De nos jours, de nombreuses entreprises ont recours à ce qu’on appelle les chatbots (ou agents conversationnels).
Ces logiciels permettent le dialogue d’un utilisateur avec un programme destiné à lui fournir des informations fréquemment sollicitées.
Or, des données personnelles sont inévitablement traitées par cet outil. Par exemple en vue de conserver une trace de la conversation.
Obligation de conformité du chatbot au RGPD
Toute entreprise ou organisation qui intègre un chatbot à ses activités doit donc se conformer aux obligations du RGPD.
La bonne nouvelle est que la CNIL (autorité de protection des données française) fournit des conseils pour ce faire.
Privacy by design
Dès lors, l’éditeur d’un site qui propose un chatbot doit veiller à la protection des données à caractère personnel dès la conception (privacy by design) de cet outil.
Le sous-traitant qui conçoit ce chatbot est aussi soumis à cette obligation.
En outre, le délégué à la protection des données, s’il y en a un, doit évidemment être impliqué.
Cookie nécessaire au chatbot
Un cookie peut par exemple être placé pour assurer la continuité technique du chatbot. Il pourrait aussi servir à garder un historique de la conversation entre les différentes pages du site.
Si le cookie est strictement nécessaire au service de chatbot, et placé après l’activation du chatbot par l’internaute, son consentement n’est pas exigé.
Mais attention : cette exemption ne vaut que lorsque le cookie sert uniquement à la fourniture du chatbot. S’il existe une autre finalité, le consentement de l’utilisateur sera requis.
Prise de décision à l’égard des utilisateurs
Un chatbot implique par définition l’absence d’intervention humaine. Par conséquent, les conversations qui en découlent ne peuvent conduire à elles seules à des décisions négatives pour l’internaute, par exemple :
- le refus d’une demande de crédit en ligne ;
- l’application de tarifs plus élevés ou
- l’impossibilité de présenter une candidature à un poste.
Toutefois, il n’est pas interdit d’utiliser un chatbot dans ces situations à condition que ce processus implique une intervention humaine significative.
En effet, le RGPD interdit en principe les décisions fondées exclusivement sur un traitement automatisé qui ont des conséquences juridiques ou affectent une personne de manière significative.
Il y a des exceptions très strictes. Dans ce cas, le responsable du traitement doit mettre en œuvre pour limiter les risques de dérives. Il doit au minimum fournir un moyen d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision.
Quid de la collecte de données sensibles par les chatbots ?
Les données sensibles sont des données liées à la santé, aux opinions politiques, à la prétendue appartenance syndicale ou religieuse, etc. Le traitement de ces données est en principe interdit par l’article 9 du RGPD.
Si des données sont néanmoins collectées, il faut distinguer les situations :
- La collecte de données sensibles est prévisible et le traitement est pertinent
Il s’agit par exemple d’un chatbot qui serait utilisé par une association fournissant des services d’assistances aux minorités sexuelles ou relatifs à la santé.
Néanmoins, l’opérateur doit veiller à ce que le traitement de données rentre dans l’une des exceptions prévues par le RGPD. Par exemple, le consentement explicite de l’utilisateur.
Par ailleurs, l’opérateur pourrait être amené à devoir réaliser une analyse d’impact relative à la protection des données conformément à l’article 35 du RGPD.
- La collecte n’est pas prévisible
Certains chatbots peuvent proposer un mode d’écriture libre. Dans cette situation, l’utilisateur peut fournir des données sensibles sans que le responsable de traitement ou le sous-traitant ne l’ait anticipé.
Il ne faut pas recueillir le consentement préalable des utilisateurs dans ces situations. Toutefois, il est recommandé de mettre en place des mécanismes afin de minimiser les risques pour les internautes. Par exemple :
- une mise en garde avant l’utilisation du chatbot les invitant à s’abstenir de communiquer des données sensibles,
- un système de purge, immédiat ou au moins régulier des données sensibles.
Durée de conservation des données collectées par le chatbot
La durée de conservation des données doit être strictement nécessaire pour atteindre la finalité du traitement.
On peut faire face à deux types de situations :
- soit les données seront effacées dès la fin de la conversation. Par exemple, c’est le cas d’un chatbot aidant à un acte d’achat.
- soit le responsable de traitement pourra légitimement conserver ces données pour une durée plus longue. Par exemple, afin de faire face à une réclamation au sujet d’un produit acheté.
Donc, il faut réfléchir aux hypothèses dans lesquelles vous pourriez devoir faire appel aux échanges enregistrés par le chatbot. Il faut documenter le choix de la durée de conservation, et donc la conformité du chatbot au RGPD.
Notre conseil :
Si votre entreprise ou autorité publique a recours à l’utilisation de chatbot, voici quelques questions à vous poser :
- Est-ce que vous bien pensé à ajouter les traitements de données par le chatbot dans votre registre des traitements ?
- Quels sont les “cookies” auxquels vous avez recours ? De quelle manière recueillez-vous le consentement des internautes ?
- Récoltez-vous des données sensibles ?
- Est-ce que le chatbot implique la prise de décision automatisée ?
Vu le degré de technicité de la matière, n’hésitez pas à vous faire assister dans cette mise en conformité au RGPD.