Le RGPD impose des obligations strictes aux centres d'appel qui traitent des données personnelles pour le compte de leurs clients. Voici comment sécuriser votre conformité point par point.
Le rôle du centre d'appel : sous-traitant
Au sens de l'article 28 du RGPD, un centre d'appel externalisé est sous-traitant : il traite les données pour le compte du responsable de traitement (vous). Cette qualification est cruciale car elle détermine vos obligations respectives.
Le DPA : pierre angulaire de la sous-traitance
Le Data Processing Agreement (DPA) est obligatoire. Il doit préciser : finalité, durée, catégories de données, mesures de sécurité, sous-sous-traitants, droits des personnes, notification des violations, restitution/suppression en fin de contrat.
Transferts UE → Tunisie : les bonnes pratiques
La Tunisie n'a pas de décision d'adéquation. Pour transférer des données depuis l'UE, on utilise les Clauses Contractuelles Types (CCT) de la Commission européenne complétées par une Transfer Impact Assessment (TIA).
Enregistrement des appels : règles d'or
- Information de l'appelant en début de communication
- Possibilité de désactiver l'enregistrement sur demande (sauf obligation légale)
- Stockage chiffré, accès restreint
- Durée maximale : 6 mois (sauf litige ou obligation légale)
Durées de conservation
Devis sans suite : 3 ans. Clients actifs : durée du contrat + 5 ans. Candidatures non retenues : 2 ans. Logs techniques : 12 mois max. Voir notre politique RGPD détaillée.
En cas de violation
Notification à l'autorité de contrôle sous 72h. Information des personnes concernées si risque élevé. Documentation interne dans un registre des violations.
30 minutes au téléphone, sans engagement, pour cadrer votre projet et recevoir un chiffrage précis.
Demander un audit gratuit