Enregistrement de réunions et RGPD : Guide pratique de conformité pour les équipes européennes
Comment fonctionne réellement l'enregistrement de réunions sous le RGPD. Base légale, règles de consentement, droits des personnes concernées et limites de conservation pour l'enregistrement d'appels Google Meet dans l'UE et au Royaume-Uni.
Enregistrer un appel Google Meet semble anodin. Vous cliquez sur enregistrer, la transcription se génère automatiquement et le résumé arrive dans votre boîte de réception. Selon le Règlement général sur la protection des données (RGPD), cet enregistrement constitue des données personnelles dès qu’une personne nommée ou identifiable parle, apparaît à l’écran ou figure dans une transcription. À partir de ce moment, votre équipe traite des données personnelles et la réglementation s’applique pleinement.
Le RGPD n’interdit pas l’enregistrement des réunions. Il vous demande de bien faire quatre choses : avoir une raison légale d’enregistrer, informer clairement les personnes, conserver le fichier uniquement aussi longtemps que nécessaire et respecter les droits de toutes les personnes concernées. Ce guide explique l’enregistrement de réunions sous le RGPD en termes simples pour les équipes de l’UE et du Royaume-Uni, avec un workflow que vous pouvez appliquer sur Google Meet.
Pour un contexte plus large, consultez notre guide de sécurité sur les enregistrements Google Meet. Si vous traitez également des données de santé, associez ce guide à notre guide d’enregistrement de réunions conforme à la HIPAA.
Ce que le RGPD signifie pour les enregistrements de réunions
Le RGPD s’applique chaque fois qu’une organisation traite des données personnelles concernant des personnes dans l’UE ou au Royaume-Uni, indépendamment de l’emplacement de l’entreprise elle-même. Un enregistrement de réunion constitue des données personnelles car il contient presque toujours :
- Le visage, la voix et le nom d’une personne
- Des opinions, des commentaires sur la performance ou des détails relatifs à la santé et aux ressources humaines exprimés oralement
- Des partages d’écran montrant des dossiers clients, des e-mails ou des tableaux de bord
- Des transcriptions et résumés générés par l’IA à partir de cet audio
Comme les voix et les visages peuvent identifier une personne, un enregistrement vidéo peut même inclure des données de catégorie spéciale (par exemple, des informations révélant la santé, la religion ou l’appartenance syndicale) dès qu’un tel sujet est abordé. Cela élève considérablement les exigences.
Le règlement énonce des principes fondamentaux que chaque workflow d’enregistrement doit respecter :
| Principe RGPD | Ce que cela signifie pour un enregistrement |
|---|---|
| Licéité, loyauté, transparence | Vous avez besoin d’une raison légale valable et vous devez informer les personnes que vous enregistrez |
| Limitation des finalités | Enregistrez pour une raison déclarée, pas “au cas où ce serait utile plus tard” |
| Minimisation des données | Capturez uniquement ce dont la finalité a besoin, rien de plus |
| Limitation de la conservation | Supprimez le fichier lorsque la finalité prend fin |
| Intégrité et confidentialité | Protégez l’enregistrement avec un contrôle d’accès et un chiffrement |
| Responsabilité | Pouvoir démontrer par écrit que vous avez respecté tout ce qui précède |
L’enregistrement lui-même est rarement le problème. Le stocker dans un drive personnel, le partager trop largement ou le conserver indéfiniment est ce qui cause des problèmes aux organisations.
Avez-vous besoin du consentement pour enregistrer une réunion sous le RGPD ?
C’est la question la plus courante, et la réponse honnête surprend souvent : le consentement n’est souvent pas la meilleure base pour enregistrer une réunion professionnelle.
Le RGPD vous offre six bases légales pour le traitement des données personnelles. Pour les enregistrements de réunions, trois sont les plus pertinentes.
Choisir une base légale
- Intérêts légitimes. L’option par défaut flexible pour les enregistrements internes. Vous pouvez enregistrer une session de formation ou un lancement de projet parce que votre organisation a un intérêt légitime à conserver un enregistrement précis, à condition que cet intérêt ne soit pas surpassé par les droits à la vie privée des personnes concernées. Vous devez documenter un test d’équilibrage court qui pèse votre besoin contre leurs attentes.
- Consentement. Adapté lorsque l’enregistrement est véritablement optionnel et que les personnes peuvent refuser sans désavantage. Le consentement sous le RGPD doit être librement donné, spécifique, informé et aussi facile à retirer qu’à donner. Les cases pré-cochées et les bannières “en rejoignant, vous acceptez” ne répondent généralement pas à cette norme seules.
- Contrat. Utile lorsque l’enregistrement est nécessaire pour fournir un service demandé par la personne, comme un appel de coaching enregistré pour lequel elle s’est inscrite.
Quand le consentement est la bonne base
Le consentement est le choix le plus sûr lorsqu’il y a un déséquilibre de pouvoir ou que l’enregistrement n’est pas strictement nécessaire. Quelques exemples où vous devriez demander d’abord et accepter un “non” avec grâce :
- Enregistrement d’un entretien individuel avec un subordonné, où dire non à son manager est difficile
- Enregistrement d’un client externe qui ne s’attendait pas à être capturé
- Capture d’un webinaire où les participants peuvent choisir de garder leur caméra éteinte
Si vous vous appuyez sur les intérêts légitimes plutôt que sur le consentement, vous devez tout de même être transparent. Les personnes doivent savoir que l’enregistrement a lieu, pourquoi et comment s’y opposer. Un avertissement verbal clair au début de l’appel plus une ligne dans l’invitation du calendrier couvrent la plupart des situations.
"Cet appel est enregistré afin que l'équipe puisse revoir les points d'action par la suite. L'enregistrement reste dans notre espace de travail partagé pendant 90 jours, puis il est supprimé. Si vous préférez ne pas être enregistré, dites-le-moi maintenant et j'arrêterai."
Enregistrement de réunions sans consentement : où les équipes se trompent
Les recherches pour “RGPD enregistrement de réunions sans consentement” proviennent généralement d’une véritable inquiétude : quelqu’un a enregistré un appel et maintenant l’équipe n’est pas sûre que cela était autorisé. Voici comment raisonner.
L’enregistrement sans consentement explicite peut être légal si vous vous appuyez sur une autre base comme les intérêts légitimes, et que vous avez été transparent à ce sujet. Ce qui est rarement défendable, c’est l’enregistrement secret. L’enregistrement clandestin supprime la capacité de la personne à s’opposer, ce qui enfreint le principe de loyauté et de transparence au cœur du RGPD.
Les erreurs courantes qui transforment un enregistrement routinier en plainte :
- Aucun avertissement. Appuyer sur enregistrer sans informer personne, puis partager le fichier plus tard.
- Avertissement caché. Une ligne de consentement cachée dans une politique de confidentialité que personne ne lit, utilisée comme couverture pour un enregistrement surprise.
- Dérive fonctionnelle. Enregistrement d’une réunion pour la prise de notes, puis réutilisation pour une évaluation de performance ou un cas disciplinaire pour lequel il n’était pas prévu.
- Partage excessif. Envoi de l’enregistrement à des personnes qui n’étaient pas sur l’appel et n’ont pas besoin de le voir.
La solution est un processus, pas la panique. Annoncez l’enregistrement à chaque fois, notez votre base légale, restreignez qui peut ouvrir le fichier et ne détournez jamais un enregistrement pour quelque chose que l’avis original ne mentionnait pas.
Droits des personnes concernées applicables aux enregistrements
Une fois qu’un enregistrement existe, les personnes concernées acquièrent des droits que vous devez être en mesure de respecter. Les principaux pour les enregistrements de réunions :
- Droit d’accès. Un participant peut demander une copie de l’enregistrement ou de la transcription qui le concerne. Vous devez être capable de le trouver et, si possible, masquer les autres personnes.
- Droit à l’effacement. Souvent appelé droit à l’oubli. Si votre base était le consentement et que quelqu’un le retire, ou que l’enregistrement n’est plus nécessaire, vous devrez peut-être le supprimer.
- Droit d’opposition. Lorsque vous vous appuyez sur les intérêts légitimes, une personne peut s’opposer au traitement, et vous devez cesser sauf si vous avez des raisons impérieuses de continuer.
- Droit de rectification. Si une transcription attribue incorrectement une citation ou contient une erreur concernant une personne, elle peut demander une correction.
Ces droits sont bien plus faciles à respecter lorsque les enregistrements sont stockés dans un emplacement organisé et consultable plutôt qu’éparpillés dans des drives personnels et des fils de discussion. Un workflow qui stocke les fichiers dans un espace de travail partagé contrôlé, comme celui décrit dans notre guide sur l’emplacement des enregistrements Google Meet, transforme une demande de données stressante en une tâche de deux minutes.
Règles de conservation du RGPD pour les enregistrements de réunions
Le RGPD ne fixe pas un nombre de jours précis. Le principe de limitation de la conservation stipule que vous conservez les données personnelles uniquement aussi longtemps que la finalité l’exige, puis vous les supprimez. La règle est donc simple à énoncer et facile à enfreindre : déterminez une période de conservation à l’avance, notez-la et automatisez la suppression.
Des valeurs par défaut raisonnables que la plupart des équipes de l’UE et du Royaume-Uni peuvent justifier :
| Type d’enregistrement | Conservation typique | Pourquoi |
|---|---|---|
| Réunion interne ou appel de statut | 30 à 90 jours | Les points d’action sont capturés rapidement, la vidéo a peu de valeur à long terme |
| Lancement de projet ou formation | 6 à 12 mois | Utile pour intégrer les nouveaux arrivants pendant le projet |
| Appel client ou commercial | Durée du contrat plus un court délai | Lié à la prestation et à la preuve du service |
| Enregistrement RH ou disciplinaire | Selon votre politique de conservation RH et la loi locale | Souvent plus court et strictement contrôlé en accès |
Évitez “tout conserver indéfiniment”. Une archive d’enregistrements inutiles est une pure responsabilité : plus de données à sécuriser, plus à divulguer dans une demande d’accès et plus à perdre en cas de violation. Définissez une fenêtre de suppression par défaut, documentez les exceptions et examinez l’archive selon un calendrier.
Essayez Record Meeting
Enregistrez Google Meet depuis le navigateur sans qu'un bot ne rejoigne l'appel. Les enregistrements, transcriptions et résumés restent dans votre propre Google Workspace, vous gardez ainsi le contrôle de l'accès et de la conservation.
Commencer gratuitement
Un workflow d’enregistrement de réunions conforme au RGPD
Vous n’avez pas besoin d’une équipe juridique pour exécuter un processus conforme. Vous avez besoin d’un workflow reproductible. En voici un qui correspond directement aux principes du RGPD ci-dessus.
- Déterminez votre base légale avant d’enregistrer. Pour la plupart des réunions internes, il s’agit des intérêts légitimes avec une note d’équilibrage d’un paragraphe conservée dans un dossier. Pour les appels optionnels ou sensibles, demandez le consentement.
- Annoncez l’enregistrement au début, à chaque fois. Dites ce que vous enregistrez, pourquoi, combien de temps vous le conservez et comment s’y opposer. Énoncez-le à haute voix et ajoutez une ligne dans l’invitation.
- Conservez les enregistrements dans un espace de travail contrôlé. Stockez les fichiers dans un drive partagé dédié avec un accès basé sur les rôles. Bloquez le partage “toute personne avec le lien” et exigez une authentification forte.
- Minimisez ce que vous capturez. Arrêtez d’enregistrer lorsque la partie substantielle de la réunion se termine. Évitez d’enregistrer des discussions informelles ou des partages d’écran contenant des données personnelles non pertinentes.
- Définissez une période de conservation et automatisez la suppression. Étiquetez chaque enregistrement avec une date de suppression et laissez un travail programmé nettoyer l’archive.
- Enregistrez les accès et soyez prêt pour les demandes. Gardez une trace simple de qui peut ouvrir les enregistrements pour répondre rapidement à une demande d’accès ou d’effacement.
Exécutez cela de la même manière à chaque fois et votre histoire de responsabilité s’écrira d’elle-même.
Cas particuliers : Teams, RGPD britannique et transcriptions IA
Enregistrement de réunions Teams sous le RGPD. La plateforme ne change rien à la loi. Que vous enregistriez dans Google Meet, Zoom ou Microsoft Teams, les mêmes règles de base légale, de transparence et de conservation s’appliquent. Ce qui compte, c’est où le fichier finit et qui le contrôle.
RGPD britannique. Après le Brexit, le Royaume-Uni a conservé le RGPD presque mot pour mot sous le nom de RGPD britannique, appliqué par l’Information Commissioner’s Office (ICO). Pour l’enregistrement de réunions, les règles pratiques sont effectivement les mêmes que la version UE, donc une seule politique peut couvrir les deux tant que vous nommez le bon régulateur et toute sauvegarde de transfert transfrontalier.
Transcriptions et résumés IA. Une transcription reste des données personnelles, et l’outil qui la génère effectue un traitement pour votre compte. Vérifiez si le fournisseur agit en tant que processeur sous un accord de traitement des données, où les données sont traitées et si votre contenu est utilisé pour entraîner des modèles. Notre guide sur les notes de réunion IA couvre une bonne hygiène qui s’applique également dans les cadres réglementés. Garder les enregistrements et transcriptions dans votre propre Google Workspace, plutôt que dans un cloud séparé d’un fournisseur, supprime toute une couche de ce risque.
Pour l’aspect humain de tout cela, notre guide d’étiquette pour l’enregistrement de réunions à distance se marie bien avec les règles juridiques ici.
Foire aux questions
Conclusion
L’enregistrement de réunions sous le RGPD se résume à une courte liste de vérifications que vous pouvez exécuter à chaque appel : choisissez une base légale, informez clairement les personnes, capturez uniquement ce dont vous avez besoin, stockez-le en toute sécurité et supprimez-le selon le calendrier. Respectez ces cinq points et l’enregistrement devient un véritable atout, de meilleures notes, moins de “qu’avons-nous décidé” et une intégration plus rapide, sans risque de non-conformité.
Le moyen le plus simple de rester conforme est de conserver les enregistrements, transcriptions et résumés dans une infrastructure que vous contrôlez déjà. Examinez votre configuration par rapport à la vue d’ensemble de la sécurité de Record Meeting, nettoyez les permissions de votre drive partagé cette semaine et notez une période de conservation avant votre prochain appel enregistré.
