[data] RGPD-GDPR synthèse pour prestataire de traitement de données vocales (Règlement UE 2016/679 « données personnelles »)

[mis à jour le 24 aout 2017] Et pourquoi refuserais-je l’invitation d’une start-up à la technologie très innovante qui traite les données vocales des clients de ses clients professionnels ? S’informer à titre professionnel sur le RGPD, c’est déjà démarrer son processus de mise en conformité ! Merci aux équipes d’Allo-Media pour leur accueil et leurs (très nombreuses) questions lors de cette matinée du 23 aout 2017 (très bonnes, ces chouquettes !).


Les problématiques du prestataire SaaS sont ici envisagées de manière classique : il s’agit de traiter les données vocales (personnelles ?) des clients (users) du client du prestataire. Manifestement, il s’agit bien d’une prestation de sous-traitance au sens du RGPD. 

Mais les données vocales ne sont pas des données classiques de type « fichier client » : il s’agit de traiter en temps réel, sans enregistrement, des conversations téléphoniques entre des consommateurs et des professionnels, pour des finalités différentes. Ce qui pose le problème (i) de la détermination de la finalité du traitement et du droit du responsable du traitement d’y procéder (ii) de l’analyse du « contenu des correspondances électroniques » que sont les données vocales d’une conversation téléphonique (un appel à un service client, par exemple).

Si la GDPR s’applique indéniablement, il serait regrettable de ne pas évoquer le projet de Règlement e-Privacy qui, justement, encadre l’utilisation par les prestataires de communication électronique du « contenu » de ces communications électroniques. Il va falloir – décidément – se soucier aussi et rapidement – de ce nouveau projet prévu (on peut rêver) pour s’appliquer au 25 mai 2018… 

Nous avons donc évoqué de manière spécifique la définition des données personnelles, ainsi que les processus de pseudonymisation et d’anonymisation (données définitivement non-personnelles ou « statistiques »).