Visioconférence RGPD : quels critères vérifier ?
Réponse courte
Pour une visioconférence conforme au RGPD, vérifiez surtout : où sont hébergées les données (France, UE ou on-premise), le contrat de sous-traitance (DPA), la liste des sous-traitants, les transferts hors Union européenne, ce qui est enregistré ou journalisé (vidéo, audio, métadonnées, chat), les durées de conservation, et les mesures de sécurité. Ce contenu aide à cadrer un choix B2B ; il ne remplace pas un avis juridique.
Définition simple
Pourquoi la visioconférence traite des données personnelles
Dès qu'un participant est identifiable — nom, email, adresse IP, image, voix, contenu partagé — la solution de visioconférence entre dans le champ du RGPD. Les données peuvent provenir :
- des comptes utilisateurs (salariés, partenaires) ;
- des invités sans compte (clients, candidats, patients selon le secteur) ;
- des enregistrements, transcriptions ou logs de connexion ;
- des intégrations (agenda, CRM, SSO) qui enrichissent le profil.
La conformité ne dépend pas uniquement du logo « RGPD » sur le site de l'éditeur : elle résulte du couple outil + organisation — politique interne, base légale, registre, contrats et paramétrage réel des sessions.
Responsable de traitement et sous-traitant
En B2B, votre entreprise est en principe responsable de traitement pour les données de vos réunions métier. Le fournisseur de visio agit le plus souvent en sous-traitant (article 28 RGPD). Vous devez donc exiger un contrat de sous-traitance clair et auditable, pas seulement des CGU grand public.
Pourquoi c'est important pour les entreprises ?
Risques concrets
- Transferts vers des pays tiers sans garanties adaptées ;
- Enregistrements conservés trop longtemps ou accessibles sans gouvernance ;
- Sous-traitants en chaîne (hébergement, CDN, transcription) non identifiés ;
- Outils grand public utilisés pour des usages métier sans cadre contractuel ;
- Réputation et confiance — un incident sur des visios clients peut toucher l'image de marque autant qu'une fuite de fichier.
Enjeux par métier
| Contexte | Sensibilité typique |
|---|---|
| Support client / SAV | Identité client, écran partagé, parfois données techniques |
| RH / recrutement | Candidats, évaluation, enregistrements d'entretien |
| Santé / services régulés | Données potentiellement sensibles — vigilance renforcée (hors conseil juridique ici) |
| Formation | Apprenants, présence, enregistrements pédagogiques |
| Comités internes | Stratégie, données commerciales partagées à l'écran |
Une visioconférence professionnelle pensée pour l'entreprise facilite le cadrage ; une application grand public impose souvent plus de travail de conformisation côté DSI et DPO.
Quels critères vérifier avant de choisir ?
1. Localisation et résidence des données
Questions à poser à l'éditeur :
- Où sont hébergés les serveurs de signalisation et de média (WebRTC, TURN, enregistrements) ?
- Les sauvegardes et logs sont-ils dans la même zone ?
- Existe-t-il une option France ou on-premise si votre politique l'exige ?
Documentez la réponse dans votre analyse de risques. La page hébergement France détaille les options souveraines côté Leagora.
2. Contrat de sous-traitance (DPA)
Le DPA doit préciser au minimum :
- objet et durée du traitement ;
- nature des données et catégories de personnes concernées ;
- obligations de sécurité et d'assistance (droits des personnes, violations) ;
- sous-traitants ultérieurs et mécanisme d'information ;
- sort des données en fin de contrat (restitution, suppression).
Refusez un simple paragraphe dans les CGU si vous traitez des données de clients ou de salariés à l'échelle.
3. Sous-traitants et chaîne technique
Demandez la liste à jour des sous-traitants : hébergeur, CDN, email transactionnel, analytics, IA de transcription, etc. Pour chaque maillon : rôle, localisation, garanties en cas de transfert hors UE.
4. Transferts internationaux
Si des flux passent aux États-Unis ou hors UE/EEE :
- existe-t-il une décision d'adéquation ou des clauses contractuelles types (CCT) ?
- le fournisseur est-il soumis à des lois extraterritoriales (ex. CLOUD Act) et comment le documente-t-il ?
Les comparatifs alternative Teams RGPD et visio hébergée en France aident à structurer ce arbitrage — sans se substituer à votre DPO.
5. Minimisation et finalité
- Quelles données sont obligatoires pour rejoindre une réunion (email, nom, téléphone) ?
- Les invités sans compte laissent-ils une trace minimale ?
- Les fonctions optionnelles (enregistrement, transcription, IA) sont-elles désactivables par défaut ou par politique admin ?
Minimiser réduit la surface de risque : pas d'enregistrement systématique, pas de conservation de logs au-delà du nécessaire opérationnel.
6. Enregistrements, transcription et chat
| Élément | Questions |
|---|---|
| Enregistrement cloud | Où est stocké le fichier ? Qui y accède ? Durée de rétention ? |
| Transcription automatique | Nouveau sous-traitant ? Données envoyées où ? |
| Chat et fichiers partagés | Conservation, chiffrement, purge |
Informez les participants quand un enregistrement a lieu (bannière, mention dans l'invitation) et limitez l'accès aux personnes habilitées.
7. Sécurité technique
Critères techniques attendus en entreprise :
- chiffrement en transit (TLS) et, si applicable, au repos ;
- authentification forte pour les comptes admin ;
- gestion des droits (qui crée les salles, qui peut enregistrer) ;
- journalisation des accès admin sans conserver inutilement le contenu des réunions ;
- capacité à désactiver des fonctionnalités à risque (enregistrement public, liens permanents non protégés).
8. Durées de conservation et suppression
- Durée de vie des comptes, logs, enregistrements, métadonnées de facturation ;
- Procédure de suppression à la demande et en fin de contrat ;
- Délai de réponse aux demandes d'accès, de rectification, d'effacement (via vous ou via le sous-traitant selon le rôle).
9. Droits des personnes et incidents
- Processus documenté pour traiter les demandes des personnes concernées ;
- Engagement du sous-traitant à notifier une violation de données dans les délais utiles ;
- Coopération pour une éventuelle analyse d'impact (AIPD) si le traitement est à risque.
10. Usage interne vs visio client
Deux politiques distinctes sont souvent nécessaires :
- Salariés — base légale fréquente : intérêt légitime ou obligation contractuelle selon le cas ;
- Clients / invités — consentement rarement la seule base ; souvent contrat ou intérêt légitime bien documenté.
Séparer les tenants ou les espaces (réunion interne / support client) clarifie les paramètres et les durées de conservation.
Checklist synthétique (à valider avec votre DPO)
| # | Critère | Statut à documenter |
|---|---|---|
| 1 | Hébergement UE / France / on-prem | ☐ |
| 2 | DPA signé et à jour | ☐ |
| 3 | Liste des sous-traitants reçue | ☐ |
| 4 | Transferts hors UE cartographiés | ☐ |
| 5 | Enregistrement désactivé ou encadré | ☐ |
| 6 | Durées de conservation définies | ☐ |
| 7 | Mesures de sécurité décrites | ☐ |
| 8 | Procédure droits des personnes | ☐ |
| 9 | AIPD réalisée si nécessaire | ☐ |
| 10 | Formation des utilisateurs métier | ☐ |
Avantages d'une visio pensée pour le contexte européen
- Contrats B2B et transparence sur la chaîne d'hébergement ;
- Paramétrage fin (enregistrement, invités, durée des liens) ;
- Hébergement France ou on-premise pour alignement avec la politique DSI ;
- Marque blanche et domaine client — image cohérente pour les participants externes ;
- Navigateur sans installation — moins de données résiduelles côté poste client qu'une app lourde ;
- Maillage avec vos autres briques vidéo (assistance, RDV) sous une même gouvernance.
Limites ou points d'attention
- Aucun outil n'est « RGPD-certifié » au sens juridique absolu : la conformité dépend de votre usage, de vos paramètres et de vos procédures.
- Ce article est une aide à la décision technique et organisationnelle, pas un conseil juridique.
- Les secteurs régulés (santé, finance, défense) peuvent exiger des référentiels supplémentaires (HDS, etc.) — à traiter avec vos experts.
- La qualité réseau et le comportement utilisateur (partage d'écran non masqué, enregistrement non annoncé) créent des risques que le contrat seul ne couvre pas.
- Shadow IT : des équipes qui utilisent encore Zoom ou Meet perso contournent votre cadre — prévoir gouvernance et alternative interne.
Exemple concret : entreprise de services B2B
Une société de formation professionnelle (secteur formation) organise des classes virtuelles pour des clients entreprise.
Avant : outil grand public, enregistrements stockés six mois par défaut aux États-Unis, pas de DPA signé, invités identifiés par email personnel.
Après cadrage RGPD :
- Choix d'une visioconférence professionnelle hébergée en France ;
- DPA et liste des sous-traitants archivés côté achats / juridique ;
- Enregistrement désactivé sauf demande explicite du formateur, avec mention dans l'invitation ;
- Liens de session à durée limitée, invités sans compte obligatoire ;
- Registre des traitements mis à jour, courte formation des formateurs (pas d'écran sensible non masqué).
Le produit Meeting Leagora illustre ce type de déploiement : salles persistantes, accès navigateur, personnalisation et trajectoire d'hébergement maîtrisée.
Comment Leagora peut vous accompagner ?
Leagora positionne ses solutions vidéo sur la simplicité d'usage, la personnalisation et une démarche alignée RGPD pour les données personnelles, avec :
- hébergement en France ou on-premise selon votre politique ;
- socle WebRTC et briques open source pour la maîtrise technique ;
- sans installation pour les participants — parcours sobre pour les invités ;
- pages dédiées : RGPD, hébergement France, visioconférence professionnelle.
Pour un premier cadrage (périmètre, hébergement, intégration SI), demandez un devis ou un essai. Pour le positionnement global de la vidéo en entreprise, voir aussi Qu'est-ce qu'une solution vidéo métier ?.
FAQ
Une visioconférence américaine peut-elle être utilisée en respectant le RGPD ?
C'est juridiquement possible si les garanties de transfert et le DPA sont solides, mais la charge de preuve et le suivi des sous-traitants sont plus lourds. Beaucoup d'organisations européennes privilégient un hébergement UE ou France pour simplifier la gouvernance.
Faut-il un consentement pour chaque réunion ?
Pas systématiquement. La base légale dépend du contexte (contrat, obligation légale, intérêt légitime, etc.). Le consentement est une base parmi d'autres ; votre DPO valide le schéma selon chaque usage (interne, client, candidat).
Les invités sans compte sont-ils concernés par le RGPD ?
Oui, s'ils sont identifiables (même par combinaison nom + IP + horodatage). Vérifiez quelles données sont collectées à l'entrée de la salle et combien de temps elles sont conservées.
L'enregistrement des réunions est-il interdit ?
Non, mais il doit être justifié, sécurisé, limité dans le temps et transparent pour les participants. Désactivez-le par défaut si vous n'en avez pas besoin.
Quelle différence entre conformité RGPD et hébergement souverain ?
Le RGPD encadre le traitement des données personnelles (droits, sécurité, transferts). La souveraineté vise la maîtrise de la localisation et des acteurs (France, on-prem). Les deux se complètent ; l'une ne remplace pas l'autre.
Que demander en priorité à un éditeur lors d'un appel d'offres ?
DPA, localisation des données, liste des sous-traitants, politique d'enregistrement, durées de conservation, et preuves de mesures de sécurité. Reportez les promesses marketing sur la fiche technique contractuelle.
À retenir
- La visioconférence traite des données personnelles dès qu'un participant est identifiable — comptes, invités, logs ou enregistrements.
- Les critères clés : hébergement, DPA, sous-traitants, transferts, minimisation, sécurité, conservation.
- La conformité est organisation + outil : paramètres, procédures, formation, pas seulement le choix de l'éditeur.
- Enregistrer et transcrire augmentent fortement les obligations — à activer avec parcimonie.
- Une visio métier hébergée en France simplie souvent le dialogue avec la DSI et le DPO — à valider sur votre cas d'usage.