Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Demander une démo

Retranscription IA et enregistrement vocal : quelle base légale pour vos outils RH ?

par | Juin 4, 2026 | DPO

Illustration d’un outil de retranscription IA utilisé lors d’une visioconférence avec transcription automatique, conformité RGPD et protection des données.

La retranscription IA et l’enregistrement vocal en entreprise sont devenus des standards dans de nombreuses organisations. Microsoft Teams, Zoom, Fireflies, Otter, Noota : ces outils sont désormais dans le viseur de la CNIL, qui a inscrit l’analyse automatique des communications vocales dans son programme de travail 2026. Pour les DPO, la question n’est plus de savoir si ces outils posent problème, c’est comment les encadrer avant qu’un contrôle arrive.

Pourquoi la retranscription IA devient un sujet RGPD urgent en 2026

Le programme de travail 2026 de la CNIL intègre explicitement l’analyse automatique des communications vocales dans ses chantiers prioritaires sur l’IA au travail. La CNIL est en train de construire sa doctrine sur ces usages, avec publication attendue de recommandations. C’est une fenêtre d’anticipation pour les organisations : agir maintenant, avant que les positions doctrinales durcissent et que les contrôles commencent.

Par ailleurs, ces outils soulèvent des questions qui vont au-delà de la transcription elle-même. Certains analysent le ton, la fréquence de prise de parole, les interruptions, ou produisent des résumés automatiques utilisés dans les évaluations RH. À partir de là, on n’est plus seulement dans une aide à la prise de notes : on est dans une analyse comportementale du salarié, avec des conséquences potentielles sur sa carrière.

La question centrale : quelle base légale pour vos outils de retranscription IA ?

C’est le cœur du problème juridique. Les DPO hésitent souvent entre trois bases légales, chacune avec ses limites dans un contexte RH.

L’intérêt légitime (art. 6.1.f du RGPD)

Il peut couvrir des usages organisationnels réels : amélioration de la productivité, archivage de décisions, continuité des projets. Mais il exige un test de mise en balance documenté. Or, les données vocales ont un caractère particulièrement intrusif. Le test doit démontrer que l’intérêt de l’organisation l’emporte sur les attentes raisonnables des salariés, ce qui est difficile à établir si les salariés ne sont pas informés ou si la finalité dépasse la simple prise de notes.

Le consentement (art. 6.1.a du RGPD)

C’est souvent la réponse réflexe, mais elle est problématique dans la relation employeur-employé. Le RGPD et les lignes directrices EDPB 05/2020 sur le consentement sont clairs : dans un contexte de déséquilibre de pouvoir, le consentement du salarié est rarement libre. S’appuyer sur le consentement pour des traitements inhérents à l’exécution du contrat de travail expose l’organisation à un risque de requalification.

L’exécution du contrat (art. 6.1.b du RGPD)

Elle peut couvrir l’enregistrement d’un entretien d’embauche ou d’une réunion de suivi de mission si cela est directement lié au contrat. Mais son périmètre est étroit et ne s’étend pas à l’analyse comportementale ou à la constitution d’un historique de performance.

La réponse dépend donc de la finalité réelle de l’outil. Transcrire pour faciliter la prise de notes n’est pas le même traitement qu’analyser les communications pour détecter des signaux d’alerte ou alimenter un scoring de performance.

Cas particulier : données biométriques et de santé

Certains outils de transcription vont plus loin et analysent la voix elle-même : identification du locuteur par empreinte vocale, détection d’émotions ou d’état de stress. Ces traitements tombent dans les catégories sensibles de l’article 9 du RGPD. La voix peut constituer une donnée biométrique dès lors qu’elle permet l’identification d’un individu, et l’analyse du stress vocal croise potentiellement les données de santé.

Pour ces usages, aucune des bases légales ordinaires ne suffit : il faut une exception de l’article 9.2, et en pratique, dans un contexte RH, seuls le consentement explicite ou la nécessité pour des finalités de médecine du travail permettent de les couvrir. Ces usages avancés doivent être écartés ou encadrés avec une AIPD obligatoire et un avis du CSE avant déploiement.

Ce que vous devez documenter avant de déployer un outil de retranscription IA

  • La finalité précise de l’outil : prise de notes uniquement, résumé automatique, analyse de performance, identification des locuteurs ? Chaque finalité a sa propre base légale et ses propres exigences.
  • Le DPA avec le fournisseur : l’outil agit-il comme sous-traitant ? Où les données sont-elles hébergées ? Sont-elles utilisées pour entraîner le modèle IA ? Ces points doivent figurer dans le contrat.
  • L’information des personnes concernées : la notice d’information doit décrire le traitement, la base légale retenue, la durée de conservation des enregistrements et des transcriptions, et les droits exerçables.
  • La procédure d’information avant chaque réunion enregistrée : une notification verbale ou écrite en début de session ne dispense pas de la mise à jour des mentions d’information permanentes.
  • L’AIPD si le traitement est à haut risque : analyse comportementale des salariés, traitement à grande échelle des communications internes, utilisation de données biométriques, ces critères déclenchent l’obligation d’AIPD avant déploiement.
  • La consultation du CSE : en France, tout déploiement d’un outil de surveillance ou d’évaluation des salariés doit faire l’objet d’une consultation préalable du Comité Social et Économique.

Notre analyse MDP

La CNIL va publier ses recommandations sur l’IA au travail et l’analyse vocale dans les prochains mois. Ces recommandations vont fixer le cadre doctrinal que les contrôleurs utiliseront ensuite comme référence. Les organisations et DPO qui auront documenté leur démarche avant la publication seront en bien meilleure position que celles qui attendront. L’enjeu n’est pas d’interdire ces outils, qui apportent de réels gains de productivité, mais de les encadrer correctement : finalité documentée, base légale défendable, information des personnes, DPA signé, et AIPD si nécessaire.

Vous avez déployé un outil de transcription ou vous envisagez de le faire ? Nous vous aidons à qualifier le traitement, choisir la base légale adaptée et produire la documentation RGPD requise. Contactez-nous

FAQ – Retranscription IA, enregistrement vocal et conformité RGPD

Peut-on utiliser un outil de transcription automatique en entreprise sans violer le RGPD ?

Oui, à condition de respecter plusieurs prérequis : identifier la finalité précise du traitement, choisir la base légale adaptée (intérêt légitime, exécution du contrat), informer les personnes concernées, signer un DPA avec le fournisseur et inscrire le traitement au registre. Si l’outil analyse le comportement des salariés ou traite des données biométriques, une AIPD et une consultation du CSE sont obligatoires avant déploiement.

 

Le consentement du salarié suffit-il comme base légale pour enregistrer une réunion ?

Non, dans la plupart des cas. Le RGPD et les lignes directrices EDPB rappellent que dans un contexte de déséquilibre de pouvoir employeur-employé, le consentement du salarié est rarement considéré comme libre. S’appuyer sur le consentement pour des traitements liés à l’exécution du contrat de travail expose l’organisation à un risque de requalification par la CNIL. L’intérêt légitime ou l’exécution du contrat sont généralement plus adaptés, selon la finalité.

 

Quand faut-il réaliser une AIPD pour un outil de transcription ou d’analyse vocale ?

L’AIPD est obligatoire avant déploiement dès que le traitement présente un risque élevé pour les droits et libertés des personnes. Pour les outils de transcription, cela concerne notamment : l’analyse comportementale des salariés (fréquence de prise de parole, ton, interruptions), le traitement à grande échelle des communications internes, l’utilisation de données biométriques (empreinte vocale) ou la détection d’émotions. En cas de doute, réaliser une AIPD est toujours préférable à ne pas en réaliser.

 

Faut-il consulter le CSE avant de déployer un outil de transcription IA ?

Oui, en France. Tout déploiement d’un outil permettant la surveillance ou l’évaluation des salariés : ce qui peut inclure les outils de transcription produisant des résumés utilisés en RH, doit faire l’objet d’une consultation préalable du Comité Social et Économique (CSE), conformément au Code du travail. Cette consultation doit intervenir avant le déploiement effectif de l’outil.

 

Pourquoi la CNIL s’intéresse-t-elle à la transcription automatique en 2026 ?

La CNIL a inscrit dans son programme de travail 2026 des travaux spécifiques sur l’analyse automatique des communications vocales, notamment dans les centres d’appels et les outils de visioconférence. Ces travaux visent à clarifier les conditions dans lesquelles ces outils peuvent être mis en œuvre. Des recommandations sont attendues dans les prochains mois, ce qui crée une fenêtre d’anticipation pour les organisations qui souhaitent documenter leur conformité avant que les contrôles commencent.

 

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.

En résumé

La retranscription IA et l’enregistrement vocal en entreprise sont des traitements de données personnelles soumis au RGPD qui exigent une base légale défendable selon la finalité réelle de l’outil. Le consentement du salarié est rarement valide dans ce contexte ; l’intérêt légitime ou l’exécution du contrat sont plus adaptés mais nécessitent une documentation rigoureuse. Les outils analysant la voix à des fins biométriques ou d’évaluation comportementale relèvent de l’article 9 et imposent une AIPD et une consultation du CSE avant tout déploiement. La CNIL publie ses recommandations sur ce sujet en 2026 : anticiper, c’est éviter le contrôle.

Sources

Pour aller plus loin

Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Méthode : le Continuous Compliance Operating System - CCOS

Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?

À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.