Aller au contenu principal
Votre site web, livré en 2 à 4 semaines — sans jargon, sans surprise.Site vitrine, boutique en ligne ou IA : un interlocuteur unique pour tout.Lancer votre activité en ligne ? Découvrez le Pack Starter WebOuvrir votre boutique en ligne ? Le Pack E-Commerce dès 5 900 € net de TVAPrestation sur-mesure ou pack clé en main — à vous de choisir.
IA & automatisation ChatbotIARGPD

Chatbot IA : RGPD, consentement et repli humain

Botpress

Un chatbot IA n’est pas seulement une bulle sur une page

Un chatbot IA peut aider un visiteur à comprendre une offre, trouver une information, préparer une demande ou obtenir une première réponse. Mais dès qu’il collecte ou traite des informations personnelles, il devient un sujet de conformité, de confiance et de responsabilité.

L’objectif n’est pas d’effrayer les entreprises. Il s’agit de définir clairement les limites de l’outil pour éviter les mauvaises surprises : données sensibles envoyées dans le chat, réponse trop affirmative, absence d’information, conservation floue, ou visiteur qui ne sait pas comment contacter un humain.

Ce que dit le cadre réglementaire

Le 22 juillet 2025, la CNIL a publié ses premières recommandations sur l’application du RGPD au développement et à l’usage des systèmes d’IA, dont les chatbots font pleinement partie. Ces recommandations insistent particulièrement sur trois points directement applicables à un chatbot sur un site professionnel :

Exigence CNILCe que cela implique concrètement
TransparenceL’utilisateur doit être informé qu’il interagit avec un chatbot IA, pas un humain
Traçabilité et documentationLes traitements de données effectués par le chatbot doivent être documentés
Pas de dark patternFaire croire que le bot est un humain est explicitement contraire au RGPD

Le risque n’est pas théorique : une entreprise qui traite des données personnelles via l’IA sans respecter ce cadre s’expose à des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial, un plafond qui s’applique en pratique de façon proportionnée à la gravité et à la taille de l’entreprise, mais qui montre l’importance que la réglementation accorde à ce sujet.

La CNIL alerte en particulier sur un risque souvent négligé : la collecte non anticipée de données sensibles via les champs de saisie libre. Un visiteur qui tape spontanément des informations médicales, financières ou personnelles dans une conversation crée un traitement de données que l’entreprise doit être en mesure de justifier et de sécuriser, même si elle ne l’a pas explicitement demandé.

Les questions à poser avant l’intégration

Quelles données le chatbot collecte-t-il ? Nom, email, téléphone, contenu libre, historique de conversation, adresse IP ou données de navigation peuvent être concernés selon l’outil et la configuration.

À quoi servent ces données ? Répondre à une demande, qualifier un prospect, déclencher un rendez-vous, améliorer la base de connaissance : chaque usage doit être clair.

Où les données sont-elles traitées ? L’éditeur, les sous-traitants, les pays de traitement et les durées de conservation doivent être vérifiés.

Le visiteur est-il informé ? Il doit comprendre qu’il interagit avec un assistant, savoir quelles données peuvent être transmises et disposer d’un autre moyen de contact.

Les bonnes pratiques

  • Charger le chatbot après action volontaire lorsque c’est possible.
  • Informer l’utilisateur dans la politique de confidentialité.
  • Éviter de demander des données sensibles dans le chat, et prévenir l’utilisateur de ne pas en transmettre spontanément.
  • Prévoir un bouton ou un lien de contact humain, toujours visible.
  • Limiter la base de connaissance aux contenus validés.
  • Encadrer le ton et les limites de l’assistant, pour ne jamais laisser croire qu’il s’agit d’un humain.
  • Tester les réponses sur des cas sensibles : prix, délais, garanties, juridique, santé, sécurité.
  • Vérifier le contrat et la documentation de l’éditeur, notamment la conformité aux recommandations CNIL de juillet 2025.

Consentement, cookies et transparence

Tous les chatbots ne fonctionnent pas de la même façon. Certains déposent des traceurs ou transmettent des données à des services tiers dès leur chargement ; d’autres peuvent être configurés pour ne s’activer qu’au clic. La bonne configuration dépend de l’outil, du niveau de suivi et de l’usage attendu.

Dans tous les cas, le visiteur doit comprendre ce qui se passe. Une politique de confidentialité claire, une activation maîtrisée et un repli email ou rendez-vous évitent de transformer un outil utile en point de friction, et en risque de non-conformité.

Ce qui change concrètement pour une PME

Pour une petite structure sans juriste dédié, l’application de ces recommandations se traduit par des actions simples et vérifiables : une mention claire dans la politique de confidentialité, un message d’accueil du chatbot qui précise qu’il s’agit d’une IA, un bouton de contact humain visible en permanence, et une vérification que l’éditeur du chatbot choisi documente correctement ses traitements. Ce n’est pas un chantier juridique lourd, mais une série de vérifications concrètes à intégrer dès le paramétrage initial.

L’IA doit rester encadrée

Un chatbot ne doit pas promettre ce que l’entreprise ne peut pas garantir. Pour un site professionnel, il doit orienter, clarifier, qualifier, mais savoir passer la main. Le repli humain n’est pas un aveu de faiblesse : c’est une garantie de sérieux, et c’est désormais aussi une attente explicite du régulateur.

Exemple de mention type dans le message d’accueil

Un message d’accueil conforme peut simplement préciser : « Cet assistant est un chatbot automatisé. Il peut vous orienter et répondre aux questions courantes. Pour toute demande spécifique, un contact humain reste disponible à tout moment via [ce lien] ». Cette formulation coche à elle seule plusieurs exigences : transparence sur la nature de l’outil, et accès visible à un interlocuteur humain.

Ce qu’il faut demander à son prestataire

La conformité d’un chatbot ne se joue pas seulement dans son paramétrage, mais aussi dans le choix de l’éditeur. Beaucoup de solutions grand public traitent les conversations sur des serveurs à l’étranger, les conservent longtemps ou les réutilisent pour entraîner leurs modèles, autant de points qui engagent la responsabilité de l’entreprise qui les déploie. Avant de signer, quelques questions simples permettent de trier.

Où les conversations sont-elles hébergées et traitées, et dans quels pays ? Combien de temps sont-elles conservées, et peut-on régler cette durée ? Les données servent-elles à entraîner le modèle de l’éditeur, et peut-on s’y opposer ? L’outil est-il aligné sur les recommandations de la CNIL de 2025 ? Un éditeur sérieux répond à ces questions sans détour et fournit une documentation claire. À l’inverse, une réponse floue sur la localisation des données ou leur réutilisation doit alerter avant tout engagement : c’est souvent le signe que la conformité n’a pas été pensée.

Aucune dispense pour les petites structures

Il serait tentant de croire qu’un petit site échappe à ces obligations. C’est faux : le RGPD ne module pas ses règles selon la taille de l’entreprise. Un chatbot mal maîtrisé expose une TPE au même type de non-conformité qu’un grand groupe, à ceci près qu’une petite structure a rarement un juriste sous la main pour rattraper le tir.

La bonne nouvelle, c’est que la mise en conformité d’un chatbot n’a rien d’un chantier juridique lourd. Pour une PME, elle se résume à une poignée de gestes concrets : une mention dans la politique de confidentialité, un message d’accueil qui annonce la nature du bot, un accès humain toujours visible et un éditeur qui documente ses traitements. Ce sont des vérifications de bon sens, à intégrer dès le paramétrage plutôt qu’à corriger après une mise en demeure.

Un outil de confiance, pas un piège à données

Bien pensé, un chatbot IA renforce la relation client : il répond vite, oriente clairement et laisse toujours la porte ouverte vers un humain. Mal configuré, il devient un risque, pour la confiance des visiteurs comme pour la conformité de l’entreprise. La différence ne tient pas à la technologie, mais à quelques principes simples tenus dès le départ : dire ce qu’on est, ne collecter que le nécessaire, sécuriser ce qu’on recueille et savoir passer la main. Le régulateur ne demande rien d’autre que ce que le bon sens commercial recommande déjà, de la transparence.

C’est l’approche de notre pack Boost IA et de notre service de chatbots et assistants IA : une IA utile, sobre, connectée à des contenus validés, pensée pour renforcer la relation client plutôt que la remplacer. Contactez-nous pour préparer votre projet.

Sources : CNIL, Développement des systèmes d’IA : les recommandations de la CNIL · CNIL, RGPD : se préparer en 6 étapes

Automatiser un cas d’usage concret

Identifiez un processus mesurable à simplifier sans ajouter une couche d’outil inutile.