Enregistrer réunions et appels: 250 000 € — cadrage CNPD 2026

Résumé — Le 16 octobre 2025, la CNIL a infligé 250 000 € à une société de centres d’appels pour des enregistrements non conformes (minimisation, durée, sécurité). Depuis avril 2026, la CNPD publie un dossier pratique sur l’enregistrement des réunions: au Luxembourg, il faut désormais une base légale adaptée, une information claire, des durées très courtes, des mesures de sécurité robustes et, si nécessaire, une AIPD.

L’affaire

Décision CNIL du 16/10/2025: « Société de centres d’appels » — manquements cumulés en minimisation, durée de conservation et sécurité — amende de 250 000 €, publiée dans « Les sanctions prononcées par la CNIL » (procédure simplifiée, identité non publiée). Référence officielle: cnil.fr. Cette affaire illustre la sensibilité des enregistrements d’appels et, par extension, des réunions audio/vidéo en milieu professionnel.

Le raisonnement juridique

Base RGPD mobilisée par les autorités

• Article 5(1)(c) minimisation: pas d’enregistrement « intégral et systématique » sans nécessité stricte. La décision du 16/10/2025 vise explicitement la minimisation (cnil.fr).
• Article 5(1)(e) limitation de conservation: durées justifiées, paramétrées, purges testées; grief « Durée de conservation » retenu (cnil.fr).
• Article 32 sécurité: contrôle d’accès, chiffrement, journalisation, tests de restauration; grief « Défaut de sécurité » (cnil.fr).

Cadrage de la CNPD (Luxembourg)

• Réunions audio: dossier thématique d’avril 2026 « Enregistrement sonore des réunions » — base légale (consentement souvent inadapté en contexte hiérarchique; intérêt légitime si nécessité démontrée), information, minimisation, droits (cnpd.public.lu et dossier).
• Vidéosurveillance au travail: principe « en principe jusqu’à 8 jours » (30 jours à titre exceptionnel justifié), AIPD souvent requise, interdictions de filmer certaines zones; cadre transposable aux flux audio/vidéo internes orientés contrôle/sécurité (cnpd.public.lu).

Position EDPB

• Lignes directrices 3/2019 (vidéo): nécessité, finalités déterminées, information, zones/paramétrage, durées courtes, DPIA en risque élevé (edpb.europa.eu).
• Lignes directrices 1/2024 (intérêt légitime): mise en balance documentée (LIA) et garanties effectives; l’« utilité » perçue ne suffit pas (edpb.europa.eu).

Spécifique finance (Luxembourg/UE)

Quand la loi l’impose, la base légale devient l’obligation légale (art. 6(1)(c) RGPD). Sous MiFID II, l’article 16(7) de la directive 2014/65/UE et l’article 76 du règlement délégué (UE) 2017/565 exigent l’enregistrement des communications liées aux ordres/transactions, avec contrôle continu. Références: EUR-Lex et règlement délégué.

Ce que ça change concrètement

1. Base légale: documenter le choix.
   • Intérêt légitime (art. 6(1)(f)) si la nécessité est démontrée (ex.: exactitude du PV pour décisions sensibles) avec une LIA alignée EDPB 1/2024; offrir une alternative pour les personnes réticentes (edpb.europa.eu).
   • Obligation légale si un texte sectoriel l’exige (ex.: MiFID II) (EUR-Lex).
2. Information (art. 13): avant et au début de la réunion — finalité, base, durée, destinataires, droits.
3. Conservation brève et contrôlée: « le temps de rédiger et approuver le PV », puis suppression/expurgation; par analogie, viser des durées très courtes (la CNPD rappelle « jusqu’à 8 jours » pour la vidéo) (cnpd.public.lu).
4. Sécurité: stockage chifré, accès restreints, journalisation, pas d’export hors SI; tests de purge. Pour renforcer ce volet opérationnel, un pilotage cyber par un CISO externalisé peut accélérer la mise en conformité technique.
5. Gouvernance: mettre à jour le registre (art. 30), apprécier l’AIPD si risque élevé (surveillance systématique de salariés, données sensibles), organiser l’exercice des droits (cnpd.public.lu). Côté conformité, un mandat DPO certifié aide à structurer l’analyse et la documentation RGPD (articles 30/35).

Ce qui devient sanctionnable à brève échéance

• Enregistrements « par défaut » de toutes les réunions Teams/Meet « pour plus tard ».
• Conservation longue « par confort » sans justification ni purge automatique testée.
• Absence d’information claire et immédiate des participants.
• Accès trop larges, absence de chiffrement et de traçabilité.
• Base légale incohérente (ex.: consentement illusoire en contexte hiérarchique). Ces points recoupent la sanction du 16/10/2025 (cnil.fr).

Pièges fréquents

1. Consentement en entreprise: rarement « libre ». Offrir une alternative réelle (ne pas enregistrer si tous n’ont pas consenti, couper lors d’une intervention) (cnpd.public.lu).
2. Durée vague: proscrite. Fixer une durée objective et tester l’effacement. Le défaut de maîtrise des durées a été épinglé par la CNIL (16/10/2025) (cnil.fr).
3. Finalités extensives: séparer « formation / preuve / qualité / historique »; minimiser. En finance, isoler les enregistrements MiFID II (EUR-Lex).
4. AIPD oubliée: critères EDPB souvent réunis (surveillance systématique, personnes vulnérables). Sans AIPD, exposition accrue (cnpd.public.lu).
5. Sécurité théorique: partages ouverts, pas de chiffrement ni de journaux. L’article 32 exige des mesures effectives; rappelé par la CNIL (250 000 €) (cnil.fr).

Sources officielles

• CNIL — « Les sanctions prononcées par la CNIL » (16/10/2025) — https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil
• CNPD — « Enregistrement sonore des réunions » (avril 2026) — https://cnpd.public.lu/fr/dossiers-thematiques/enregistrement-sonore-reunions.html et annonce
• CNPD — Vidéosurveillance: conservation « jusqu’à 8 jours » — https://cnpd.public.lu/fr/dossiers-thematiques/surveillance/videosurveillance/limitation-conservation.html
• CNPD — AIPD et vidéosurveillance — https://cnpd.public.lu/fr/dossiers-thematiques/surveillance/videosurveillance/aipd.html et nécessité / proportionnalité
• EDPB — Lignes directrices 3/2019 (vidéo) — https://www.edpb.europa.eu/documents/guideline/guidelines-32019-on-processing-of-personal-data-through-video-devices_en
• EDPB — Lignes directrices 1/2024 (intérêt légitime) — https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en
• MiFID II — Directive 2014/65/UE, art. 16(7) — https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32014L0065 et Règlement délégué (UE) 2017/565, art. 76 — https://www.legislation.gov.uk/eur/2017/565/pdfs/eur_20170565_2017-12-14_en.pdf

En synthèse

L’amende CNIL du 16/10/2025 confirme: l’enregistrement généralisé d’appels/réunions sans nécessité, sans information claire, sans purge contrôlée ni sécurité probante sera sanctionné. Depuis avril 2026, la CNPD fournit un mode d’emploi opérationnel pour cadrer ces pratiques au Luxembourg.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.