RGPD et Chatbots : quand les robots respectent les règles !

Pour assister les internautes, de nombreux sites web mettent en place des Chatbots pour répondre automatiquement aux questions fréquemment posées. La commission nationale de l’informatique et des libertés (CNIL) précise les règles à respecter en matière de protection des donnés…


RGPD : Chatbots et protection des données personnelles

Les Chatbots, aussi appelés agents conversationnels, sont des systèmes de dialogue disponibles sur un site internet et permettent aux utilisateurs de poser des questions à un programme automatique.

Pour qu’ils puissent fonctionner correctement, certaines données personnelles peuvent être récoltées par ces dispositifs, imposant donc une conformité au règlement général sur la protection des données (RGPD), même si leur accès ne nécessite pas d’inscription.

En plus des dispositions générales, des précautions particulières doivent être prises par les responsables des Chatbots.

Cookie nécessaire à la continuité technique du Chatbot

Pour que l’internaute puisse naviguer sur le site, tout en conservant la conversation avec le Chatbot, un cookie doit être déposé. Deux cas de figure sont possibles :

  • le cookie est déposé avant l’activation du Chatbot par l’utilisateur : son consentement libre, spécifique, éclairé et univoque doit être récolté au préalable ;
  • le cookie est déposé au moment de l’activation du Chatbot par l’utilisateur qui clique sur la fenêtre : son consentement préalable n’est pas requis.

La conservation des données

La CNIL précise que les données peuvent et doivent être conservées le temps nécessaire à la finalité du traitement. Si l’internaute a pu obtenir une réponse à sa question à la fin du dialogue, les données devront être directement effacées. Si sa question requiert un délai de traitement plus important, les données pourront être conservées jusqu’à la clôture de la demande.

Prises de décisions de l’internaute et collecte de données sensibles

Une décision importante qui entraine des conséquences juridiques pour une personne ne peut être récoltée par l’intermédiaire d’un Chatbot entièrement automatisée sauf si :

  • la personne a donné son consentement explicite ;
  • la décision est nécessaire à l’exécution d’un contrat entre l’internaute et le responsable de la récolte des données ;
  • la décision est autorisée par le droit de l’Union européenne ou le droit d’un Etat membre.

Enfin, le RGPD interdit la récolte des données dites « sensibles » (informations sur la santé, les opinions politiques, la prétendue origine raciale ou ethnique, etc). Cette disposition s’applique également au Chatbot.

Toutefois, il existe deux exceptions à cette règle si :

  • la collecte est prévisible et le traitement pertinent : le responsable du traitement devra veiller à ce que les dispositions du RGPD concernant les données sensibles soient scrupuleusement respectées ;
  • la collecte est imprévisible : il est nécessaire de mettre en garde l’utilisateur et de mettre en place un système de purge régulier.

Source : Communiqué de presse de la CNIL du 19 février 2021

RGPD et Chatbots : quand les robots respectent les règles ! © Copyright WebLex - 2021