Chatbot IA : RGPD, consentement et repli humain
Un chatbot IA n’est pas seulement une bulle sur une page
Un chatbot IA peut aider un visiteur à comprendre une offre, trouver une information, préparer une demande ou obtenir une première réponse. Mais dès qu’il collecte ou traite des informations personnelles, il devient un sujet de conformité, de confiance et de responsabilité.
L’objectif n’est pas d’effrayer les entreprises. Il s’agit de définir clairement les limites de l’outil pour éviter les mauvaises surprises : données sensibles envoyées dans le chat, réponse trop affirmative, absence d’information, conservation floue, ou visiteur qui ne sait pas comment contacter un humain.
Ce que dit le cadre réglementaire
Le 22 juillet 2025, la CNIL a publié ses premières recommandations sur l’application du RGPD au développement et à l’usage des systèmes d’IA, dont les chatbots font pleinement partie. Ces recommandations insistent particulièrement sur trois points directement applicables à un chatbot sur un site professionnel :
| Exigence CNIL | Ce que cela implique concrètement |
|---|---|
| Transparence | L’utilisateur doit être informé qu’il interagit avec un chatbot IA, pas un humain |
| Traçabilité et documentation | Les traitements de données effectués par le chatbot doivent être documentés |
| Pas de dark pattern | Faire croire que le bot est un humain est explicitement contraire au RGPD |
Le risque n’est pas théorique : une entreprise qui traite des données personnelles via l’IA sans respecter ce cadre s’expose à des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial, un plafond qui s’applique en pratique de façon proportionnée à la gravité et à la taille de l’entreprise, mais qui montre l’importance que la réglementation accorde à ce sujet.
La CNIL alerte en particulier sur un risque souvent négligé : la collecte non anticipée de données sensibles via les champs de saisie libre. Un visiteur qui tape spontanément des informations médicales, financières ou personnelles dans une conversation crée un traitement de données que l’entreprise doit être en mesure de justifier et de sécuriser, même si elle ne l’a pas explicitement demandé.
Les questions à poser avant l’intégration
Quelles données le chatbot collecte-t-il ? Nom, email, téléphone, contenu libre, historique de conversation, adresse IP ou données de navigation peuvent être concernés selon l’outil et la configuration.
À quoi servent ces données ? Répondre à une demande, qualifier un prospect, déclencher un rendez-vous, améliorer la base de connaissance : chaque usage doit être clair.
Où les données sont-elles traitées ? L’éditeur, les sous-traitants, les pays de traitement et les durées de conservation doivent être vérifiés.
Le visiteur est-il informé ? Il doit comprendre qu’il interagit avec un assistant, savoir quelles données peuvent être transmises et disposer d’un autre moyen de contact.
Les bonnes pratiques
- Charger le chatbot après action volontaire lorsque c’est possible.
- Informer l’utilisateur dans la politique de confidentialité.
- Éviter de demander des données sensibles dans le chat, et prévenir l’utilisateur de ne pas en transmettre spontanément.
- Prévoir un bouton ou un lien de contact humain, toujours visible.
- Limiter la base de connaissance aux contenus validés.
- Encadrer le ton et les limites de l’assistant, pour ne jamais laisser croire qu’il s’agit d’un humain.
- Tester les réponses sur des cas sensibles : prix, délais, garanties, juridique, santé, sécurité.
- Vérifier le contrat et la documentation de l’éditeur, notamment la conformité aux recommandations CNIL de juillet 2025.
Consentement, cookies et transparence
Tous les chatbots ne fonctionnent pas de la même façon. Certains déposent des traceurs ou transmettent des données à des services tiers dès leur chargement ; d’autres peuvent être configurés pour ne s’activer qu’au clic. La bonne configuration dépend de l’outil, du niveau de suivi et de l’usage attendu.
Dans tous les cas, le visiteur doit comprendre ce qui se passe. Une politique de confidentialité claire, une activation maîtrisée et un repli email ou rendez-vous évitent de transformer un outil utile en point de friction, et en risque de non-conformité.
Ce qui change concrètement pour une PME
Pour une petite structure sans juriste dédié, l’application de ces recommandations se traduit par des actions simples et vérifiables : une mention claire dans la politique de confidentialité, un message d’accueil du chatbot qui précise qu’il s’agit d’une IA, un bouton de contact humain visible en permanence, et une vérification que l’éditeur du chatbot choisi documente correctement ses traitements. Ce n’est pas un chantier juridique lourd, mais une série de vérifications concrètes à intégrer dès le paramétrage initial.
L’IA doit rester encadrée
Un chatbot ne doit pas promettre ce que l’entreprise ne peut pas garantir. Pour un site professionnel, il doit orienter, clarifier, qualifier, mais savoir passer la main. Le repli humain n’est pas un aveu de faiblesse : c’est une garantie de sérieux, et c’est désormais aussi une attente explicite du régulateur.
Exemple de mention type dans le message d’accueil
Un message d’accueil conforme peut simplement préciser : « Cet assistant est un chatbot automatisé. Il peut vous orienter et répondre aux questions courantes. Pour toute demande spécifique, un contact humain reste disponible à tout moment via [ce lien] ». Cette formulation coche à elle seule plusieurs exigences : transparence sur la nature de l’outil, et accès visible à un interlocuteur humain.
Ce qu’il faut demander à son prestataire
La conformité d’un chatbot ne se joue pas seulement dans son paramétrage, mais aussi dans le choix de l’éditeur. Beaucoup de solutions grand public traitent les conversations sur des serveurs à l’étranger, les conservent longtemps ou les réutilisent pour entraîner leurs modèles, autant de points qui engagent la responsabilité de l’entreprise qui les déploie. Avant de signer, quelques questions simples permettent de trier.
Où les conversations sont-elles hébergées et traitées, et dans quels pays ? Combien de temps sont-elles conservées, et peut-on régler cette durée ? Les données servent-elles à entraîner le modèle de l’éditeur, et peut-on s’y opposer ? L’outil est-il aligné sur les recommandations de la CNIL de 2025 ? Un éditeur sérieux répond à ces questions sans détour et fournit une documentation claire. À l’inverse, une réponse floue sur la localisation des données ou leur réutilisation doit alerter avant tout engagement : c’est souvent le signe que la conformité n’a pas été pensée.
Aucune dispense pour les petites structures
Il serait tentant de croire qu’un petit site échappe à ces obligations. C’est faux : le RGPD ne module pas ses règles selon la taille de l’entreprise. Un chatbot mal maîtrisé expose une TPE au même type de non-conformité qu’un grand groupe, à ceci près qu’une petite structure a rarement un juriste sous la main pour rattraper le tir.
La bonne nouvelle, c’est que la mise en conformité d’un chatbot n’a rien d’un chantier juridique lourd. Pour une PME, elle se résume à une poignée de gestes concrets : une mention dans la politique de confidentialité, un message d’accueil qui annonce la nature du bot, un accès humain toujours visible et un éditeur qui documente ses traitements. Ce sont des vérifications de bon sens, à intégrer dès le paramétrage plutôt qu’à corriger après une mise en demeure.
Un outil de confiance, pas un piège à données
Bien pensé, un chatbot IA renforce la relation client : il répond vite, oriente clairement et laisse toujours la porte ouverte vers un humain. Mal configuré, il devient un risque, pour la confiance des visiteurs comme pour la conformité de l’entreprise. La différence ne tient pas à la technologie, mais à quelques principes simples tenus dès le départ : dire ce qu’on est, ne collecter que le nécessaire, sécuriser ce qu’on recueille et savoir passer la main. Le régulateur ne demande rien d’autre que ce que le bon sens commercial recommande déjà, de la transparence.
C’est l’approche de notre pack Boost IA et de notre service de chatbots et assistants IA : une IA utile, sobre, connectée à des contenus validés, pensée pour renforcer la relation client plutôt que la remplacer. Contactez-nous pour préparer votre projet.
Sources : CNIL, Développement des systèmes d’IA : les recommandations de la CNIL · CNIL, RGPD : se préparer en 6 étapes
Retrouvez l'ensemble de nos prestations Web & E-Commerce.