Appels IA à l'international : ce qu'il faut savoir pays par pays (FR, UE, UK, US, Canada)

Faire passer un appel automatisé par IA en 2026, ce n'est plus seulement une question d'outil — c'est une question de juridiction. Le même script qui passe sans souci à Lille peut coûter cher à Londres, vous valoir une plainte à Berlin, déclencher une class-action à Houston ou un avis de l'autorité au Québec. Le cadre légal varie d'un pays à l'autre, et c'est précisément cette mosaïque que cette page démêle.

Pour chaque marché clé, on précise : l'autorité compétente, la base légale dominante, le régime des appels automatisés, l'opt-out applicable, les plages horaires autorisées, les sanctions encourues, et le piège classique. À la fin : un tableau de synthèse 8 marchés et la mécanique Voice Pilot pour appliquer ces règles à la volée.

France — CNIL, Bloctel, AI Act

Autorité : CNIL. Cadre : RGPD + Code de la consommation (Bloctel) + AI Act + lignes directrices CNIL mars 2026 sur les voix synthétiques. Base légale dominante : consentement explicite en B2C, intérêt légitime documenté en B2B. Régime appels automatisés : annonce IA obligatoire en début d'appel, opt-out vocal, vérification Bloctel pour le B2C. Plages : 10h-13h / 14h-20h en semaine, samedi 10h-13h, jamais le dimanche ou jours fériés. Maximum 4 sollicitations/30 jours sur le même numéro B2C.

Sanctions : amendes CNIL jusqu'à 4 % du CA mondial, 75 000 € par infraction Bloctel pour une personne morale (375 000 € en récidive). En 2025, 160 M€ d'amendes prononcées au total. Piège classique : croire qu'un numéro publié sur un site B2B vaut consentement — il ne vaut que comme indice d'intérêt légitime, à étayer.

Union Européenne — RGPD harmonisé + AI Act

Cadre : RGPD (UE 2016/679) appliqué uniformément, complété par l'AI Act (UE 2024/1689) entré en vigueur août 2024 avec une application progressive jusqu'en août 2027. Pour les agents vocaux, l'AI Act les classe en « risque limité » : obligation de transparence (article 50) — l'utilisateur doit savoir qu'il interagit avec une IA. Pas d'audit externe imposé pour ce niveau, mais traçabilité documentaire obligatoire.

• Annonce IA obligatoire en début d'appel (article 50 AI Act).
• Marquage des contenus synthétiques (logging interne suffit pour la voix).
• Documentation technique disponible pour les autorités.
• Hébergement et flux de données encadrés par les chapitres V du RGPD pour les transferts hors UE.
• Coopération avec l'autorité chef de file (mécanisme guichet unique).

Royaume-Uni — UK GDPR + PECR + ICO

Autorité : ICO (Information Commissioner's Office). Cadre : UK GDPR + Data Protection Act 2018 + PECR (Privacy and Electronic Communications Regulations) qui régit spécifiquement le marketing direct par téléphone. Base légale dominante : consentement préalable (PECR exige opt-in pour la prospection téléphonique automatisée), intérêt légitime accepté pour les contacts B2B existants.

Régime appels automatisés : opt-in explicite obligatoire pour les appels automatisés (live ou pré-enregistrés), inscription obligatoire au TPS / CTPS, identification claire de l'appelant. Sanctions : jusqu'à £17,5M ou 4 % du CA mondial sous UK GDPR ; £500 000 sous PECR pour les violations marketing ; pénalités personnelles possibles pour les directeurs.

Allemagne — BDSG + UWG + autorités Länder

Autorités : 16 BfDI / autorités Länder (Allemagne fédérale). Cadre : BDSG (loi fédérale RGPD) + UWG (loi sur la concurrence déloyale, § 7 spécifique au démarchage). Base légale : consentement préalable explicite (opt-in écrit en B2C, opt-in présumé en B2B uniquement si l'objet de l'appel est clairement attendu).

L'Allemagne est l'un des marchés les plus stricts d'Europe. La jurisprudence interprète l'UWG très strictement : un seul appel non sollicité peut déclencher une procédure d'avertissement (Abmahnung) coûteuse via un cabinet d'avocats. Sanctions : jusqu'à 300 000 € par violation UWG + RGPD jusqu'à 4 % du CA mondial. Piège : le « consentement implicite B2B » n'existe pas sous BDSG comme on peut l'invoquer en France.

Italie — Garante + Codice del Consumo

Autorité : Garante per la protezione dei dati personali. Cadre : RGPD + Codice del Consumo + Registro Pubblico delle Opposizioni (RPO) — équivalent Bloctel italien. Base légale : consentement explicite en B2C, intérêt légitime encadré en B2B. Vérification RPO obligatoire avant tout démarchage B2C, certificat à conserver.

Plages horaires : 9h-21h en semaine, 10h-19h le samedi, interdit le dimanche. Sanctions : Garante actif sur le démarchage automatisé — plusieurs amendes 2025 dépassant 1 M€ pour utilisation de bases sans consentement valide.

Espagne — AEPD + LOPDGDD + Lista Robinson

Autorité : AEPD (Agencia Española de Protección de Datos). Cadre : RGPD + LOPDGDD (loi nationale RGPD) + Lista Robinson (équivalent Bloctel). Base légale : consentement préalable en B2C, intérêt légitime documenté en B2B avec opt-out clair. Le démarchage à des heures inappropriées est sanctionné même avec consentement.

Plages : 9h-21h en semaine, 10h-19h le samedi, jamais le dimanche ni jours fériés. Sanctions : AEPD est l'une des autorités les plus actives d'Europe, avec 35 % du total des amendes RGPD européennes en 2024. Plafond : 4 % CA mondial.

États-Unis — TCPA, FCC, états (CA CCPA/CPRA, NY, etc.)

Cadre fédéral : TCPA (Telephone Consumer Protection Act) sous supervision FCC + Do Not Call Registry. Pour les appels automatisés (autodialed, prerecorded, AI voice), le TCPA exige le consentement écrit préalable exprès (Prior Express Written Consent — PEWC) en B2C. Pour le B2B, le régime est plus souple mais la FCC a précisé en 2024 que les appels par IA générative sont assimilés à des « artificial or prerecorded voice » et tombent sous TCPA.

• Consentement écrit explicite (signature numérique, double opt-in) requis avant tout appel automatisé B2C.
• Vérification du Do Not Call Registry (national) + listes étatiques.
• Identification claire de l'appelant : nom, raison sociale, numéro de rappel — au tout début.
• Plages horaires : 8h-21h heure locale du destinataire (pas de l'appelant !).
• Mécanisme d'opt-out automatique en cours d'appel.

Sanctions : 500 à 1 500 USD par appel non conforme, multipliable en class-action — un fichier de 10 000 prospects mal travaillé peut coûter plusieurs millions. Surveillance accrue depuis l'arrivée des deepfakes vocaux (FCC declaratory ruling février 2024 : les voix IA tombent explicitement sous TCPA).

Canada — CASL + LNNTE + provinces

Cadre fédéral : CASL (Canadian Anti-Spam Legislation) couvre certains messages électroniques mais les appels téléphoniques vocaux relèvent surtout des Règles sur les télécommunications non sollicitées du CRTC + LNNTE (Liste nationale de numéros de télécommunication exclus). Vérification LNNTE obligatoire avant tout démarchage B2C.

Plages : 9h-21h en semaine, 10h-18h le week-end (heure locale du destinataire). Provinces avec règles supplémentaires : Québec (loi 25 — équivalent RGPD provincial entré en vigueur 2024). Sanctions : jusqu'à 15 000 CAD par infraction CRTC, 25 M CAD pour les organisations sous CASL.

Tableau de synthèse 8 marchés

• France — CNIL/Bloctel — opt-in B2C, intérêt légitime B2B, 4 sollicitations/30j max.
• UE (autres) — RGPD + AI Act — annonce IA obligatoire à partir d'août 2026.
• UK — ICO/PECR — opt-in obligatoire pour appels automatisés, inscription TPS/CTPS.
• Allemagne — BDSG/UWG — opt-in écrit B2C, jurisprudence très stricte, Abmahnung fréquent.
• Italie — Garante/RPO — opt-in B2C, vérification RPO, plages 9h-21h.
• Espagne — AEPD/Lista Robinson — opt-in, autorité très active sur le démarchage.
• États-Unis — TCPA/FCC — PEWC obligatoire B2C, 500-1500 USD par violation, class-actions.
• Canada — CRTC/LNNTE — vérification LNNTE B2C, loi 25 au Québec, plages strictes.

RGPD transfrontalier — l'application multi-pays UE

Quand vous opérez dans plusieurs pays UE depuis la France, le RGPD s'applique de manière harmonisée mais les autorités nationales gardent leurs spécificités (sanctions pratiquées, jurisprudence, plages, listes d'opposition nationales). Le mécanisme « guichet unique » désigne une autorité chef de file (en général celle de votre pays d'établissement principal) — la CNIL pour une PME française. Mais les autres autorités peuvent être consultées et co-décider en cas de plainte transfrontalière.

Comment Voice Pilot applique le bon cadre par pays

• Détection automatique du pays de destination par préfixe E.164 et choix du jeu de règles applicables.
• Plages horaires bloquées par défaut hors fenêtres locales conformes (heure du destinataire).
• Vérification automatique des listes d'opposition nationales (Bloctel, RPO, Lista Robinson, TPS, DNC, LNNTE) selon le pays.
• Annonce IA injectée systématiquement (AI Act + UE / TCPA US) en première intention.
• Cap automatique du nombre de sollicitations par destinataire selon les règles locales.
• Hébergement audio + transcription en UE (Frankfurt) avec DPA pré-signé.
• Registre de traitement multi-juridiction exportable pour audits CNIL, ICO, Garante, AEPD.

FAQ — appels IA à l'international

Une PME française peut-elle appeler des prospects au Royaume-Uni ?

Oui, mais sous le régime UK GDPR + PECR — qui exige un opt-in préalable explicite pour le démarchage automatisé, plus strict que le RGPD français. Vérification TPS/CTPS obligatoire, et inscription auprès de l'ICO si vous traitez régulièrement des données UK. La sortie de l'UE n'a pas allégé le cadre, au contraire.

Le RGPD s'applique-t-il aux appels passés depuis hors-UE vers des destinataires UE ?

Oui — article 3 RGPD : le règlement s'applique dès qu'un traitement vise une personne située dans l'UE, quel que soit l'établissement du responsable. Une société américaine qui appelle des prospects français doit donc respecter le RGPD + Bloctel + AI Act, et désigner un représentant UE.

Faut-il une déclaration spécifique pour utiliser une voix synthétique ?

En UE, oui : l'AI Act impose la transparence (article 50). Aux États-Unis, depuis février 2024, la FCC assimile les voix IA aux « artificial voices » du TCPA — donc consentement écrit préalable + identification + opt-out. Au Royaume-Uni, l'ICO suit la même ligne sous PECR + UK GDPR. Bref : annoncer la voix synthétique est désormais un standard partout.

Quelle est la sanction la plus dure sur le marché américain ?

Le TCPA fédéral plafonne à 1 500 USD par appel non conforme (3x les 500 USD pour violation knowing). Mais la véritable exposition vient des class-actions : un fichier de 100 000 prospects appelés sans PEWC peut générer une demande à 50-150 M USD. La Floride (FTSA) et la Californie (CCPA + droit privé d'action) sont les pires juridictions.

Les listes d'opposition se vérifient-elles automatiquement ?

Oui chez Voice Pilot : avant chaque campagne, la plateforme détecte le pays de destination et appelle l'API de la liste d'opposition correspondante (Bloctel pour FR, TPS pour UK, RPO pour IT, etc.). Le certificat de filtrage est conservé 5 ans pour preuve en cas de contrôle.

Quelle plage horaire respecter pour appeler en Europe ?

Le standard sûr : 10h-13h et 14h-20h en semaine (selon l'heure locale du destinataire), 10h-13h le samedi, jamais le dimanche ni les jours fériés locaux. C'est plus restrictif que la loi de plusieurs pays mais ça garantit la conformité partout en UE simultanément.

En 2026 la conformité multi-juridiction n'est plus un problème de juriste — c'est un problème de plateforme. Soit votre outil applique le bon cadre automatiquement par pays de destination, soit vous payerez l'erreur à un moment.

— L'équipe Voice Pilot