Chatbot : comment être compatible avec le RGPD ?

Le Règlement Général sur la Protection des Données est entré en application le 25 mai 2018. Toute entreprise domiciliée au sein de l’Union Européenne ou traitant des données personnelles relatives à des ressortissants de l’UE doit se plier à ce règlement. Les chatbots doivent ainsi s’y conformer. Mais concrètement, quelles actions mettre en place pour qu’un agent conversationnel respecte le RGPD ?

Cas n°1 : Les données récoltées ne permettent pas d’identifier l’utilisateur

Dans le cas où le chatbot ne collecte aucune donnée personnelle de l’utilisateur, l’objectif est de dissuader l’utilisateur final de transmettre lui-même des informations personnelles permettant son identification au cours du dialogue, en l’en informant avant même de débuter le dialogue. 

Exemple avec le chatbot de Oui Sncf :

chatbot SNCF RGPD

Cas 2 : Les données récoltées permettent d’identifier l’utilisateur

C’est le cas le plus fréquent, car pour obtenir des réponses précises et personnalisées, les chatbots doivent généralement avoir accès aux données personnelles des utilisateurs. Cela se fait via un process automatisé (webservice, SAML…) ou non automatisé (questions sur l’identité de l’interlocuteur au cours du dialogue). 

Toutes les informations qui rendent l’utilisateur final directement ou indirectement identifiable relève de la catégorie des données dites « à caractère personnel », comme le nom et prénom, l’email, l’adresse (pour la livraison d’un produit par exemple), mais également la géolocalisation (pour un itinéraire), le numéro de sécurité sociale (pour une mutuelle), ou encore l’adresse IP (via les cookies)… Il est donc impératif que le chatbot respecte quelques grands principes du RGPD : 

  • collecter le consentement de l’utilisateur
  • être transparent sur l’ensemble des traitements opérés
  • mettre en place des outils pour le respect des droits des utilisateurs
  • limiter la conservation des données au stricte nécessaire
  • sécuriser les données

Information et obtention du consentement

Il est indispensable de mettre en place un message d’accueil lorsqu’un utilisateur converse avec le chatbot pour la première fois, pour l’informer sur la collecte et le traitement de ses données. Le message doit mentionner comment et pourquoi les données  sont collectées, les destinataires de ces données (l’éditeur du chatbot et l’éventuel hébergeur tiers), leur durée de conservation ainsi qu’un rappel des droits de la personne concernée.

Ce message doit impérativement être simple et compréhensible de tous. Nous conseillons de faire figurer ces informations dans le message d’accueil du chatbot et d’y ajouter un lien vers votre politique de protection des données (laquelle pourra fournir davantage de détails sur les traitements de données mis en œuvre).

Sous ce message doit également figurer un Call To Action « J’accepte » ou « J’ai compris ». C’est lorsque l’utilisateur clique sur ce CTA que le consentement est donné. Une variable doit être associée afin d’enregistrer l’heure et la date du consentement pour pouvoir tenir un journal des consentements.

Ce n’est pas obligatoire, mais nous conseillons de créer une ou plusieurs connaissances sur le RGPD et la conservation des données, au sein même de votre chatbot. C’est un moyen supplémentaire d’informer les utilisateurs finaux sur leurs droits. 

chatbot SNCF RGPD

Traitement des données et finalités

Les données personnelles des utilisateurs finaux peuvent être collectées, enregistrées et stockées par les éditeurs de chatbots pour les entreprises propriétaires des bots. Les données sont collectées pour répondre principalement à deux objectifs :

  • Personnaliser les dialogues 

Nom, historique des conversations, géolocalisation… le chatbot cherche la bonne information pour mieux contextualiser la requête, l’interpréter plus finement et apporter une réponse personnalisée.

  • Améliorer la compréhension des requêtes utilisateur 

Grâce au machine learning, le chatbot mémorise des situations de conversation pour améliorer le matching entre les questions des utilisateurs et les réponses existantes dans la base de connaissance. Plus il y a de données analysées, plus le bot devient performant. Les données ne doivent être en aucun cas utilisées à des fins commerciales sans que les utilisateurs n’aient été informés au préalable et y aient consenti. 

Hébergement et sécurité

Coté hébergement pour les solutions Cloud, les Datacenter utilisés doivent prioritairement être situés au sein l’Union-Européenne ou tout pays reconnu adéquat par l’Union Européenne  (cf. Carte de la CNIL). Les prestataires d’hébergement doivent également être choisis pour leur haut niveau de protection des données et doivent présenter des garanties sur des mesures de sécurité adéquates.

Pour des solutions « On Premise », il faut effectuer une vérification de la sécurité des services (données encryptées, mot de passe complexe, permissions d’accès, tests d’intrusions…).

La sécurité doit également être renforcée pour tout ce qui concerne les personnes mineures et les données sensibles (santé ou opinions politiques par exemple). Cela impose des obligations supplémentaires notamment en termes d’hébergement (données stockées chez un hébergeur agréé à cet effet).

Anonymisation et durée de conservations des données

Pour respecter le RGPD, il faut définir un délai de conservation des historiques de dialogues des utilisateurs. Une fois le délai dépassé, une purge ou anonymisation des dialogues doit être effectuée. Nous recommandons un délai de 15 à 30 jours maximum.  Pour en informer l’utilisateur, il faut mettre en place un disclaimer qui mentionne cette durée.

Respects des droits des utilisateurs 

Les utilisateurs des chatbots, qu’ils soient clients de l’entreprise ou salariés, doivent pouvoir accéder à leurs données (principe de portabilité) et demander la suppression de ces données (droit à l’oubli). Des CTA doivent être mis en place à cet effet sur la chatbox.  

Lorsqu’un utilisateur fait une demande de droit d’accès, il doit recevoir un e-mail avec tous ses historiques de conversation. Lorsqu’il exerce une demande de droit d’oubli, tous ses dialogues avec le bot doivent être supprimés, il doit recevoir un e-mail l’en informant.

Gestion des cookies

La chatbox génère des cookies afin de personnaliser le service (cookie de session, historiques de connexion). Cependant, ces cookies peuvent à tout moment être bloqués par l’utilisateur final ou par l’entreprise mettant en œuvre le chatbot sur son site web sans que cela ne vienne gêner l’utilisation instantanée du bot.  

Afin de respecter les règles en la matière, il est conseillé d’intégrer la gestion des cookies du chatbot au sein d’un tag manager, afin d’informer et de recueillir le consentement des utilisateurs avant toute intégration de cookies. Cela est vrai également pour tout autre service accessoire générant des cookies (ex : réseaux sociaux, vidéos, analytics, etc.)

Conseil final : Votre politique de protection des données

Toujours dans un objectif de transparence, il faut intégrer des mentions relatives au service de chatbot dans votre politique de protection des données (ou politique de confidentialité) sur votre site web, appli web ou intranet. Ces mentions viendront compléter en détails celles présentes au sein du message d’accueil. 

Le RGPD représente un certain nombre de contraintes techniques et légales, mais c’est aussi le meilleur moyen de gagner la confiance des utilisateurs, et donc de favoriser l’adoption des chatbots par le plus grand nombre d’internautes.

Lucie Choulet
Chargée de communication