Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Aircall et RGPD : guide de conformité 2026

Aircall est-il conforme au RGPD ? Hébergement aux États-Unis, transferts, DPA, enregistrement des appels et configuration recommandée.

Aircall équipe aujourd’hui des milliers de services commerciaux et de support en France, et c’est l’un des outils que je vois revenir le plus souvent dans les audits de PME. Sa logique de conformité diffère radicalement d’un outil français comme Crisp : malgré ses origines françaises et son siège parisien, Aircall héberge par défaut ses données — y compris vos enregistrements d’appels — sur l’infrastructure AWS aux États-Unis.

Cette caractéristique, combinée au fait que la téléphonie touche à deux régimes juridiques superposés (le RGPD et le droit du travail dès qu’on enregistre des appels), fait d’Aircall un cas plus délicat que la moyenne des outils SaaS. Voici comment qualifier votre relation avec Aircall, ce que dit son contrat de sous-traitance, le vrai sujet des transferts hors UE, et le cadre CNIL à respecter pour l’enregistrement des appels.

Pour une vue d’ensemble, consultez notre guide sur la conformité RGPD des outils et logiciels.

Aircall est un sous-traitant : ce que ça implique pour vous

Quand vous utilisez Aircall pour gérer vos appels entrants et sortants, c’est vous qui décidez des finalités (assurer le support, qualifier des prospects, suivre la performance commerciale) et des moyens essentiels du traitement. Vous êtes donc le responsable de traitement. Aircall, qui traite ces données « pour votre compte » et selon vos instructions, est un sous-traitant au sens de l’article 4(8) du RGPD.

Cette qualification déclenche les obligations de l’article 28 du RGPD : la relation doit être encadrée par un contrat de sous-traitance écrit (DPA). Bon point pour Aircall, son DPA s’applique automatiquement dès la signature des conditions d’utilisation ou d’un bon de commande — vous n’avez pas de démarche spécifique à accomplir pour qu’il entre en vigueur. Mauvaise nouvelle : « automatique » ne veut pas dire « lu ». C’est l’une des non-conformités les plus fréquentes que je constate — non parce que le DPA manque, mais parce que personne ne l’a réellement examiné, notamment ses annexes sur les sous-traitants ultérieurs et les transferts.

Concrètement, en tant que responsable de traitement, vous devez :

  • récupérer et archiver le DPA d’Aircall ainsi que sa liste de sous-traitants ultérieurs ;
  • inscrire le traitement à votre registre des activités de traitement (finalité : téléphonie / relation client ; sous-traitant : Aircall ; hébergement : États-Unis) ;
  • informer vos interlocuteurs et vos salariés de l’enregistrement éventuel des appels ;
  • vous assurer d’une base légale valable pour chaque finalité.

Le vrai sujet Aircall : l’hébergement aux États-Unis

C’est ici qu’Aircall se distingue nettement d’un éditeur européen. Par défaut, les enregistrements d’appels et les messages vocaux sont stockés sur des serveurs AWS situés dans l’Oregon, aux États-Unis. Le reste des données traitées (données de compte, données utilisateurs, statistiques d’appels) est également hébergé aux États-Unis. Seuls certains comptes anciens (créés avant le 3 mai 2022) ont pu bénéficier d’un stockage des enregistrements à Francfort ou à Sydney.

Vous êtes donc, dans la grande majorité des cas, dans une situation de transfert de données hors UE — exactement ce qu’un outil 100 % européen vous permet d’éviter. Cela ne rend pas Aircall non conforme, mais cela vous impose de documenter et de sécuriser ces transferts.

Aircall s’appuie sur deux mécanismes prévus par le chapitre V du RGPD :

  • La décision d’adéquation EU-US Data Privacy Framework (DPF) lorsque le destinataire américain (à commencer par AWS) est certifié. Adoptée le 10 juillet 2023, cette décision reste valide en 2026 : le Tribunal de l’UE a rejeté le recours du député Philippe Latombe le 3 septembre 2025 (affaire T-553/23). Un pourvoi est toutefois pendant devant la Cour de justice (affaire C-703/25 P) — un risque résiduel qu’il faut connaître, car une invalidation serait la troisième après le Safe Harbor et le Privacy Shield.
  • Les clauses contractuelles types (CCT) de la Commission pour les transferts vers les pays ne bénéficiant pas d’adéquation. D’après son DPA, Aircall transfère des données vers des sous-traitants situés dans au moins trois pays « non adéquats », États-Unis compris, sous couvert de ces clauses.

Ce que cela implique concrètement pour vous : ne vous contentez pas de la mention « conforme RGPD ». Vérifiez dans les annexes du DPA la liste des sous-traitants et des pays de destination, conservez la preuve du mécanisme de transfert applicable, et — par prudence face au risque d’invalidation du DPF — gardez en tête que les CCT, assorties de mesures supplémentaires, constituent votre filet de sécurité. C’est précisément le type de point que la CNIL examine en priorité depuis ses décisions sur Google Analytics.

Enregistrement des appels : le cadre CNIL à respecter

C’est la spécificité d’Aircall par rapport à la plupart des outils SaaS : dès que vous activez l’enregistrement des appels, vous superposez au RGPD les règles issues du droit du travail et la doctrine constante de la CNIL sur l’écoute et l’enregistrement téléphonique. Voici les principes à respecter.

Pas d’enregistrement permanent ni systématique. L’enregistrement ne peut être justifié que par une finalité déterminée : formation des équipes, amélioration de la qualité du service, ou constitution d’une preuve de la conclusion d’un contrat. Enregistrer « tous les appels, en continu, au cas où » est précisément ce que la CNIL proscrit.

Information des deux parties. Vos interlocuteurs (clients, prospects) doivent être informés de l’enregistrement et de son objet, conformément à l’article 13 du RGPD — typiquement via un message d’accueil. Vos salariés doivent eux aussi être informés des périodes pendant lesquelles ils sont susceptibles d’être écoutés ou enregistrés ; un employeur n’a le droit ni d’écouter ni d’enregistrer les conversations de ses salariés à leur insu.

Droit d’opposition. L’interlocuteur doit être informé de son droit de s’opposer à l’enregistrement avant la fin de la conversation, de façon à pouvoir l’exercer utilement.

Consultation du CSE. La mise en place d’un dispositif d’écoute ou d’enregistrement des salariés constitue un dispositif de contrôle de l’activité : elle suppose l’information et la consultation préalables du comité social et économique.

Dans mon expérience de conseil, le maillon faible n’est presque jamais l’outil : c’est l’absence de message d’information à l’appelant et l’oubli de la consultation du CSE. Aircall vous donne les fonctionnalités (activer/désactiver l’enregistrement par ligne, messages d’accueil) ; la conformité du paramétrage et des process reste votre responsabilité.

Quelle base légale pour l’enregistrement ?

Pour l’enregistrement à des fins de formation ou d’amélioration de la qualité, l’intérêt légitime (article 6(1)(f)) est généralement la base la plus adaptée, sous réserve d’un test de mise en balance et du respect du droit d’opposition. Pour un enregistrement servant à prouver la conclusion d’un contrat à distance, l’obligation légale ou l’intérêt légitime peuvent être mobilisés selon le secteur. Le recueil d’un consentement n’est en pratique pas le mécanisme retenu pour les appels professionnels, car il est difficile à matérialiser et révocable à tout instant.

Durées de conservation : la règle des 6 mois

Les enregistrements ne doivent pas être conservés au-delà de ce qui est nécessaire à leur finalité. La CNIL fixe des repères clairs que vous devez répercuter dans votre politique de durées de conservation :

  • 6 mois maximum en base active pour les enregistrements à des fins de formation, d’évaluation ou d’amélioration de la qualité ;
  • 1 an pour les documents d’analyse tirés de l’enregistrement (et non l’enregistrement lui-même) ;
  • 5 ans maximum pour les enregistrements conservés à titre de preuve en matière bancaire.

Concrètement, configurez dans Aircall (ou via vos process internes) une purge automatique des enregistrements à l’issue de la durée retenue. La conservation indéfinie de l’intégralité des enregistrements « pour archive » est l’une des erreurs les plus courantes — et l’une des plus faciles à reprocher en cas de contrôle.

Minimisation : attention au contenu des appels

Le risque le plus sous-estimé n’est pas la fiche contact, c’est le contenu de la conversation. Un interlocuteur peut spontanément évoquer des données sensibles — un problème de santé, une situation financière, une affaire en cours. Vous enregistrez alors des données sensibles sans l’avoir voulu.

Quelques mesures de minimisation concrètes au titre de la sécurité du traitement :

  • N’activez l’enregistrement que sur les lignes qui le justifient, pas sur l’ensemble du standard par défaut.
  • Formez vos agents à ne pas solliciter de données sensibles et à mettre en pause l’enregistrement lorsqu’un interlocuteur en communique spontanément (par exemple un numéro de carte bancaire).
  • Restreignez les accès aux enregistrements aux seuls collaborateurs habilités, avec une traçabilité des écoutes.
  • Purgez les enregistrements contenant des données sensibles dès qu’ils ne sont plus nécessaires.

Configuration recommandée pour un Aircall conforme

Pour récapituler la mise en conformité côté responsable de traitement :

  1. Récupérez et archivez le DPA Aircall et la liste de ses sous-traitants ultérieurs.
  2. Inscrivez le traitement au registre (finalité, base légale, sous-traitant, durée, hébergement aux États-Unis).
  3. Documentez le mécanisme de transfert (DPF et/ou CCT) et conservez-en la preuve ; surveillez l’évolution de la validité du DPF.
  4. Paramétrez l’enregistrement par ligne plutôt que globalement, et seulement pour les finalités justifiées.
  5. Configurez un message d’information à l’appelant (objet de l’enregistrement et droit d’opposition).
  6. Informez vos salariés et consultez le CSE avant tout enregistrement ou écoute.
  7. Réglez les durées de conservation (6 mois pour la qualité/formation) et automatisez la purge.
  8. Mettez à jour votre politique de confidentialité : mentionnez Aircall, l’hébergement aux États-Unis, le mécanisme de transfert, les durées et les droits.

C’est précisément ce type de cartographie — qualifier chaque outil, rattacher son DPA, documenter l’hébergement, les transferts et les durées — que Legiscope automatise pour maintenir un registre vivant plutôt qu’un tableur figé qui se périme dès le prochain changement de sous-traitant.

Ce qu’il faut retenir

  • Aircall est un sous-traitant (article 28 RGPD) : vous restez responsable de traitement. Son DPA s’applique automatiquement, mais doit être lu et archivé, annexes comprises.
  • L’hébergement est aux États-Unis par défaut (AWS Oregon pour les enregistrements et la plupart des données) : vous êtes en situation de transfert hors UE, encadré par le Data Privacy Framework et/ou les clauses contractuelles types.
  • Le DPF reste valide en 2026 (recours Latombe rejeté le 3 septembre 2025), mais un pourvoi est pendant devant la CJUE : gardez les CCT comme filet de sécurité.
  • L’enregistrement des appels impose le cadre CNIL : finalité déterminée, pas d’enregistrement systématique, information des interlocuteurs et des salariés, droit d’opposition, consultation du CSE.
  • Durée de conservation : 6 mois maximum pour les enregistrements à des fins de qualité ou de formation ; automatisez la purge.

FAQ

Aircall est-il conforme au RGPD ?

Aircall fournit les éléments contractuels nécessaires à un usage conforme : un DPA conforme à l’article 28, des mécanismes de transfert (Data Privacy Framework et clauses contractuelles types) et un chiffrement AES-256. La conformité finale dépend toutefois de vous : documentation des transferts, paramétrage de l’enregistrement, information des appelants et des salariés, durées de conservation et inscription au registre relèvent de votre responsabilité de responsable de traitement.

Où Aircall héberge-t-il les données et les enregistrements d’appels ?

Par défaut, les enregistrements d’appels, les messages vocaux et la majorité des données sont hébergés sur des serveurs AWS situés dans l’Oregon, aux États-Unis. Seuls certains comptes créés avant le 3 mai 2022 ont pu bénéficier d’un stockage à Francfort ou à Sydney. Vous êtes donc, dans la plupart des cas, en situation de transfert de données hors UE.

Faut-il le consentement pour enregistrer un appel téléphonique ?

Pour les appels professionnels, le consentement n’est généralement pas la base retenue : on s’appuie le plus souvent sur l’intérêt légitime (article 6(1)(f)), avec une finalité déterminée (formation, qualité, preuve). En revanche, l’information de l’interlocuteur et son droit de s’opposer à l’enregistrement avant la fin de la conversation sont obligatoires, tout comme l’information des salariés concernés.

Combien de temps peut-on conserver les enregistrements d’appels ?

La CNIL retient 6 mois maximum en base active pour les enregistrements à des fins de formation, d’évaluation ou d’amélioration de la qualité. Les documents d’analyse peuvent être conservés un an, et les enregistrements servant de preuve en matière bancaire jusqu’à cinq ans. Au-delà de la durée nécessaire à la finalité, les enregistrements doivent être supprimés.


Vous souhaitez recevoir nos analyses de conformité chaque semaine ? Abonnez-vous à notre newsletter pour décrypter, outil par outil, ce que le RGPD exige réellement de vous.