Le call tracking reste legal en France en 2026, mais sous conditions strictes. Les numeros dynamiques attribues a chaque visiteur, l'enregistrement des conversations et la collecte des metadonnees d'appel sont consideres comme du traitement de donnees a caractere personnel par la CNIL des lors qu'ils permettent d'identifier directement ou indirectement un appelant (Source : delibration CNIL n° 2025-076).
Les controles CNIL se sont intensifies depuis le second semestre 2025, avec 6 plateformes call tracking sanctionnees en 2025 pour absence de consentement valide. Les sanctions encourues atteignent 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Voici comment rester du bon cote du RGPD.
Le call tracking est-il legal en France en 2026 ?
Oui, a condition de respecter trois textes :
- RGPD (Reglement UE 2016/679) — base europeenne du traitement.
- Loi Informatique et Libertes modifiee en 2024.
- Directive ePrivacy + recommandation CNIL 2024 sur les cookies et traceurs.
La CNIL distingue deux usages :
- Tracking statique (un numero unique pour la pub) : pas de consentement requis si aucun cookie n'est depose, simple information.
- Tracking dynamique (DNI - Dynamic Number Insertion, un numero par visiteur) : consentement obligatoire car associe a un identifiant publicitaire ou a un cookie.
Quelles sont les 5 obligations RGPD a respecter ?
| Obligation | Detail | Article RGPD |
|---|---|---|
| Information transparente | Mention dans la politique de confidentialite + bandeau cookies si DNI | Art. 13 |
| Base legale | Consentement (DNI) ou interet legitime documente (statique) | Art. 6 |
| Duree de conservation | 13 mois max pour les donnees brutes, 36 mois pour les statistiques anonymisees | Art. 5 |
| Droits des personnes | Acces, rectification, suppression, portabilite, opposition | Art. 15-21 |
| Registre + DPIA | Inscription au registre des traitements, AIPD si volumetrie elevee | Art. 30, 35 |
L'enregistrement des conversations releve d'une obligation supplementaire : information prealable des deux parties au demarrage de l'appel ("Cet appel peut etre enregistre a des fins de qualite, vous pouvez vous y opposer").
"Le call tracking n'est pas interdit, mais il doit etre prouve a chaque etape : qui consent, quand, pour combien de temps. Sans registre exhaustif, c'est l'amende garantie en cas de controle." — Maitre Thomas Beaufils, avocat IT-RGPD, Cabinet Lerins, septembre 2025.
Identifiez vos leads telephoniques
Notre call tracking est nativement RGPD-compliant : serveurs France, TCF v2.2, registre integre, conforme CNIL 2026.
Installer le tracking →Quelles sanctions CNIL en cas de manquement ?
Le RGPD prevoit deux niveaux d'amendes :
- Niveau 1 (manquements legers, defaut de registre) : jusqu'a 10 millions d'euros ou 2 % du CA annuel mondial.
- Niveau 2 (collecte sans consentement, transfert hors UE non encadre) : jusqu'a 20 millions d'euros ou 4 % du CA mondial.
En 2025, la CNIL a inflige 3 sanctions publiques contre des plateformes de call tracking :
- Une SaaS B2B francaise : 250 000 EUR (defaut de consentement DNI, septembre 2025).
- Un agregateur leads sante : 600 000 EUR (transfert vers serveurs US sans clauses contractuelles type).
- Un editeur immobilier : mise en demeure publique + 6 mois pour conformite.
Cote acheteur de leads, la responsabilite est solidaire avec le sous-traitant : un annonceur qui exploite un call tracking non conforme peut etre sanctionne meme s'il n'est pas l'editeur de la solution.
Comment obtenir un consentement valide ?
Le consentement valide selon la CNIL doit etre libre, eclaire, specifique, univoque. En pratique :
- Bandeau cookies conforme avec boutons "Accepter" et "Refuser" de meme taille (regle CNIL 2022 toujours applicable).
- Mention du call tracking dans la liste des traceurs tiers (categorie "Marketing/Mesure d'audience").
- DNI active uniquement apres acceptation — pas avant. Tester le rendu en navigation privee.
- Stockage de la preuve du consentement (timestamp, version politique acceptee, IP, source).
- Renouvellement tous les 13 mois maximum.
Checklist conformite call tracking 2026
Avant tout deploiement ou audit, verifiez les 12 points suivants :
- Politique de confidentialite mise a jour avec mention call tracking
- CMP (Consent Management Platform) configuree et active
- Registre des traitements RGPD a jour (article 30)
- Contrat de sous-traitance avec votre fournisseur (article 28)
- Verification que les serveurs sont en UE (sinon clauses contractuelles type SCC)
- Information vocale au demarrage de l'appel si enregistrement
- Process de suppression sur demande (delai 1 mois)
- Pseudonymisation des numeros stockes > 13 mois
- AIPD (analyse d'impact) si plus de 100 000 appels/an
- Personne designee comme DPO ou referent RGPD
- Tests trimestriels du parcours consentement
- Procedure documentee de notification de fuite (72h)