L'AEPD durcit ses attentes sur la transcription vocale par IA : nouveau guide RGPD pour les DPO

22/4/26
👈 les autres actualités

L'Agence espagnole de protection des données (AEPD) vient de publier, le 20 avril 2026, un second volet de lignes directrices dédié aux outils de transcription vocale dopés à l'intelligence artificielle. Le message est clair : l'automatisation n'allège en rien les obligations RGPD — elle les renforce. Pour les DPO confrontés à la déferlante des assistants de réunion IA, ce texte devient une feuille de route opérationnelle incontournable.

Ce que dit l'AEPD

La voix est une donnée personnelle. L'AEPD le rappelle de manière tranchée : qu'il s'agisse du contenu de la parole, de ses métadonnées ou des caractéristiques vocales elles-mêmes, tout traitement tombe sous le RGPD, sauf anonymisation intégrale ou voix purement synthétique. L'autorité réaffirme également que l'organisation qui utilise un outil de transcription — interne ou externe — agit comme responsable de traitement, avec toutes les obligations qui en découlent.

Les lignes directrices détaillent une approche fondée sur les risques qui s'articule autour de quatre axes opérationnels : gouvernance continue tout au long du cycle de vie de l'outil, transparence claire avant et pendant chaque session d'enregistrement, diligence raisonnable renforcée sur les fournisseurs, et gestion proactive des erreurs de transcription. L'AEPD prend le soin de prévenir : « la confiance passive dans la fonctionnalité de l'IA est insuffisante ».

Le texte traite aussi d'un point devenu sensible : le consentement. Les clauses génériques du type « rejoindre la réunion vaut consentement » sont explicitement écartées. Le consentement doit être spécifique à chaque session, expirer à sa fin, et l'enregistrement doit s'arrêter automatiquement dès que la base légale n'est plus applicable.

Pourquoi c'est important

L'AEPD ancre sa doctrine sur plusieurs articles pivots du RGPD — l'article 5 (principe d'exactitude), l'article 15 (droit d'accès), l'article 16 (droit de rectification) et surtout l'article 28 relatif aux sous-traitants. Pour les responsables de traitement, cela signifie qu'un contrat standard avec l'éditeur de l'outil ne suffit plus : il faut interroger concrètement la réutilisation des données pour l'entraînement, la revue humaine, la sécurité, la durée de conservation, la minimisation et la localisation des traitements.

Autre articulation majeure : l'articulation avec l'AI Act (règlement (UE) 2024/1689). L'AEPD rappelle que les outils qui infèrent des émotions, croyances, états de santé ou identifiants biométriques peuvent relever des systèmes d'IA à haut risque, voire des pratiques interdites. Un assistant IA qui produit des insights émotionnels sur un commercial ou un candidat n'est donc plus seulement un problème RGPD — il devient potentiellement un problème d'IA Act. Enfin, l'autorité souligne que le ré-entraînement des modèles change la donne : l'entité qui retraite peut devenir un nouveau responsable de traitement autonome, avec sa propre base légale à justifier.

Ce que ça change pour les organisations

Concrètement, les DPO doivent actualiser leur démarche à trois niveaux. D'abord, la phase de sourcing : la sélection d'un outil de transcription IA relève désormais d'un audit complet de sous-traitant, et la revue du DPA doit prêter une attention particulière aux clauses de réutilisation, de revue humaine et de localisation. Un outil qui s'arroge le droit de réentraîner ses modèles sans base légale distincte devient un risque majeur.

Ensuite, l'expérience utilisateur. Une mention au début de la réunion ne suffit plus : il faut une indication visible ou audible continue tout au long de la session, et un mécanisme de retrait aussi accessible que l'entrée en séance. L'AEPD insiste sur le fait que les transcripts ne sont pas des textes neutres — ils sont attribués à des personnes identifiables, avec tout ce que cela implique en matière de rectification.

Enfin, la gouvernance des erreurs. Les organisations doivent anticiper et détecter les erreurs de transcription, pas seulement les corriger à la demande. Cela suppose des procédures de revue humaine, un accès facilité pour l'exercice du droit de rectification (article 16 RGPD), et une vigilance particulière sur les biais linguistiques ou les inférences sensibles. La sensibilisation des équipes qui utilisent ces outils devient un pilier de conformité à part entière.

Ce que Leto pense de cette décision

Cette guidance est un signal faible à ne pas sous-estimer. L'AEPD s'est imposée ces deux dernières années comme l'une des autorités les plus actives sur la régulation de l'IA, et ses positions sont systématiquement reprises par le CEPD. Autrement dit : ce que l'Espagne écrit aujourd'hui sur la transcription vocale, la CNIL l'intégrera demain dans ses contrôles. Les DPO qui attendent une position française explicite avant d'agir prennent un risque de retard que ni le RGPD ni l'AI Act ne pardonneront. Notre conseil : cartographiez dès ce trimestre tous les outils de transcription IA utilisés dans votre organisation, auditez leurs DPA à la lumière de ces nouveaux critères, et documentez votre raisonnement — parce que la prochaine étape sera l'exigence de démonstration.

Sources :
AEPD, Transcripción de voz con IA (II) : responsabilidad, derechos y transparencia, 20 avril 2026.
Covington Inside Privacy, Spain's Supervisory Authority Issues New Guidance on AI-Based Voice Transcription, 22 avril 2026.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026