Chatbots et Privacy-by-Design: quelques tips pour des chatbots en conformité aux principes du RGPD

Les chatbots se sont multipliés récemment sur la grande majorité des sites web. Ils ont un avantage considérable : celui d’être disponibles 7j/7 et 24h/24 et ne sont nullement impactés par les périodes successives d’ouverture et fermeture rencontrées par les magasins dernièrement.

Les chatbots se révèlent être l’outil indispensable du e-commerce en ce qu’il oriente, conseil et soutien les consommateurs - y compris les moins familiers du shopping en ligne - Néanmoins, cette assistance de pointe n’a lieu d’être sans un certain traitement de données personnelles de la cible.  

Selon une étude menée par Inbenta, un fournisseur de chatbot basé à Toulouse, en France, les éditeurs de chatbot ont connu une augmentation de 20% du nombre de conversations gérées par leurs chatbots lors du premier confinement - un nombre qui a parfois atteint 96% dans les secteurs du transport aérien et de l’hôtellerie.

Pour autant, une question apparaît être évidente au regard de ces agents conversationnels, notamment dans les relations entre responsables du traitement des données et les sous-traitants : celle de savoir comment garantir la conformité de ces chatbots avec la législation en vigueur sur la protection des données, dès leur conception.

Dans cet article, nous vous proposons de passer en revue certains des conseils et mesures que vous pouvez commencer à mettre en place dès à présent afin de garantir la conformité de vos chatbots avec la loi sur la protection des données. Comme le RGPD est la référence suprême dans le secteur des nouvelles technologies, la discussion qui suit se concentrera sur les différentes lignes directrices énoncées dans ce règlement et telles qu'elles sont interprétées par la CNIL, l'autorité française de protection des données. 

Chatbot ou pas chatbot ? Enjeux & Principes relatifs au traitement des données personnelles

Les principes inhérents au RGPD demeurent le socle commun et le point de départ pour toute technologie ayant vocation a être développée sur le territoire de l’Union Européenne et impliquant un traitement de données à caractère personnel. Chatbot ou pas, voici un bref exposé des dispositions phares du RGPD à ne pas négliger :

Ils sont au nombre de 6 et se retrouvent à l’article 5 du RGPD, exigeant que les données soient :  

1. traitées de manière légale, équitable et transparente (1: "Légalité, équité et transparence") ;

2. collectées uniquement pour des finalités déterminées, explicites et légitimes (2: "Limitation des finalités") ; 

3. adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées (3: "Réduction des données") ; 

4. exactes et, si nécessaire, mises à jour (4: "Exactitude") ; 

5. non conservées sous une forme permettant l'identification des personnes concernées pendant une durée excédant celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées (5: "Limitation de la conservation") ; 

6. traitées de manière à garantir leur sécurité par des mesures techniques et organisationnelles appropriées (6: "Sécurité, intégrité et confidentialité").

Deux autre principes méritent d’être mentionnés au regard de notre étude — ils se trouvent aux articles 12 et 13 mentionnant l'exigence selon laquelle les données : 

• ne soient pas transférées vers un autre pays sans que des garanties appropriées aient été mises en place (7: "Limitation du transfert") ; et

• aient été mises à la disposition des personnes concernées afin de leur permettre, le cas échéant, d’exercer certains droits en relation avec leurs données personnelles (8: "Droits et demandes des personnes concernées »).

A la lumière de ces dispositions, la nécessité de prêter une attention particulière aux enjeux pour les droits et libertés des personnes concernées se révèle être inévitable, notamment pour le responsable de traitement ou le sous-traitant ayant recours au chatbot. 

En cas de doute sur la réglementation en vigueur, Gerrish Legal vous accompagne sur ce long chemin que se révèle être celui de la conformité au RGPD. 

Les principaux enjeux des chatbots se situent dans la récolte de données par le biais de cookies placés sur le site web détenant un chatbot. La CNIL le rappelle, le fait d’insérer des cookies est encadré par l’article 82 de la loi Informatique et Libertés, sur lequel la CNIL a publié des lignes directrices et des recommandations  il y a peu.

Tips pour un chatbot au top de la compliance

Pas de consentement, pas de chatbot

Pour recueillir le consentement de l’utilisateur de votre site web, 2 options s’offrent à vous:

➔ Pour un chatbot très impatient d’être activé, il vous faut déposer un cookie en amont : pour cela, obtenez le consentement libre, spécifique, éclairé et univoque de l’utilisateur ciblé ;

➔ Pour un chatbot plus feignant, le cookie devra être activité par l’action de l’utilisateur (par ex, en cliquant sur la fenêtre de conversation préalablement affichée, ou en cliquant sur un bouton déclenchant explicitement l’ouverture du chatbot) puisqu’il sera considéré selon la CNIL comme « strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ».

La seconde option a pour avantage de ne pas avoir à recueillir le consentement de son utilisateur puisque c’est ce dernier qui nous le confère. De plus, portez une attention particulière à votre bannière de cookies surtout si vous lisez notre article depuis la France. La CNIL a encouragé les organisations privées et publiques à auditer leurs sites web et leurs applications mobiles pour s'assurer de leur conformité à un ensemble de nouvelles règles sur les cookies - particulièrement sur la nécessité de pouvoir refuser aussi facilement que d’accepter les cookies présents.

Chatbot persistant, chatbot embêtant 

Les données récoltées par le biais du cookie va permettre une réponse adaptée aux besoins du destinataire des services du chatbot. Pour autant, le RGPD prohibe l’éternelle conservation des données et sont seulement autorisées à être conservées pour la durée nécessaire de l’obtention de la finalité du traitement. 

Veillez ainsi à distinguer :

➔ Les cas ne nécessitant pas une conservation de longue durée (les données pouvant donc être supprimées à la fin de l’échange entre le chatbot et l’utilisateur). Il s’agira des cas d’assistance à l’achat, aux conseils sur une prestation etc.

➔ Des cas où le responsable de traitement peut légitimement conserver ces données pour une durée plus longue (dans l’hypothèse d’un suivi, service sur la durée, réclamation etc). 

Le chatbot plus vrai que nature 

Si les chatbots les plus performants peuvent nous faire oublier que derrière l’écran se trouve non pas un humain mais un robot, ne perdez pas de vue que de simples solutions doivent être apportées par votre agent conversationnel. La prise de décision automatisée lorsqu’elle a des conséquences juridiques ou affecte significativement une personne est formellement interdite par l’article 22 du RGPD.

L’utilisateur ciblé doit être au minimum en mesure d’exprimer son point de vue, de contester la décision apportée par le chatbot et d’obtenir une intervention humaine s’il le requiert. 

Au-delà, des exceptions sont prévues dès lors qu’elles assurent la protection des droits, libertés et intérêt des personnes visées : 

➔ la personne a donné son consentement explicite ;

➔ la décision est nécessaire à l’exécution d’un contrat entre la personne et le responsable de traitement ;

➔ la décision est autorisée par le droit de l’Union européenne ou le droit d’un État membre.

Ainsi, nous vous recommandons fortement de garder à l’esprit ces 3 tips : 

➔ Avertir autant que possible, en amont, l’utilisateur et ce de la manière la plus transparente possible ;

➔ L’échange doit éviter de contenir des informations confidentielles ;

➔ Permettre à l'utilisateur de supprimer les informations données, aussi simplement qu’il a pu les fournir.

Le chatbot un peu trop curieux 

Comme pour tout traitement de donnée qui se respecte, la question de la collecte de données sensibles apparait nécessairement sur la table. Par données sensibles, la CNIL entend « les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale. Ce sont également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique ».

Le principe : l’article 9 du RGPD en interdit le traitement.

L’exception : autorisation dès lors que la collecte est prévisible et le traitement est pertinent. Autrement dit, l’article 9.2 liste les cas susceptibles d’outrepasser cette interdiction : 

➔ Si la personne concernée a donné son consentement exprès (écrit, clair et explicite) ;

➔ Si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé ;

➔ Si leur utilisation est justifié par l'intérêt public et autorisé par la CNIL ;

➔ Si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

La CNIL prévoit le cas du traitement de données à caractère sensible dans ceux nécessitants la réalisation d’une analyse d’impact relative à la protection des données (AIPD). Cette analyse est la chance de prouver à la CNIL que votre projet ne contrevient pas aux principes qu’elle garantie. Vous pourrez ainsi proposer des alternatives plus respectueuses de la vie privée des personnes que vous ciblez. C’est une chance qui implique un travail rigoureux, pour lequel Gerrish Legal est spécialisé, si vous désirez être accompagné dans sa rédaction. 

N’oubliez pas, un chatbot en conformité dès sa création est : 

• un chatbot consenti 

• un chatbot éphémère

• un chatbot pas trop intrusif dans ses décisions 

• un chatbot respectueux 

Les chatbots lorsqu’ils protecteurs de nos droits et respectueux de nos intérêts, peuvent sans soucis -ou presque- devenir notre e-meilleure amie en conseil shopping (cf. Hello Alix chatbot qui propose selon notre budget, une sélection d’articles vestimentaires de qualité et éco-responsables), ou encore notre e-conseiller concernant nos problématiques juridiques. De nouvelles fonctionnalités à l’ère du numérique, qui présagent de nouveaux horizons pour le e-commerce. 

Si vous avez des questions concernant vos droits relatifs à la vie privée ou en lien avec la conformité au RGPD, n'hésitez pas à nous contacter ! De même, faites-nous savoir ce que vous inspire ce nouvel outil de conversation ! 

Article rédigé par Manon Coste @ Gerrish Legal, février 2021