L’efficacité des chatbots repose en grande partie sur leur capacité à collecter des données personnelles sur les utilisateurs. Ils peuvent ainsi leur fournir des réponses personnalisées et adaptées.

Ces programmes informatiques sont donc particulièrement concernés par le RGPD, entré en vigueur en 2018. Toute entreprise utilisant un robot conversationnel doit s’assurer que celui-ci respecte bien les nouvelles règles, sous peine d’être sanctionnée. Retrouvez ici tous nos conseils pour concilier chatbot et RGPD.

Les principes RGPD qu’un chatbot doit respecter

Le consentement

C’est le principe le plus important du RGPD.

Pour le respecter, un chatbot doit obtenir le consentement explicite de l’utilisateur avant toute collecte de données personnelles.

Celui-ci doit pouvoir donner ou refuser explicitement son accord pour celle-ci.

L’obligation de la limitation de la durée de traitement

L’utilisateur doit être informé de la durée durant laquelle l’entreprise conservera ses données.

La règle de l’information

Le chatbot doit informer l’utilisateur de manière simple et intelligible de l’utilisation de ses données. Quel que soit son niveau de connaissance, il doit pouvoir comprendre ce qu’il en est.

L’entreprise responsable du chatbot doit ainsi être en mesure de démontrer le consentement de l’utilisateur en cas de contrôle par la CNIL.

Le principe de finalité

Le traitement des données personnelles par le chatbot doit servir un objectif précisément défini à l’avance.

Ainsi, un chatbot ne peut pas collecter des données personnelles sans but précis.

Le droit à l’oubli et la portabilité

Toute personne a le droit de réclamer les données la concernant.

Elle peut aussi demander leur destruction à l’entreprise qui les a collectées. Un chatbot doit respecter ces règles, et se plier aux souhaits de ses utilisateurs.

Les règles concernant les mineurs de moins de 16 ans

Il est dorénavant illégal de collecter les données personnelles des mineurs de moins de 16 ans sans l’accord de leur représentant légal.

Les chatbots doivent respecter cette obligation en effectuant une vérification d’âge et d’identité préalable à leur utilisation.

Comment mettre son chatbot en conformité avec le RGPD ?

Pour faire en sorte que votre chatbot respecte pleinement les règles du RGPD, voici les étapes à respecter.

Héberger son chatbot et les données en Europe

La première règle à respecter, fondamentale, est d’héberger son chatbot et les données qu’il collecte en Europe. Si vous faites appel à un prestataire externe, cette règle requiert une vigilance toute particulière.

En effet, la législation RGPD ne s’appliquant que sur le territoire européen, une entreprise basée en dehors n’est pas tenue de les respecter.

Mais en tant que client de ce prestataire, vous êtes considéré comme responsable de la façon dont il traite les données.

Adapter le comportement de son chatbot au RGPD

Pour faire en sorte que votre chatbot respecte les règles dans ses interactions avec l’utilisateur, voici ce qu’il doit faire :

  • Demander leur accord pour collecter leurs données personnelles
  • Leur expliquer à quelle fin il les collecte
  • Les informer de la durée durant laquelle ces données seront conservées, et de la possibilité de demander leur suppression
  • Donner la possibilité à l’utilisateur d’obtenir des réponses à des questions sur l’utilisation de ses données personnelles