispositif, la finalité poursuivie, la possibilité de s'y opposer ou la nécessité de donner son consentement et l'existence d'informations complémentaires sur un autre support (site internet, "appuyez sur la touche 1 pour plus d'information"...).
Ces mêmes informations doivent par ailleurs être fournies aux salariés.
Limitation des enregistrements
Il est interdit d'enregistrer de façon permanente vos salariés et/ou les personnes qui appellent vos services. Ainsi, 100% des appels ne peuvent être enregistrés (sauf obligation légale).
Vous devez définir des règles sur vos besoins réels. Par exemple :
- Si l'enregistrement permet de prouver la conclusion d'un contrat, seul ce passage doit être enregistré.
- Si l'enregistrement permet d'accompagner les salariés dans leur formation, il sera nécessaire d'enregistrer uniquement certains appels dans la journée et sur une période définie.
Rapprochez-vous du fournisseur de votre outil d'enregistrement afin de mettre en place ces limites.
Conservation des enregistrements
La durée de conservation des enregistrements ne doit pas excéder le temps nécessaire au regard des finalités pour lesquelles ils sont effectués.
Reprenons nos exemples précédents.
- Pour le cas de la formation du contrat par téléphone : si l'entreprise finit par une preuve par écrit de la formation du contrat a posteriori de l'enregistrement, alors l'enregistrement de la conversation n'a plus lieu d'être. La preuve de la formation réside donc dans le contrat signé en bon et dû forme.
- Pour la cas de l'enregistrement sur le lieu de travail : la CNIL préconise les "enregistrements tampon" qui implique de conserver celui-ci juste le temps de leur exploitation pour les finalités prévues et de les détruire ensuite dans les plus brefs délais.
Quid si vous devez conserver les enregistrements ?
Il existe plusieurs moyens pour fixer la durée : les obligations légales, les référentiels et les préconisations de la CNIL et si vous ne trouvez aucune ressource sur laquelle vous appuyer, il vous appartiendra de la définir au cas par cas.
- Pour le cas de la conclusion d'un contrat par téléphone : il convient de prendre en compte la durée de prescription légale. Dans le droit commun des contrats, la durée est de 5 ans (cela peut varier selon la nature du contrat).
- Pour le cas de l'enregistrement des appels sur le lieu de travail : le site de la CNIL indique que la durée de conservation de l'enregistrement est de 6 mois. Pour les documents d'analyse de l'enregistrement , la durée est d'un an.
Au-delà du délai fixé, un processus de suppression devront être mis en place.
Réponse aux droits des personnes
Les individus restent propriétaires et maîtres de leurs données.
À ce titre, vous devez donner la possibilité à chaque personne d’exercer leurs droits : droit d’accès, droit de rectification, droit d’opposition, droit à l’effacement, droit à la limitation, droit à la portabilité, droit à l’intervention humaine face à un profilage.
Bien sûr, en fonction du contexte, certains droits ne pourront pas être applicables. Ainsi, si aucun écrit ne vient attester de la conclusion d'un contrat, il est pertinent que l'entreprise refuse le droit à l'effacement de l'enregistrement.
Attention ! Les personnes doivent être informées de leur droit d’opposition avant l'enregistrement de l'appel.
Sécurité et habilitation
Les appels qui font l'objet d'un enregistrement doivent, sans grande surprise, être protégés contre les accès non autorisés, les modifications non désirées, les éventuelles fuites.
Au-delà de l'aspect purement technique contre les risques cyber, l'entreprise sera dans l'obligation d'instaurer une politique relative aux habilitations.
Concrètement, les personnes pouvant accéder aux enregistrements seront celles qui auront pour mission de remplir la finalité établie.
La CNIL alerte sur une situation particulière : les personnes habilitées peuvent accéder aux mêmes enregistrements, mais pour des finalités différentes.
Exemple : le juriste pourra y avoir accès pour vérifier la validité du contrat, tandis que le chargé de formation pourra exploiter les appels entre un salarié et des clients dans le cadre de sa mission.
Ici, un process devra être mis en place pour séparer de façon logique l'accès aux bases de données (surtout que la durée de conservation varie en fonction de la finalité).
Vos 4 priorités pour des enregistrements conformes au RGPD :
Minimisez : sauf obligation légale, n'enregistrez pas l'ensemble des appels et concentrez-vous uniquement vos besoins réels et justifiés.
Informez : avant d'enregistrer des conversations téléphoniques, expliquez aux personnes à quoi servira l'enregistrement et indiquez qu'il est possible de s'y opposer a minima.
Veillez aux habilitations : soyez attentif aux personnes qui manipulent les enregistrements et par conséquent, coupez l'accès lorsque la durée de conservation est dépassée suivant la finalité.
Facilitez l'exercice des droits de vos clients : prévoyez des procédures claires pour répondre rapidement aux demandes relatives aux données personnelles ou faites-vous épauler par Leto !