Les chatbots sont un atout pour de nombreuses entreprises. Mais parce qu’ils recueillent les informations privées des utilisateurs, ils posent la question de la protection des données. Voici la marche à suivre pour que votre chatbot soit en règle avec le RGPD.
Quel lien entre chatbot et RGPD ?
Le chatbot (ou agent conversationnel) permet à vos clients ou prospects d’interagir avec votre entreprise en dialoguant avec un assistant virtuel. Le fonctionnement est simple : l’intelligence artificielle comprend la requête de l’internaute et choisit une réponse appropriée en s’appuyant sur sa base de connaissances. Cette base est alimentée par toutes les données collectées auprès des utilisateurs. En clair : pas de collecte de données, pas de dialogue personnalisé, pas de chatbot ! Mais qui dit collecte de données dit gare au RGPD ! Ce règlement en vigueur depuis 2018 vise en effet à protéger la vie privée des citoyens de l’Union Européenne. En l’occurrence, il encadre le traitement de leurs données personnelles par les entreprises et prévoit des sanctions en cas de manquement à ses principes. C’est pourquoi il est impératif que votre robot conversationnel collecte les données des utilisateurs dans le plus grand respect du RGPD.
Les règles du RGPD pour votre chatbot
Dès la conception, vous devez intégrer au fonctionnement de votre chatbot les règles de protection du RGPD, afin d’encadrer ses interactions avec les utilisateurs. Notez que la loi ne reconnaît aucun principe spécifique aux chatbots : les règles de protection sont une simple transposition de celle que tout collaborateur humain devrait respecter.
- Obtenir le consentement des utilisateurs : le consentement est au cœur du RGPD. Les utilisateurs doivent ainsi pouvoir accepter ou refuser explicitement qu’on collecte leurs données. Le chatbot peut ainsi afficher directement un message d’information dans sa fenêtre et présenter un bouton « J’accepte » cliquable.
- Porter à leur connaissance les finalités de la collecte de leurs données : les utilisateurs doivent être impérativement informés de l’usage qui est fait de leurs données. En effet, votre chatbot ne peut recueillir des données sans but précis : leur traitement doit nécessairement servir un objectif défini à l’avance. Ainsi, vous pouvez par exemple préciser que les données sont recueillies dans le but de personnaliser les conversations ou d’améliorer la compréhension des requêtes.
- Les notifier de la durée de conservation des données : sachez par ailleurs que vous ne pouvez pas conserver les données personnelles des utilisateurs indéfiniment. De fait, elles peuvent soit être effacées à la fin de chaque conversation, ou, s’il y a un intérêt légitime, conservées pour une durée plus longue – je vous recommande 30 jours maximum.
- Pour les mineurs, recueillir le consentement de leur représentant légal : ne badinez pas avec cette règle, car il est illégal de recueillir les données d’un mineur de moins de 16 ans sans l’accord de ses représentants légaux. Conclusion : vous devez vérifier l’âge de l’utilisateur avant toute utilisation du chatbot.
Sécurité des données et hébergement de votre chatbot
Si vous avez opté pour une solution Cloud. Veillez à ce que les datacenters soient situés au sein de l’Union Européenne et que votre prestataire d’hébergement présente un haut niveau de sécurité. Il doit vous garantir une protection optimale des données collectées. S’agissant des solutions On Premise (achat de licence d’utilisation). Ne lésinez pas sur la sécurisation : cryptage des données, mots de passe forts, voire tests d’intrusion pour vérifier l’imperméabilité du système. Dans la mise en place d’un chatbot, la sécurité et transparence sont primordiales. Si le RGPD peut apparaître comme une contrainte, son respect est le faible prix à payer pour gagner la confiance des utilisateurs. Votre DPO, si vous en avez un, doit vous aider à mettre votre chatbot en conformité. Dans le cas contraire, faites appel à un professionnel.