Lois sur l'enregistrement dans l'UE : RGPD, règlement sur l'IA, règles de consentement et guide pays par pays (2026)

Enregistrer un appel téléphonique, une vidéoconférence ou une conversation en personne n'importe où dans l'Union européenne relève d'au moins deux cadres juridiques simultanément, parfois trois. Le code pénal de l'État membre détermine si l'enregistrement constitue un acte pénalement répréhensible. Le RGPD détermine si l'enregistrement constitue un traitement licite de données à caractère personnel. Et depuis 2025, le règlement européen sur l'IA impose des obligations supplémentaires dès lors que des outils d'intelligence artificielle interviennent dans la capture, la génération ou la modification d'enregistrements.
Ce guide explique comment ces différentes couches interagissent, cartographie les règles de consentement dans les 27 États membres de l'UE, et renvoie vers chaque page consacrée à un pays pour une analyse détaillée.
Réponse rapide : existe-t-il une loi unique sur l'enregistrement dans l'UE ?
Non. L'Union européenne n'a jamais adopté de loi unifiée sur le consentement à l'enregistrement. Le droit de l'enregistrement en Europe fonctionne selon une structure de type fédéral : l'UE fixe des règles uniformes en matière de protection des données et d'IA, mais l'interdiction pénale sous-jacente d'enregistrer sans consentement relève entièrement de chaque État membre.
La conséquence pratique est qu'un même appel téléphonique peut être parfaitement légal d'un côté et constituer une infraction pénale de l'autre, selon la loi applicable à chaque participant.
Ce que l'UE fournit de manière uniforme, c'est la couche relative à la protection des données. Le RGPD s'applique dans chaque État membre, à tout responsable de traitement et à tout sous-traitant, sans exception. Ainsi, que l'enregistrement soit ou non autorisé sur le plan pénal, il doit également satisfaire aux exigences du RGPD en matière de base légale, de transparence et de minimisation des données.
Pourquoi il n'existe pas de loi unique sur l'enregistrement dans l'UE
La compétence législative de l'UE ne s'étend pas au droit pénal des États membres relatif aux communications privées. L'article 83 du traité sur le fonctionnement de l'Union européenne (TFUE) permet à l'UE d'établir des règles minimales pour les infractions transfrontalières particulièrement graves, mais l'interception des communications et l'enregistrement privé n'ont jamais été harmonisés sur ce fondement.
Le droit de l'UE aborde plutôt ce domaine de manière indirecte, à travers la réglementation de la protection des données et des télécommunications. La directive ePrivacy 2002/58/CE impose aux États membres d'interdire l'interception des communications électroniques sans consentement, mais il s'agit d'une directive, et non d'un règlement. Chaque État membre l'a transposée différemment, et les sanctions pénales attachées à sa violation varient considérablement d'un pays à l'autre.
Il en résulte 27 corpus de règles pénales différents, tous englobés dans une obligation uniforme au titre du RGPD et désormais dans une obligation uniforme au titre du règlement sur l'IA. Comprendre le droit de l'enregistrement dans l'UE suppose de comprendre à la fois les couches uniformes établies par l'UE et les règles pénales propres à chaque pays qui les sous-tendent.
Les couches juridiques de l'UE applicables partout
Le RGPD, une couche universelle

Le Règlement général sur la protection des données (règlement 2016/679) s'applique directement dans tous les États membres depuis le 25 mai 2018. Il s'agit d'un règlement, et non d'une directive, ce qui signifie qu'il produit un effet uniforme sans nécessiter de transposition nationale.
Tout enregistrement vocal d'une personne identifiable constitue une donnée à caractère personnel au sens de l'article 4, paragraphe 1, du RGPD. Le traitement de cette donnée à caractère personnel (y compris sa capture, son stockage, son accès et son partage) exige une base légale au sens de l'article 6. Les six bases disponibles sont les suivantes :
- Le consentement (article 6, paragraphe 1, point a)) : un accord libre, spécifique, éclairé et univoque à être enregistré.
- L'exécution d'un contrat (article 6, paragraphe 1, point b)) : l'enregistrement est nécessaire à l'exécution d'un contrat conclu avec la personne enregistrée.
- L'obligation légale (article 6, paragraphe 1, point c)) : le droit de l'UE ou le droit national impose l'enregistrement (par exemple, MiFID II pour les transactions financières).
- Les intérêts vitaux (article 6, paragraphe 1, point d)) : l'enregistrement est nécessaire à la protection de la vie d'une personne.
- La mission d'intérêt public (article 6, paragraphe 1, point e)) : l'enregistrement est nécessaire à l'exécution d'une mission d'intérêt public prévue par le droit de l'UE ou le droit national.
- L'intérêt légitime (article 6, paragraphe 1, point f)) : un intérêt légitime est poursuivi, l'enregistrement est nécessaire à cette fin, et il ne porte pas une atteinte excessive aux droits et libertés de la personne enregistrée.
Le choix d'une base légale ne clôt pas l'analyse. Le RGPD exige également la transparence (les notices prévues aux articles 13 et 14 doivent être fournies avant ou au moment de l'enregistrement), la limitation des finalités (un enregistrement ne peut être réutilisé à une autre fin sans une nouvelle base compatible), la minimisation des données (n'enregistrer que ce qui est nécessaire), la limitation de la conservation (définir et faire respecter une durée de conservation), et une sécurité appropriée (article 32).
L'exception domestique prévue par le considérant 18 exclut du champ d'application du RGPD les enregistrements à usage purement personnel ou domestique. Enregistrer une conversation familiale pour son propre usage est exempté. Le fait de la partager, de la publier ou de l'utiliser commercialement fait immédiatement tomber cette exemption.
L'exception journalistique prévue à l'article 85 impose aux États membres de concilier la protection des données avec la liberté d'expression à des fins journalistiques, universitaires, artistiques ou littéraires. Les États membres mettent en œuvre cette exception de manière très variable. La Cour de justice de l'UE (arrêt Buivids, C-345/17, 2019) a jugé que la publication sur YouTube d'un enregistrement de policiers pouvait relever de l'exception journalistique si l'objectif était de porter des informations à la connaissance du public.
La directive ePrivacy 2002/58/CE
La directive ePrivacy régit la confidentialité des communications électroniques. Son article 5, paragraphe 1, interdit aux États membres d'autoriser l'écoute, l'interception, le stockage ou la surveillance des communications électroniques sans le consentement des utilisateurs concernés.
L'article 5, paragraphe 2, crée une exception commerciale étroite : l'enregistrement est autorisé lorsqu'il s'inscrit dans le cadre d'une pratique commerciale licite destinée à apporter la preuve d'une transaction commerciale. C'est le fondement juridique de l'enregistrement des appels du service client et des appels commerciaux, à condition qu'un préavis soit donné aux appelants.
La proposition de règlement ePrivacy, qui devait remplacer la directive par un règlement directement applicable, avait été présentée pour la première fois en janvier 2017. Après huit années de blocage législatif, la Commission européenne a formellement retiré cette proposition en février 2025, dans le cadre d'une démarche plus large de simplification réglementaire. La directive de 2002, telle que modifiée en 2009, demeure le cadre en vigueur.
Comme la directive ePrivacy est une directive, les exigences de son article 5 ont été transposées différemment en droit national selon les États membres. La transposition allemande (TDDDG), la transposition française (dans le cadre du Code des postes et des communications électroniques), et les transpositions des autres États membres ajoutent chacune des nuances propres à chaque pays.
Règlement européen sur l'IA : articles 5 et 50 (règlement 2024/1689)
Le règlement européen sur l'IA (règlement 2024/1689) est entré en vigueur le 1er août 2024. Ses dispositions s'appliquent par étapes.
Article 5, pratiques interdites (en vigueur depuis le 2 février 2025). L'article 5 interdit purement et simplement une catégorie d'applications d'IA. L'interdiction la plus directement pertinente pour l'enregistrement est celle visant les systèmes d'identification biométrique à distance en temps réel utilisés dans les espaces accessibles au public à des fins répressives. L'identification biométrique « en temps réel » désigne le traitement de flux vidéo ou audio en direct destiné à identifier des personnes en comparant leurs données biométriques à une base de données. Cette pratique, illustrée par la reconnaissance faciale sur des flux de vidéosurveillance, est interdite par défaut.
Les États membres peuvent prévoir, par la loi nationale, des exceptions limitées pour certaines infractions graves expressément énumérées, les recherches ciblées de personnes disparues, et les menaces terroristes imminentes, sous réserve, dans la plupart des cas, d'une autorisation judiciaire ou administrative indépendante préalable. La Commission a publié ses lignes directrices sur les pratiques interdites en matière d'IA en avril 2025 afin de préciser la portée de chaque interdiction.
L'article 5 interdit également les systèmes d'IA qui catégorisent les personnes sur la base de leurs données biométriques afin d'en déduire des caractéristiques sensibles telles que les opinions politiques, les convictions religieuses ou l'orientation sexuelle. Les systèmes d'enregistrement équipés d'une IA qui profile automatiquement les locuteurs selon ces caractéristiques relèvent de cette interdiction.
Article 50, transparence relative aux contenus générés par IA (applicable à compter du 2 août 2026). L'article 50 impose des obligations de signalement aux fournisseurs et aux déployeurs de systèmes d'IA qui génèrent des contenus audio, image, vidéo ou texte synthétiques. Les deux obligations les plus directement pertinentes pour l'enregistrement et les médias sont les suivantes :
Premièrement, tout contenu audio, image ou vidéo généré ou manipulé par IA (deepfake) doit être signalé comme artificiellement généré ou manipulé lorsqu'il représente des personnes réelles. Cette obligation incombe aux déployeurs et doit être exécutée de manière claire et reconnaissable, sauf lorsque le contenu relève d'une exception étroite pour un usage répressif autorisé ou pour des œuvres artistiques proportionnées assorties d'un signalement approprié.
Deuxièmement, tout texte généré par IA et publié dans un but d'information du public doit être signalé comme tel, sauf s'il a fait l'objet d'une véritable relecture humaine et qu'une personne physique ou morale en assume la responsabilité éditoriale.
Les sanctions applicables en cas de non-respect de l'article 50 peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
La Commission a publié en mars 2026 le deuxième projet de code de bonnes pratiques sur la transparence des contenus générés par IA, ouvert aux commentaires des parties prenantes. Ce code vise à combler l'écart entre l'obligation légale et les normes techniques nécessaires à la mise en œuvre d'un marquage lisible par machine. L'ensemble des obligations de l'article 50 s'applique à compter du 2 août 2026.
Directive 2024/1385 relative à la lutte contre la violence à l'égard des femmes
La directive 2024/1385 du 14 mai 2024 relative à la lutte contre la violence à l'égard des femmes et la violence domestique érige en infraction pénale, au niveau de l'UE, plusieurs formes de violences numériques et facilitées par l'IA. Les deux dispositions les plus pertinentes pour l'enregistrement et les médias synthétiques sont les suivantes :
Article 5, production et diffusion non consenties d'images intimes. Les États membres doivent ériger en infraction pénale la production, la diffusion ou la mise à disposition d'images intimes réelles ou réalistes générées par IA d'une personne sans son consentement, lorsque cela est susceptible de causer un préjudice grave à la victime. Cette disposition couvre directement la pornographie deepfake et les enregistrements audio ou vidéo intimes non consentis.
Article 7, cyberharcèlement. Les États membres doivent ériger en infraction pénale le fait d'envoyer de manière répétée, par voie de communications électroniques, du contenu menaçant ou abusif, y compris des enregistrements audio et vidéo, dans le but d'intimider une personne.
La directive est entrée en vigueur le 13 juin 2024. Les États membres doivent la transposer en droit national d'ici le 14 juin 2027.
Charte des droits fondamentaux de l'UE et article 8 de la CEDH
Deux cadres fondés sur les droits fondamentaux encadrent l'application du droit de l'enregistrement dans l'UE.
Les articles 7 et 8 de la Charte des droits fondamentaux de l'UE garantissent respectivement le respect de la vie privée et familiale, du domicile et des communications (article 7) et la protection des données à caractère personnel (article 8). Ils s'appliquent lorsque le droit de l'UE est mis en œuvre ou appliqué, y compris dans les procédures devant la CJUE. Les lois nationales sur l'enregistrement qui transposent des directives de l'UE doivent être conformes à la Charte.
L'article 8 de la Convention européenne des droits de l'homme garantit le droit au respect de la vie privée et familiale. La Cour européenne des droits de l'homme (CEDH) a développé une jurisprudence abondante interprétant l'article 8 dans le contexte des enregistrements, de la surveillance et de la publication d'informations privées.
La jurisprudence de référence von Hannover (von Hannover c. Allemagne, requête n° 59320/00, arrêt du 24 juin 2004 ; von Hannover c. Allemagne (n° 2), requêtes n° 40660/08 et 60641/08, arrêt de Grande Chambre du 7 février 2012) a établi que l'article 8 protège les personnes non seulement contre les ingérences des autorités publiques, mais également contre celles des personnes privées et des médias. L'arrêt de Grande Chambre de 2012 a fixé un test de mise en balance fondé sur la proportionnalité : la publication ou l'utilisation d'enregistrements impliquant des particuliers exige de mettre en balance la contribution à un débat d'intérêt général et le degré d'ingérence dans la sphère privée de la personne concernée.
L'article 10 de la CEDH (liberté d'expression) intervient de l'autre côté de cette balance. La CEDH a constamment jugé que le fait de filmer et de publier des enregistrements de représentants publics, y compris de policiers, dans l'exercice de leurs fonctions peut relever de la protection de l'article 10. Toute ingérence dans ce droit doit être nécessaire et proportionnée.
Règles de consentement des États membres : le tableau par pays

Chaque ligne reflète la règle pénale par défaut en vigueur en mai 2026. Le RGPD s'applique dans chaque cas. Les liens vers les pages de pays ci-dessous comportent les citations légales complètes, les sanctions et les actions récentes en matière d'application de la loi.
| Pays | Règle de consentement | Texte clé | Guide du pays |
|---|---|---|---|
| Autriche | Toutes les parties | StGB, art. 120 | Autriche |
| Belgique | Une seule partie | Art. 314bis CP | Belgique |
| Bulgarie | Toutes les parties | Code pénal, art. 145 | Bulgarie |
| Croatie | Toutes les parties | Code pénal, art. 142 | Croatie |
| Chypre | Toutes les parties | Constitution, art. 15/17 | Chypre |
| République tchèque | Une seule partie | Code pénal, art. 182 | République tchèque |
| Danemark | Une seule partie | Code pénal, art. 263 | Danemark |
| Estonie | Une seule partie | Code pénal, art. 156-157 | Estonie |
| Finlande | Une seule partie | Code pénal, chap. 38 | Finlande |
| France | Toutes les parties | Code pénal, art. 226-1 | France |
| Allemagne | Toutes les parties | StGB, art. 201 | Allemagne |
| Grèce | Toutes les parties | Code pénal, art. 370A | Grèce |
| Hongrie | Toutes les parties | Code pénal, art. 422 | Hongrie |
| Irlande | Une seule partie | Aucune interdiction pénale explicite de l'enregistrement par un participant | Irlande |
| Italie | Une seule partie | Code pénal, art. 617 | Italie |
| Lettonie | Une seule partie | Loi pénale, art. 144 | Lettonie |
| Luxembourg | Toutes les parties | Code pénal, art. 509-1 | Luxembourg |
| Pays-Bas | Une seule partie | Code pénal, art. 139a | Pays-Bas |
| Pologne | Une seule partie | Code pénal, art. 267 | Pologne |
| Portugal | Toutes les parties | Code pénal, art. 190-194 | Portugal |
| Roumanie | Une seule partie | Code pénal, art. 302 | Roumanie |
| Slovaquie | Toutes les parties | Code pénal, art. 377 | Slovaquie |
| Slovénie | Toutes les parties | Code pénal, art. 137 | Slovénie |
| Espagne | Une seule partie | Code pénal, art. 197 | Espagne |
| Suède | Une seule partie | Code pénal, chap. 4, art. 9a | Suède |
Remarque sur le RGPD. Chaque pays de ce tableau est également soumis au RGPD. Un enregistrement licite au regard de la règle de consentement nationale figurant dans la deuxième colonne peut néanmoins enfreindre le RGPD si la personne qui enregistre ne dispose pas d'une base légale valable au sens de l'article 6, omet de fournir une notice d'information, ou conserve l'enregistrement sans calendrier de conservation défini. Ces obligations sont distinctes et cumulatives.
Décisions d'application du RGPD relatives à l'enregistrement
Deux décisions d'autorités de protection des données illustrent la manière dont le RGPD s'articule en pratique avec le droit pénal des États membres.
Danemark, Datatilsynet c. TDC (2019). Le Danemark est un pays à consentement d'une seule partie : un participant peut enregistrer un appel en vertu du droit pénal danois sans en informer l'autre partie. Malgré cela, l'autorité danoise de protection des données a statué contre TDC A/S, la plus grande entreprise de télécommunications du Danemark, au motif que TDC enregistrait les appels du service client à des fins de formation sans base légale valable au regard du RGPD. Informer les appelants que les appels « peuvent être enregistrés » était insuffisant. La formation ne relevant ni de l'exécution d'un contrat ni d'une obligation légale, TDC avait besoin d'un consentement spécifique et affirmatif de chaque appelant. Cette décision a clairement distingué la licéité pénale de la conformité au RGPD.
Pologne, UODO c. centre de Varsovie (2022). L'autorité polonaise de protection des données a sanctionné un établissement public pour avoir exploité des caméras équipées de microphones captant l'audio en continu. L'établissement disposait d'une autorisation légale pour la vidéosurveillance, mais d'aucune autorisation pour l'enregistrement audio. L'UODO a jugé que la captation audio exige sa propre base légale indépendante au sens de l'article 6 du RGPD, entièrement distincte de toute autorisation couvrant la vidéo. L'amende était modeste (10 000 zlotys), mais le principe était clair : une base légale de vidéosurveillance ne peut être étendue à l'audio sans une analyse nouvelle et distincte.
Lignes directrices 1/2024 du CEPD sur l'intérêt légitime. En octobre 2024, le Comité européen de la protection des données a finalisé ses lignes directrices relatives à l'intérêt légitime prévu à l'article 6, paragraphe 1, point f). Ces lignes directrices confirment un test en trois étapes : le test de la finalité (existe-t-il un intérêt légitime ?), le test de la nécessité (l'enregistrement est-il nécessaire à cette fin ?), et le test de mise en balance (les droits de la personne concernée l'emportent-ils sur l'intérêt du responsable de traitement ?). La prévention de la fraude et la conservation de preuves peuvent remplir ce test ; le contrôle qualité général et la formation, en l'absence de consentement, exigent une analyse attentive au cas par cas.
Enregistrer la police et les représentants publics dans l'UE

Enregistrer des policiers et d'autres représentants publics dans l'exercice de leurs fonctions relève d'un cadre juridique distinct de celui de l'enregistrement des conversations privées. Deux cadres concurrents s'appliquent.
L'article 10 de la CEDH protège le fait de filmer la police. La Cour européenne des droits de l'homme a constamment considéré que le fait de filmer et de publier des enregistrements de représentants publics dans l'exercice de leurs fonctions constitue une expression protégée au titre de l'article 10 de la CEDH. Toute ingérence dans ce droit doit être nécessaire et proportionnée. Les États membres ne peuvent ériger en infraction pénale le fait de filmer la police au seul motif que l'agent n'y a pas consenti.
Le RGPD s'applique à l'enregistrement lui-même. La publication d'un enregistrement d'un policier implique un traitement de ses données à caractère personnel, même s'il agit dans le cadre de ses fonctions publiques. L'arrêt Buivids de la CJUE (C-345/17, 2019) a confirmé que le fait de filmer la police dans un commissariat et de publier ces images en ligne constitue un traitement de données à caractère personnel. Toutefois, l'exception journalistique prévue à l'article 85 du RGPD (transposée différemment dans chaque État membre) peut justifier un tel traitement lorsque l'objectif est d'informer le public.
Les variations entre pays sont importantes. La France reconnaît explicitement le droit de filmer la police dans les espaces publics, au nom du principe de la liberté de la presse et de la liberté d'expression. La loi espagnole sur la sécurité des citoyens (Ley Orgánica 4/2015) prévoit des amendes pour la publication non autorisée d'images de policiers susceptibles de mettre en danger leur sécurité, bien que cette disposition ait été critiquée comme disproportionnée et fasse l'objet d'une contestation juridique en cours. La règle générale allemande du consentement de toutes les parties s'applique même à l'enregistrement de la police dans l'espace public, bien que l'interdiction pénale soit tempérée par des considérations constitutionnelles relatives à la liberté d'expression lorsque les enregistrements servent un intérêt public manifeste.
La règle pratique dans la majeure partie de l'UE est la suivante : enregistrer la police dans l'exercice de ses fonctions publiques dans un espace accessible au public constitue généralement une expression protégée. Publier des enregistrements identifiant des particuliers captés accessoirement dans la même scène peut engager des obligations au titre du RGPD. Utiliser des outils d'IA pour analyser l'enregistrement à des fins d'identification biométrique de policiers en temps réel est interdit en vertu de l'article 5 du règlement européen sur l'IA.
Enregistrement transfrontalier au sein de l'UE
Quelle loi pénale nationale s'applique ?
Il n'existe aucune règle au niveau de l'UE permettant de résoudre les conflits de compétence entre les lois nationales sur l'enregistrement. Lorsqu'un appel ou une conversation traverse une frontière nationale, les lois pénales des deux pays peuvent théoriquement s'appliquer. Un appel entre une personne se trouvant en Allemagne (consentement de toutes les parties) et une personne se trouvant aux Pays-Bas (consentement d'une seule partie) engage simultanément les deux systèmes juridiques.
L'approche la plus sûre consiste toujours à respecter la plus stricte des règles applicables. Dans l'exemple Allemagne-Pays-Bas, cela signifie traiter l'appel comme soumis aux exigences de consentement de toutes les parties.
L'application transfrontalière de la loi demeure rare pour les enregistrements privés individuels. En revanche, pour les entreprises exploitant des centres d'appels ou effectuant des appels commerciaux dans plusieurs États membres de l'UE, le risque de violer le droit pénal du pays de destination est réel et a déjà donné lieu à des actions en application de la loi.
Champ d'application territorial du RGPD
Aux fins du RGPD, l'article 3 prévoit que le règlement s'applique partout où un responsable de traitement ou un sous-traitant est établi dans l'UE, ou partout où les données à caractère personnel de personnes se trouvant dans l'UE sont traitées par une entité non établie dans l'UE qui propose des biens ou des services à ces personnes ou surveille leur comportement.
Lorsqu'une opération transfrontalière de traitement de données à caractère personnel implique des établissements dans plusieurs États membres, le mécanisme de l'autorité chef de file prévu aux articles 56 et 60 s'applique. L'autorité de protection des données de l'établissement principal du responsable de traitement dans l'UE dirige l'enquête, les autres autorités concernées participant en tant qu'autorités concernées.
En novembre 2025, le Conseil de l'UE a adopté un nouveau règlement visant à accélérer l'application transfrontalière du RGPD, répondant à des frustrations de longue date liées aux délais de coordination. Les nouvelles règles introduisent des délais contraignants pour que les autorités chefs de file partagent leurs projets de décision avec les autorités concernées, ce qui raccourcit le délai moyen de traitement des dossiers transfrontaliers.
Recommandations pratiques pour les opérations multinationales
Toute entreprise multinationale enregistrant des appels depuis une base située dans un pays à consentement d'une seule partie, tout en appelant des clients situés dans des pays à consentement de toutes les parties, doit bâtir sa politique d'enregistrement autour de la norme la plus stricte. Appliquer la loi permissive du pays d'origine de la personne qui enregistre à des appelants relevant de juridictions plus strictes constitue l'erreur de conformité la plus fréquente dans les opérations de centres d'appels au sein de l'UE.
Pour les entreprises soumises à MiFID II (services financiers), l'obligation légale d'enregistrer les communications liées aux transactions, prévue à l'article 16, paragraphe 7, de cette directive, constitue une base légale claire au sens de l'article 6, paragraphe 1, point c), du RGPD. Cette obligation d'enregistrement coexiste avec les exigences de consentement prévues par le droit pénal national : même les entreprises soumises à MiFID II doivent informer au préalable les appelants situés dans des juridictions à consentement de toutes les parties.
Deepfakes et contenus audiovisuels synthétiques
Un cadre juridique en évolution
Trois instruments juridiques distincts régissent désormais les deepfakes et les enregistrements synthétiques dans l'UE, avec des champs d'application qui se chevauchent sans être identiques.
L'article 50 du règlement européen sur l'IA (à compter du 2 août 2026) impose à toute personne déployant un système d'IA pour générer un contenu audio, image ou vidéo synthétique réaliste d'une personne réelle de signaler ce contenu comme généré par IA. Cette obligation s'applique au niveau technique (marquage lisible par machine dans les métadonnées du contenu) et, pour les deepfakes, également au niveau visible par l'utilisateur (un signalement clair à l'écran ou à l'audio). Les sanctions peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial.
L'article 5 de la directive 2024/1385 (délai de transposition au 14 juin 2027) érige en infraction pénale la production et la diffusion d'images intimes réalistes générées par IA d'une personne réelle sans son consentement. Cette disposition couvre spécifiquement la pornographie deepfake et ne se limite pas au contenu signalé ou non comme tel. L'interdiction s'applique indépendamment du fait que le contenu soit signalé comme synthétique. Les États membres doivent garantir aux victimes l'accès à des mesures de retrait rapide et à l'assistance des forces de l'ordre.
Le RGPD s'applique aux deepfakes en tant que données à caractère personnel. Une image ou un extrait audio réaliste généré par IA représentant une personne identifiable constitue une donnée à caractère personnel, voire une donnée biométrique si elle permet l'identification. Tout traitement exige une base légale, que la production d'un deepfake visant un particulier sans son consentement ne peut normalement satisfaire.
Conséquences pratiques
Pour les particuliers, créer un deepfake réaliste d'une autre personne sans son consentement (que ce soit à des fins intimes ou de désinformation politique) sera pénalement interdit dans toute l'UE une fois la directive 2024/1385 transposée, sans préjudice de la responsabilité civile et de la responsabilité au titre du RGPD, également susceptibles d'être engagées.
Pour les plateformes et les fournisseurs d'outils d'IA, l'article 50 du règlement sur l'IA signifie que les outils générant une voix ou une apparence humaine réaliste doivent mettre en place une infrastructure de signalement obligatoire d'ici le 2 août 2026. Le projet de code de bonnes pratiques sur les contenus générés par IA publié par la Commission en mars 2026 fixe des normes techniques pour le filigranage lisible par machine et le signalement visible.
Enregistrement des appels professionnels : liste de vérification de conformité
Pour toute entreprise enregistrant des appels avec des clients ou des employés situés dans l'UE, les étapes suivantes sont requises.
Énoncez la finalité au début de chaque appel. Informez l'appelant que l'appel est enregistré, expliquez pourquoi, et précisez la durée de conservation de l'enregistrement. Des formulations vagues telles que « les appels peuvent être enregistrés à des fins de qualité » ne satisfont pas à l'exigence de transparence du RGPD.
Déterminez votre base légale avant le début de l'enregistrement. Les bases les plus défendables pour l'enregistrement professionnel sont : l'obligation légale (MiFID II, EMIR, ou réglementation sectorielle équivalente), l'exécution d'un contrat (si l'enregistrement est nécessaire à l'exécution d'une clause contractuelle précise), ou l'intérêt légitime (pour la prévention de la fraude, la conservation de preuves, ou la résolution de litiges réglementaires, appuyé par un test de mise en balance documenté).
Informez précisément les appelants situés dans des pays à consentement de toutes les parties et, pour tout enregistrement fondé sur le consentement, offrez-leur un choix réel. Un appelant situé en Allemagne, en France, en Autriche, en Grèce, au Portugal, en Croatie, en Slovaquie, en Slovénie, au Luxembourg, en Hongrie ou à Chypre doit être informé clairement et se voir offrir la possibilité d'exercer ses droits avant le début de tout enregistrement.
Fixez et faites respecter un calendrier de conservation. Une conservation illimitée n'est jamais conforme. Définissez des durées maximales de conservation liées à la finalité précise de chaque enregistrement, documentez ces durées dans votre politique de conservation des données, et mettez en œuvre une suppression automatisée.
Réalisez une analyse d'impact relative à la protection des données. L'enregistrement systématique ou à grande échelle des appels constitue un traitement à risque élevé au sens de l'article 35 du RGPD, ce qui exige une AIPD avant le lancement du dispositif ou toute modification significative de celui-ci.
Prenez en compte les exigences du règlement sur l'IA pour tout enregistrement assisté par IA. Si le logiciel d'enregistrement des appels utilise l'IA pour transcrire, analyser le sentiment, identifier les locuteurs ou générer des résumés, évaluez si ces fonctions d'IA relèvent des catégories interdites, à haut risque, ou soumises à une obligation de transparence au sens du règlement européen sur l'IA. L'identification biométrique en temps réel par la voix visant à identifier des personnes inconnues est interdite en vertu de l'article 5 du règlement sur l'IA.
Comment trouver les règles propres à votre pays
Pour le texte de loi détaillé, les sanctions pénales, les actions récentes des autorités de protection des données, les décisions de justice et des recommandations pratiques propres à chaque État membre de l'UE, consultez les pages de pays ci-dessous. Chaque page traite du texte pénal spécifique, de la mise en œuvre du RGPD, de la transposition de la directive ePrivacy, et des derniers développements dans cette juridiction.

États membres de l'UE disposant d'un guide dédié :
Lois sur l'enregistrement en Autriche -- Consentement de toutes les parties, StGB, article 120, jusqu'à un an d'emprisonnement.
Lois sur l'enregistrement en Belgique -- Consentement d'une seule partie, article 314bis du Code pénal, application du RGPD par l'APD.
Lois sur l'enregistrement en Bulgarie -- Consentement de toutes les parties, Code pénal, article 145, RGPD appliqué par la CPDP.
Lois sur l'enregistrement en Croatie -- Consentement de toutes les parties, Code pénal, article 142, RGPD appliqué par l'AZOP.
Lois sur l'enregistrement à Chypre -- Consentement de toutes les parties en vertu des articles 15 et 17 de la Constitution, RGPD appliqué par le commissaire à la PDPD.
Lois sur l'enregistrement en République tchèque -- Consentement d'une seule partie, Code pénal, article 182, contrôle de l'UOOU.
Lois sur l'enregistrement au Danemark -- Consentement d'une seule partie, Code pénal, article 263, application active du RGPD par le Datatilsynet.
Lois sur l'enregistrement en Estonie -- Consentement d'une seule partie, Code pénal, articles 156-157, contrôle de l'AKI.
Lois sur l'enregistrement en Finlande -- Consentement d'une seule partie, Code pénal, chapitre 38, recommandations du Tietosuojavaltuutetun toimisto.
Lois sur l'enregistrement en France -- Consentement de toutes les parties, Code pénal, article 226-1, application active par la CNIL.
Lois sur l'enregistrement en Allemagne -- Consentement de toutes les parties, StGB, article 201, jusqu'à trois ans d'emprisonnement, BfDI et autorités des Länder.
Lois sur l'enregistrement en Grèce -- Consentement de toutes les parties, Code pénal, article 370A, jusqu'à cinq ans d'emprisonnement, HDPA.
Lois sur l'enregistrement en Hongrie -- Consentement de toutes les parties, Code pénal, article 422, contrôle de la NAIH.
Lois sur l'enregistrement en Irlande -- Consentement d'une seule partie (aucune interdiction pénale explicite de l'enregistrement par un participant), application active du RGPD par la DPC.
Lois sur l'enregistrement en Italie -- Consentement d'une seule partie, Code pénal, article 617, application active par le Garante.
Lois sur l'enregistrement en Lettonie -- Consentement d'une seule partie, loi pénale, article 144, contrôle de la DVI.
Lois sur l'enregistrement au Luxembourg -- Consentement de toutes les parties, Code pénal, article 509-1, contrôle de la CNPD.
Lois sur l'enregistrement aux Pays-Bas -- Consentement d'une seule partie, Code pénal, article 139a, application active par l'AP.
Lois sur l'enregistrement en Pologne -- Consentement d'une seule partie, Code pénal, article 267, application active par l'UODO.
Lois sur l'enregistrement au Portugal -- Consentement de toutes les parties, Code pénal, articles 190-194, contrôle de la CNPD.
Lois sur l'enregistrement en Roumanie -- Consentement d'une seule partie, Code pénal, article 302, contrôle de l'ANSPDCP.
Lois sur l'enregistrement en Slovaquie -- Consentement de toutes les parties, Code pénal, article 377, contrôle de l'UOOU.
Lois sur l'enregistrement en Slovénie -- Consentement de toutes les parties, Code pénal, article 137, contrôle de l'IP RS.
Lois sur l'enregistrement en Espagne -- Consentement d'une seule partie, Code pénal, article 197, application active par l'AEPD.
Lois sur l'enregistrement en Suède -- Consentement d'une seule partie, Code pénal, chapitre 4, article 9a, contrôle de l'IMY.
Frequently Asked Questions
L'UE est-elle une région à consentement d'une seule partie ou de toutes les parties pour l'enregistrement ?
Il n'existe aucune règle de consentement unique à l'échelle de l'UE. Le code pénal de chaque État membre fixe sa propre norme. Environ la moitié des 25 États membres de l'UE disposant de lois spécifiques sur l'enregistrement n'exigent que le consentement d'une seule partie (Belgique, République tchèque, Danemark, Estonie, Finlande, Irlande, Italie, Lettonie, Pays-Bas, Pologne, Roumanie, Espagne, Suède), tandis que l'autre moitié exige le consentement de toutes les parties (Autriche, Bulgarie, Croatie, Chypre, France, Allemagne, Grèce, Hongrie, Luxembourg, Portugal, Slovaquie, Slovénie). Le RGPD s'applique de manière uniforme à tous ces pays et impose des exigences supplémentaires en matière de protection des données, en plus de la règle pénale.
Le RGPD exige-t-il le consentement pour enregistrer un appel téléphonique ?
Le RGPD n'impose pas le consentement comme base légale de l'enregistrement. Il exige une base légale, et le consentement n'est que l'une des six options possibles. Les entreprises s'appuient souvent plutôt sur l'intérêt légitime (article 6, paragraphe 1, point f)) ou sur l'obligation légale (article 6, paragraphe 1, point c)). Ce que le RGPD exige toujours, quelle que soit la base légale retenue, c'est la transparence : vous devez informer la personne que vous l'enregistrez, pourquoi, et pendant combien de temps. Le consentement au sens du RGPD doit être libre, spécifique, éclairé et univoque ; une mention générale indiquant que les appels peuvent être enregistrés est insuffisante.
Que dit le règlement européen sur l'IA à propos de l'enregistrement et des deepfakes ?
Le règlement européen sur l'IA traite de l'enregistrement et des médias synthétiques dans deux dispositions principales. L'article 5, applicable depuis le 2 février 2025, interdit les systèmes d'IA d'identification biométrique à distance en temps réel utilisés dans les espaces accessibles au public à des fins répressives, sauf exceptions étroites autorisées par voie judiciaire. L'article 50, applicable à compter du 2 août 2026, impose aux déployeurs de systèmes d'IA générant des contenus audio, image ou vidéo de type deepfake réaliste de signaler ce contenu comme généré artificiellement, de manière claire et reconnaissable. Les sanctions en cas de non-conformité peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial.
Puis-je enregistrer un policier dans l'UE ?
En général, oui, mais avec d'importantes réserves. La Cour européenne des droits de l'homme a constamment jugé que le fait de filmer des représentants publics dans l'exercice de leurs fonctions constitue une expression protégée au titre de l'article 10 de la CEDH. Toutefois, le RGPD s'applique aux données à caractère personnel captées, et il convient de s'appuyer sur l'exception journalistique de l'article 85 du RGPD pour justifier la publication dans la plupart des États membres. Les variations selon les pays comptent : la France protège largement le droit de filmer la police ; la loi espagnole sur la sécurité des citoyens restreint la publication d'images de policiers susceptibles de mettre en danger leur sécurité. Utiliser l'IA pour identifier des agents en temps réel à partir de l'enregistrement est interdit en vertu de l'article 5 du règlement européen sur l'IA.
Qu'est-ce que la directive ePrivacy, et s'applique-t-elle encore ?
La directive ePrivacy 2002/58/CE régit la protection de la vie privée dans les communications électroniques dans l'ensemble de l'UE. Son article 5 interdit l'interception des communications électroniques sans consentement, sous réserve d'une exception étroite pour l'enregistrement de transactions commerciales avec préavis. La directive demeure en vigueur. La proposition de règlement ePrivacy destinée à la remplacer a été formellement retirée par la Commission européenne en février 2025. La directive ayant été transposée différemment en droit national par chaque État membre, ses exigences varient quelque peu à travers l'UE.
Que signifie la directive 2024/1385 pour les enregistrements de type deepfake ?
La directive 2024/1385 relative à la lutte contre la violence à l'égard des femmes et la violence domestique (adoptée en mai 2024, délai de transposition en juin 2027) érige en infraction pénale la production et la diffusion d'images intimes réalistes générées par IA d'une personne réelle sans son consentement. Cette disposition couvre directement la pornographie deepfake et les enregistrements audio ou vidéo intimes non consentis. Une fois transposée, elle garantira aux victimes l'accès à des mesures de retrait rapide et à des recours pénaux dans chaque État membre de l'UE. La directive s'applique parallèlement à l'obligation de signalement de l'article 50 du règlement sur l'IA et au RGPD, mais son interdiction pénale s'applique indépendamment du fait qu'un deepfake soit signalé ou non.
Mon entreprise enregistre les appels de ses clients depuis un centre d'appels situé dans un pays à consentement d'une seule partie. Sommes-nous en conformité ?
Pas automatiquement. Le droit pénal de votre pays d'origine peut autoriser l'enregistrement sans en informer les clients. Mais si vous appelez des clients situés dans des pays à consentement de toutes les parties, tels que l'Allemagne, la France, l'Autriche ou la Grèce, le droit pénal de ces pays s'applique à ces appels, ce qui vous oblige à obtenir un consentement ou, à tout le moins, à donner un préavis. Le RGPD exige également une base légale documentée, une notice d'information et un calendrier de conservation, indépendamment du droit pénal du pays qui autorise l'enregistrement. Pour les appels de services financiers soumis à MiFID II, l'obligation légale d'enregistrer fournit la base légale au sens du RGPD, mais un préavis demeure exigé dans les juridictions à consentement de toutes les parties.
Sources and References
- Règlement RGPD 2016/679(eur-lex.europa.eu).gov
- Directive ePrivacy 2002/58/CE(eur-lex.europa.eu).gov
- Règlement européen sur l'IA, règlement 2024/1689(eur-lex.europa.eu).gov
- Directive 2024/1385 sur la violence à l'égard des femmes(eur-lex.europa.eu).gov
- Lignes directrices 1/2024 du CEPD sur l'intérêt légitime(edpb.europa.eu).gov
- Lignes directrices de la Commission sur les pratiques interdites en matière d'IA(digital-strategy.ec.europa.eu).gov
- Von Hannover c. Allemagne n° 2 (CEDH 2012)(hudoc.echr.coe.int).gov
- Buivids c. Lettonie, C-345/17 (CJUE 2019)(eur-lex.europa.eu).gov
- UODO Pologne : l'enregistrement audio exige une base légale (2022)(edpb.europa.eu).gov
- Code pénal, art. 226-1, France(legifrance.gouv.fr).gov
- Autorité finlandaise de protection des données sur les appels téléphoniques(tietosuoja.fi).gov
- Aperçu de la directive ePrivacy par le Contrôleur européen de la protection des données (CEPD)(edps.europa.eu).gov
- Conseil de l'UE : application transfrontalière du RGPD (2025)(consilium.europa.eu).gov
- Code de bonnes pratiques de la Commission sur les contenus générés par IA (2026)(digital-strategy.ec.europa.eu).gov
- Règlement européen sur l'IA, article 50 : obligations de transparence pour les fournisseurs et déployeurs de certains systèmes d'IA(artificialintelligenceact.eu)
- Caught on Film : ce que dit la loi sur le fait de filmer la police en Europe, Open Society Justice Initiative(justiceinitiative.org)