RGPD, AI Act, Bloctel : la checklist appels automatisés conforme en 2026

Lancer une campagne d'appels automatisés en France en 2026 sans s'être posé sérieusement la question de la conformité, c'est aujourd'hui un pari à 4 % du chiffre d'affaires mondial. Entre RGPD (qui s'applique depuis 2018), AI Act (entrée en application progressive 2026-2027), Bloctel renforcé, et lignes directrices CNIL de mars 2026 sur les voix synthétiques, le cadre s'est densifié. La bonne nouvelle : il est aussi devenu plus clair, et les obligations sont quasi toutes automatisables.

Ce guide concentre tout ce qu'une PME française doit avoir validé avant de lancer une campagne d'appels IA en 2026 : bases légales, annonce obligatoire de l'IA, gestion du consentement et de l'opt-out, Bloctel, conservation, registre, sanctions encourues, et différences B2B / B2C. À la fin : la checklist 12 points à imprimer.

Le cadre 2026 : RGPD + AI Act + Bloctel

Trois textes se superposent désormais pour les appels automatisés en France. Le RGPD encadre le traitement de données personnelles (numéros, enregistrements, transcriptions, intent détecté). L'AI Act européen, dont l'entrée en application des obligations sur les « systèmes IA à risque limité » s'étale entre août 2026 et août 2027, impose la transparence sur le caractère artificiel d'un agent. Bloctel, enfin, encadre spécifiquement le démarchage téléphonique B2C en France.

• RGPD (UE 2016/679) — base légale obligatoire, droits d'accès / opposition / suppression, registre des traitements, DPO si volumétrie le justifie.
• AI Act (UE 2024/1689) — annonce systématique de l'IA, marquage des contenus synthétiques, traçabilité, hébergement et gouvernance.
• Bloctel (loi Hamon + décret 2022-34) — vérification obligatoire des numéros B2C, plages horaires encadrées, fréquence d'appel limitée.
• Lignes directrices CNIL mars 2026 — voix synthétiques, opt-out vocal, conservation max recommandée, transparence sur le sous-traitant.

Bases légales : consentement vs intérêt légitime

Tout traitement de données personnelles repose sur une base légale. Pour les appels automatisés commerciaux, deux bases sont mobilisables. Le consentement explicite (opt-in actif, recueilli en amont) est la base la plus sûre, exigée pour le B2C et systématiquement attendue par la CNIL en cas de contrôle. L'intérêt légitime est utilisable en B2B sous conditions strictes : finalité commerciale précise, balance des intérêts documentée, opt-out facilité, pas de traitement sensible.

B2C vs B2B : ce qui change vraiment

• B2C (consommateur particulier) : consentement préalable obligatoire en pratique, vérification Bloctel obligatoire, plages 10h-13h / 14h-20h en semaine uniquement, max 4 sollicitations par mois sur le même numéro.
• B2B (numéro pro / SIRET) : intérêt légitime acceptable si la prospection est en lien direct avec l'activité du destinataire, balance documentée, opt-out clair. Bloctel ne s'applique pas, mais la CNIL veille sur le démarchage massif.
• Cas mixte (artisan, profession libérale au domicile) : prudence — souvent traité comme B2C en cas de doute, surtout si le numéro est un mobile personnel.

L'annonce obligatoire de l'IA en début d'appel

Depuis les lignes directrices CNIL de mars 2026 et conformément à l'AI Act (article 50), tout appel passé par un agent vocal IA en France doit être ouvert par une annonce explicite. L'objectif : qu'une personne raisonnable comprenne immédiatement qu'elle parle à une machine. Une formulation type qui passe les contrôles : « Bonjour, je suis [Prénom], assistant vocal de [Société]. Je vous appelle au sujet de... ». Le mot "assistant vocal", "agent IA" ou "automate" doit apparaître clairement.

• L'annonce doit être audible (pas dissimulée derrière de la musique ou un débit accéléré).
• Elle doit intervenir dans les 10 premières secondes.
• Elle doit être maintenue à chaque rappel — pas seulement au premier contact.
• L'opt-out doit être proposé explicitement (« si vous ne souhaitez pas être contacté, dites-le moi maintenant »).
• L'enregistrement de cette annonce doit être archivable pour preuve en cas de contrôle.

Bloctel : la mécanique technique en 2026

Bloctel impose à toute entreprise menant du démarchage téléphonique B2C de soumettre ses fichiers de prospection à la base d'opposition avant chaque vague d'appels. Concrètement : upload du fichier, exclusion automatique des numéros inscrits, génération d'un certificat de filtrage à conserver 5 ans. La validité du filtrage est de 30 jours maximum — au-delà, il faut refiltrer. Le coût pour les PME tourne autour de 30 à 200 €/mois selon le volume.

• Inscription préalable de l'entreprise auprès du gestionnaire Bloctel (Worldline).
• Upload chiffré des fichiers, retour avec numéros à exclure marqués.
• Conservation du certificat de filtrage et du fichier expurgé pendant 5 ans.
• Plages horaires obligatoires : 10h-13h et 14h-20h en semaine, samedi 10h-13h, jamais le dimanche ni les jours fériés.
• Maximum 4 sollicitations par numéro et par période de 30 jours, refus définitif sous 60 jours.

Opt-out vocal : comment le rendre conforme

L'opt-out doit être aussi simple que l'opt-in. Pour un appel automatisé, la voie la plus solide est l'opt-out vocal en cours d'appel : l'agent reconnaît une intention de refus (« je ne veux plus être appelé », « retirez-moi de votre liste », « stop ») et confirme le retrait immédiatement. Combiné à un opt-out par DTMF (« tapez 9 pour ne plus être contacté ») et un email/SMS de confirmation, vous couvrez les exigences CNIL et AI Act.

• Opt-out vocal détecté en NLU (intent stop, refus, opposition) — réponse immédiate de l'agent.
• Opt-out DTMF (touche dédiée) annoncé dans l'introduction.
• Confirmation écrite SMS ou email envoyée dans la minute, avec lien d'opposition durable.
• Mise à jour automatique du CRM et de la liste de suppression — bloquer toute relance toutes campagnes confondues.
• Conservation de la preuve d'opt-out pendant 3 ans minimum.

Article 22 RGPD : décisions automatisées

L'article 22 du RGPD encadre les décisions « fondées exclusivement sur un traitement automatisé » produisant des effets juridiques significatifs. En pratique pour un agent vocal IA : si l'agent qualifie un prospect, prend un RDV ou propose une offre, ce n'est pas une décision article 22 (pas d'effet juridique). Mais s'il refuse un dossier, déclenche un litige automatisé, ou attribue un score qui conditionne une décision de crédit / d'assurance, l'article 22 s'applique : intervention humaine obligatoire, droit de contester.

Données collectées et conservation

• Numéro de téléphone et identité du contact (durée : durée de la relation commerciale + 3 ans).
• Enregistrement audio de l'appel (durée recommandée CNIL : 6 mois max sauf litige).
• Transcription textuelle (mêmes durées que l'audio).
• Métadonnées techniques (horodatage, durée, statut) — durée fonctionnelle puis anonymisation.
• Données comportementales / intent détecté (durée : raisonnable, justifiée, documentée).
• Preuve de consentement / opt-out (durée : 3 ans après la dernière interaction).

Sanctions CNIL : ce qui se passe vraiment

La CNIL a prononcé pour 160 M€ d'amendes en 2025, avec une part croissante sur le démarchage téléphonique automatisé. Les motifs récurrents : absence de base légale valable (consentement non recueilli ou trop ancien), opt-out non respecté, vérification Bloctel manquante, conservation excessive des enregistrements, transfert hors UE non encadré. Les amendes varient de 20 000 € pour une PME en première infraction à plusieurs millions pour les acteurs récidivistes.

Les 4 motifs d'amende les plus fréquents en 2025

• Absence de consentement valide pour la prospection B2C — environ 40 % des dossiers télémarketing.
• Opt-out non respecté ou non déployé sur tous les canaux — environ 25 %.
• Bloctel non vérifié ou certificat périmé — environ 20 %.
• Conservation excessive d'enregistrements / transcriptions — environ 10 %.

Le rôle du DPO et le registre des traitements

Une PME qui fait de la prospection automatisée n'est pas toujours obligée de désigner un DPO formel, mais doit tenir un registre des traitements à jour (article 30 RGPD). Pour les appels IA, le registre doit décrire : finalité, base légale, catégories de données et de personnes, destinataires (sous-traitants), durées de conservation, mesures de sécurité. Voice Pilot génère un registre exportable au format CNIL pour chaque campagne.

La checklist 12 points avant lancement

• 1. Base légale identifiée et documentée (consentement / intérêt légitime selon B2C ou B2B).
• 2. Annonce IA conforme en début d'appel, audible, dans les 10 premières secondes.
• 3. Pour le B2C : numéros filtrés Bloctel, certificat valide < 30 jours.
• 4. Plages horaires et cap de sollicitations respectés (4 max / 30 jours en B2C).
• 5. Opt-out vocal + DTMF + confirmation SMS/email opérationnels.
• 6. Liste de suppression centralisée et appliquée à toutes les campagnes.
• 7. Conservation des enregistrements et transcriptions plafonnée (≤ 6 mois recommandé).
• 8. Hébergement UE confirmé pour audio, transcription et CRM (clause DPA signée).
• 9. Registre des traitements à jour (article 30 RGPD).
• 10. Politique de confidentialité publique mise à jour avec mention de l'IA vocale.
• 11. Procédure d'exercice des droits documentée (accès, opposition, suppression).
• 12. Plan de réponse en cas de fuite ou contrôle CNIL — 72 h de fenêtre de notification.

Comment Voice Pilot couvre ces obligations en natif

Voice Pilot est conçu pour qu'une PME puisse lancer une campagne conforme sans devenir juriste. Les briques natives : annonce IA configurée par défaut sur chaque agent, filtrage Bloctel intégré, opt-out vocal + DTMF + SMS automatique, hébergement Frankfurt (UE), suppression auto des enregistrements à la durée choisie, registre exportable, journal d'opt-out par contact, et plages horaires bloquées par défaut hors horaires Bloctel-compatibles. Les rares actions à votre charge : signer le DPA, tenir à jour votre registre, et former vos opérateurs à la lecture des transcriptions sensibles.

FAQ — appels automatisés et conformité 2026

Faut-il toujours un consentement pour appeler un prospect B2C ?

En pratique oui, surtout pour la prospection commerciale. Une vérification Bloctel sans consentement préalable est insuffisante — Bloctel filtre les opt-outs, il ne crée pas une base légale. Le consentement doit être recueilli au moment d'une interaction antérieure (formulaire, achat, lead magnet), prouvé, et révocable à tout moment.

L'annonce de l'IA doit-elle être faite à chaque appel ou seulement au premier ?

À chaque appel. La position CNIL est claire : un destinataire ne doit pas avoir à se rappeler que la voix d'il y a deux semaines était synthétique. L'annonce est intégrée nativement dans le script et ne se discute pas.

Combien de temps peut-on conserver les enregistrements d'appels ?

La CNIL recommande 6 mois maximum pour les enregistrements bruts, prolongeable uniquement en cas de litige documenté ou d'obligation légale spécifique (réglementation sectorielle). Les transcriptions textuelles peuvent être conservées plus longtemps si elles servent un intérêt commercial documenté, mais doivent être anonymisées dès que possible.

Quelles sanctions en cas de contrôle ?

Les sanctions vont d'une mise en demeure (sans amende) à 4 % du chiffre d'affaires mondial selon la gravité. Pour une PME, on observe en pratique : 20 000 à 100 000 € pour une première infraction sérieuse (consentement manquant, opt-out défaillant), 100 000 à 1 M€ en cas de récidive ou de volumétrie importante. Sans compter le préjudice réputationnel — les sanctions sont publiées sur le site CNIL.

Peut-on appeler un numéro trouvé sur un site web professionnel ?

En B2B, oui sous intérêt légitime, à condition que la prospection soit en lien direct avec l'activité du destinataire et qu'un opt-out clair soit proposé. La publication du numéro ne vaut pas consentement, mais l'intérêt légitime peut suffire si la balance d'intérêts est documentée. En B2C, la réponse est non — Bloctel + consentement préalable s'imposent.

Que faire si Bloctel renvoie un fichier mal expurgé ?

Le certificat fait foi : si vous avez bien soumis le fichier dans les délais et que l'opérateur a renvoyé un résultat, votre conformité est démontrée. En cas de réclamation d'un destinataire, le certificat horodaté + le fichier expurgé suffisent à prouver la diligence. Conservez les deux pendant 5 ans.

L'AI Act impose-t-il un audit externe pour les agents vocaux ?

Non, pas pour les systèmes IA à risque limité (ce qui est le cas d'un agent vocal commercial). L'AI Act impose la transparence (annonce de l'IA) et la traçabilité, pas un audit indépendant comme pour les systèmes à haut risque (santé, finance, justice). Les obligations s'appliquent en cascade entre le fournisseur du modèle et l'utilisateur final.

La conformité n'est pas un frein à la performance. C'est un avantage concurrentiel qui renforce la confiance de vos prospects — et le seul moyen, en 2026, d'éviter qu'un contrôle CNIL ne vienne effacer trois trimestres de marge.

— L'équipe Voice Pilot