Enregistrement des conversations professionnelles : ce que le RGPD impose aux employeurs
Le 12 mai 2026, l’Autorité de Protection des Données (APD) a infligé à la Société Wallonne des Eaux (SWDE) des amendes d’un montant total de 86.000 euros à la suite de plusieurs manquements constatés dans le cadre de l’enregistrement et de l’écoute d’appels téléphoniques de son centre de contact.
Cette décision traite notamment de l’interaction entre le RGPD et les lois protégeant la confidentialité des communications électroniques, et en particulier de l’interprétation à donner à l’exception qui permet d’enregistrer les conversations des employés d’un call center.
Cette décision rappelle que les entreprises ne peuvent pas enregistrer des conversations professionnelles sans respecter un ensemble d’obligations légales strictes.
Si les enregistrements de conversation sont souvent présentés comme un outil de contrôle qualité, de formation ou de preuve, ils constituent avant tout un traitement de données à caractère personnel et doivent, à ce titre, respecter les principes du RGPD.
À l’heure où les entreprises et les administrations utilisent quotidiennement Microsoft Teams, Zoom, Google Meet ou encore des assistants d’intelligence artificielle capables d’enregistrer, retranscrire et analyser automatiquement les conversations, cette décision constitue un rappel particulièrement utile : enregistrer une conversation professionnelle constitue un traitement de données à caractère personnel soumis aux exigences du RGPD. Cette sanction dépasse donc largement le cadre du téléphone.
Ce que l'APD reproche à l'entreprise
Dans cette affaire, l’APD a identifié plusieurs manquements.
Le premier concerne le manque de transparence à l’égard des personnes enregistrées. Les appelants ne recevaient pas une information suffisamment accessible concernant les enregistrements réalisés et les modalités d’exercice de leurs droits. L’APD a considéré que le simple renvoi vers un site internet n’était pas toujours suffisant, particulièrement lorsque le service concerné s’adresse à l’ensemble de la population.
Le second manquement concerne l’absence de contrat de sous-traitance conforme avec un prestataire intervenant dans l’analyse des appels enregistrés. Or, lorsqu’un prestataire traite des données pour le compte d’une organisation, l’article 28 du RGPD impose la conclusion d’un contrat de sous-traitance définissant précisément les obligations de chaque partie.
L’APD a également relevé des problèmes liés à la conservation des enregistrements. Les procédures mises en place ne permettaient pas de garantir le respect de la durée maximale prévue dans le cadre de l’exception applicable aux centres d’appels.
Enfin, des insuffisances ont été constatées dans l’information fournie aux travailleurs eux-mêmes. La plainte provient d’ailleurs d’un collaborateur de la SWDE.
Quels enregistrements et quelles données ?
Cette décision dépasse largement le cadre des centres d’appels. Aujourd’hui, de nombreuses organisations enregistrent des conversations sous différentes formes :
- appels entrants ou sortants ;
- visioconférences Teams, Zoom ou Google Meet ;
- réunions enregistrées pour rédaction automatique de comptes rendus ;
- outils d’intelligence artificielle générant des transcriptions ;
- dispositifs de formation ou d’évaluation du personnel.
Dans tous ces cas, des données à caractère personnel sont traitées et les mêmes questions doivent être posées :
- Pourquoi l’enregistrement est-il nécessaire ?
- Quelle est sa base légale ?
- Les personnes concernées sont-elles correctement informées ?
- Pendant combien de temps les données sont-elles conservées ?
- Qui peut accéder aux enregistrements ?
- Un sous-traitant intervient-il dans le traitement ?
Les points de vigilance pour les organisations
Avant de mettre en œuvre un système d’enregistrement, il est recommandé de vérifier plusieurs éléments :
- Définir clairement les finalités poursuivies.
- Identifier la base juridique appropriée.
- Informer les travailleurs, clients ou usagers de manière complète et compréhensible.
- Encadrer contractuellement les sous-traitants.
- Déterminer une durée de conservation justifiée.
- Sécuriser les accès aux enregistrements.
- Évaluer la nécessité de réaliser une analyse d’impact relative à la protection des données (AIPD).
Beaucoup d’organisations pensent être conformes parce qu’une notification annonce qu’une réunion est enregistrée ou parce qu’un message vocal informe les appelants que la conversation peut être enregistrée. La décision de la SWDE démontre que cela ne suffit pas. Le RGPD impose une véritable réflexion sur la finalité du traitement, l’information des personnes concernées, la durée de conservation, les droits des personnes, les sous-traitants impliqués et la sécurité des données.
Enregistrement d'échanges professionnel et Vie Privée
L’une des erreurs les plus fréquentes consiste à penser que les échanges réalisés au moyen d’un outil professionnel appartiennent entièrement à l’employeur. Or, même dans un contexte professionnel, les communications bénéficient d’une protection juridique importante. Qu’il s’agisse d’e-mails, d’appels téléphoniques, de conversations Teams ou de réunions enregistrées, l’employeur ne dispose pas d’un droit illimité d’accès ou de surveillance. Le RGPD, le droit au respect de la vie privée et les règles encadrant les communications électroniques imposent au contraire une approche fondée sur la nécessité, la proportionnalité et la transparence.
Enregistrer : maîtriser ses choix et ses risques
Au-delà du cas d’espèce, cette décision illustre parfaitement l’un des principes fondamentaux du RGPD : l’accountability.
Il ne suffit pas qu’un traitement poursuive un objectif légitime. L’organisation doit être capable de démontrer qu’elle a identifié les risques, documenté ses choix et mis en place les mesures appropriées pour protéger les personnes concernées.
Les enregistrements audio et vidéo sont souvent perçus comme des outils pratiques de gestion ou de contrôle qualité. Pourtant, ils peuvent rapidement devenir une source importante de risque juridique lorsqu’ils ne sont pas correctement encadrés.
Cette décision de l’APD constitue donc un rappel utile : enregistrer est possible, mais enregistrer de manière conforme exige une véritable démarche de gouvernance des données.