Chatbots IA et RGPD : Votre Assistant ChatGPT Viole-t-il la Loi Européenne ?

L'IA conversationnelle débarque partout (et c'est un problème)

Fin 2022, ChatGPT explose. En quelques mois, l'IA conversationnelle passe du statut d'expérimentation technologique à celui d'outil business incontournable. E-commerces, sites de services, plateformes SaaS... Tout le monde veut son chatbot intelligent.

Le pitch est séduisant : un assistant virtuel disponible 24/7, qui répond aux questions clients, aide à choisir un produit, prend des réservations, gère le SAV... Le tout sans embaucher un seul employé supplémentaire.

Résultat : en 2024, +340% d'intégration de chatbots IA sur les sites web français. Des solutions clés en main comme Crisp, Intercom, Tidio, ou des intégrations custom via l'API OpenAI se multiplient.

Mais voilà le problème : 95% de ces chatbots violent le RGPD. Et leurs propriétaires ne le savent même pas.

Si vous avez intégré un chatbot IA sur votre site dans les 18 derniers mois, il y a de fortes chances que vous soyez en infraction. Voyons pourquoi et comment corriger avant qu'il ne soit trop tard.

Pourquoi les chatbots IA posent-ils un problème RGPD ?

Un chatbot, c'est "juste" un outil qui répond aux questions, non ? Pas vraiment. Analysons ce qui se passe réellement quand un visiteur interagit avec votre assistant IA.

Le parcours invisible des données

Scénario typique :

Marie arrive sur votre boutique en ligne. Un chatbot s'ouvre : "Bonjour ! Je suis votre assistant IA. Comment puis-je vous aider ?"

Marie tape : "Bonjour, j'ai commandé une paire de chaussures la semaine dernière (commande #12345) mais je n'ai toujours rien reçu. Je m'appelle Marie Dubois, mon email est marie.dubois@email.fr"

Ce qui se passe ensuite (invisible pour Marie) :

1. Le message est envoyé à l'API OpenAI (ou Google, Anthropic...) hébergée aux États-Unis
2. L'IA traite la demande : nom = Marie Dubois, email = marie.dubois@email.fr, commande = #12345, problème = livraison en retard
3. OpenAI stocke cette conversation sur ses serveurs américains pendant au minimum 30 jours
4. Si vous n'avez pas désactivé l'option, OpenAI peut utiliser cette conversation pour entraîner ses futurs modèles
5. La réponse revient sur votre site et s'affiche à Marie

Problème RGPD : Vous venez de transférer des données personnelles (nom, email, numéro de commande) vers les États-Unis sans :

• Informer Marie que ses données vont être envoyées à une IA américaine
• Obtenir son consentement explicite
• Vérifier que des garanties juridiques existent pour ce transfert hors UE
• Lui indiquer combien de temps ses données seront conservées

Verdict : Violation des articles 13, 14, 44, 46 du RGPD.

La question du transfert international de données

Le RGPD est très clair : transférer des données personnelles hors Union européenne nécessite des garanties spécifiques. Or, la quasi-totalité des grands acteurs de l'IA sont américains :

• OpenAI (ChatGPT) : Serveurs aux États-Unis
• Google (Gemini) : Serveurs aux États-Unis
• Meta (Llama) : Serveurs aux États-Unis
• Anthropic (Claude) : Serveurs aux États-Unis

Seul Mistral AI (français) héberge ses serveurs en Europe. Tous les autres = transfert international automatique.

Les 5 erreurs fatales (et comment les éviter)

Erreur #1 : Aucune information aux utilisateurs

C'est l'erreur la plus fréquente. Le chatbot s'ouvre, l'utilisateur tape sa question... et rien ne l'informe que ses données vont être traitées par une intelligence artificielle hébergée aux États-Unis.

Ce que dit le RGPD (article 13) :

"Lorsque des données à caractère personnel sont collectées, le responsable du traitement fournit à la personne concernée les informations suivantes : identité du responsable, finalités du traitement, destinataires des données, durée de conservation..."

Cas réel : Un site e-commerce français utilisant ChatGPT via l'API a reçu une mise en demeure de la CNIL en septembre 2024. Motif : aucune mention dans la politique de confidentialité que les conversations étaient traitées par OpenAI. Mise en conformité imposée sous 2 mois.

Solution :

Afficher une mention claire avant la première interaction avec le chatbot :

ℹ️ Information importante : Ce chatbot utilise une intelligence artificielle (ChatGPT/Claude/Gemini) hébergée aux États-Unis. Vos messages seront transmis à [nom du fournisseur] pour traitement. Évitez de communiquer des informations sensibles (données bancaires, santé...). En savoir plus

Erreur #2 : Collecte de données sensibles

Le RGPD définit des catégories de données sensibles qui nécessitent des protections renforcées :

• Santé (symptômes, maladies, traitements...)
• Opinions politiques ou religieuses
• Orientation sexuelle
• Données biométriques
• Données judiciaires

Problème : Un chatbot SAV ne peut pas empêcher un utilisateur d'écrire "J'ai commandé des médicaments pour mon diabète" ou "Je cherche un avocat pour mon divorce". Ces informations sont automatiquement envoyées à l'IA.

Cas à risque élevé :

• Pharmacies en ligne : les clients décrivent leurs symptômes
• Plateformes de santé : demandes de conseils médicaux
• Sites de rencontre : orientation sexuelle mentionnée
• Services juridiques : détails de litiges
• Banques/assurances : situation financière

Solution :

1. Interdire formellement la communication de données sensibles dans les CGU du chatbot
2. Filtrer automatiquement les mots-clés sensibles (maladie, symptômes, politique...) et bloquer l'envoi
3. Alternative : Utiliser un chatbot "bête" (non-IA) basé sur des réponses prédéfinies pour les sujets sensibles

Erreur #3 : Pas de DPA (Data Processing Agreement) signé

Quand vous utilisez un service externe qui traite des données personnelles (comme OpenAI), vous devez signer un DPA (Data Processing Agreement), aussi appelé "contrat de sous-traitance".

Ce contrat doit préciser :

• Quelles données sont traitées
• Pour quelles finalités
• Combien de temps elles sont conservées
• Quelles mesures de sécurité sont appliquées
• Les engagements du sous-traitant (ne pas utiliser les données pour autre chose)

La bonne nouvelle : OpenAI, Google et Anthropic proposent tous des DPA téléchargeables. La mauvaise nouvelle : 90% des utilisateurs ne les signent jamais.

Solution :

• OpenAI : DPA disponible sur https://openai.com/enterprise-privacy (section Business Terms)
• Google Cloud : DPA intégré aux conditions d'utilisation (accepté automatiquement)
• Anthropic (Claude) : DPA sur demande pour comptes professionnels

Téléchargez, signez, archivez. En cas de contrôle CNIL, c'est la première chose qu'on vous demandera.

Erreur #4 : Conservation illimitée des conversations

Le principe de minimisation du RGPD impose de ne conserver les données que le temps strictement nécessaire.

Pratique courante (illégale) :

Les conversations avec le chatbot sont stockées indéfiniment dans votre CRM ou votre base de données, "au cas où". Résultat : des milliers de conversations datant de 2023 contenant noms, emails, numéros de commande...

Ce que font les fournisseurs IA :

• OpenAI : Conserve les conversations 30 jours par défaut (peut être réduit à 0 jour pour les comptes Business)
• Google Gemini : Conserve jusqu'à 18 mois pour amélioration du modèle (sauf opt-out)
• Anthropic Claude : 90 jours par défaut

Solution :

1. Activer le mode "zero retention" chez votre fournisseur IA (disponible pour les comptes pro)
2. Nettoyer vos logs : supprimer les conversations après 3 mois maximum
3. Anonymiser : remplacer les noms/emails par des ID anonymes dans vos archives

Erreur #5 : Absence de droit à l'effacement

Le RGPD donne à toute personne le droit de demander la suppression de ses données personnelles (article 17).

Problème : Comment supprimer une conversation qui a été envoyée à OpenAI il y a 3 semaines ? Vous n'avez pas accès direct aux serveurs d'OpenAI.

Cas réel : Un utilisateur demande la suppression de ses données via le formulaire RGPD d'un site e-commerce. Le site supprime les données de sa base... mais oublie les 5 conversations avec le chatbot IA, toujours stockées chez OpenAI. 2 mois plus tard, l'utilisateur saisit la CNIL. Mise en demeure + obligation de prouver la suppression chez OpenAI.

Solution :

1. Créer une procédure : En cas de demande de suppression, contacter OpenAI/Google/Anthropic via leur formulaire RGPD
2. Documenter : Conserver la preuve de la demande de suppression envoyée au fournisseur IA
3. Délai : Prévenir l'utilisateur que la suppression peut prendre 30 jours (délai de conservation minimum chez OpenAI)

Ce que dit la CNIL sur l'IA générative

En juillet 2024, la CNIL a publié ses premières recommandations officielles sur l'utilisation d'IA génératives dans un contexte professionnel.

Les 4 principes de la CNIL

1. Transparence obligatoire

"Les utilisateurs doivent être informés de manière claire et compréhensible lorsqu'ils interagissent avec une intelligence artificielle et non un humain."

2. Limitation de finalité

"Les données collectées via un chatbot IA ne peuvent être utilisées que pour la finalité annoncée (ex : support client), et non pour d'autres usages (profilage, publicité...)."

3. Transferts hors UE encadrés

"Si l'IA est hébergée hors Union européenne, des garanties appropriées doivent être mises en place : clauses contractuelles types, certification, ou hébergement local."

4. Droit d'opposition

"Les personnes doivent pouvoir refuser d'interagir avec une IA et demander un contact humain."

Les secteurs sous surveillance renforcée

La CNIL a identifié 5 secteurs à risque élevé où l'usage d'IA génératives sera contrôlé en priorité en 2025 :

1. Santé : Chatbots de symptômes, conseils médicaux, prise de RDV médical
2. Finance : Conseils d'investissement, analyse de budget, demande de crédit
3. Ressources Humaines : Tri de CV, entretiens automatisés, évaluation de candidats
4. Juridique : Conseils légaux, analyse de contrats, aide à la rédaction
5. Éducation : Tutorat personnalisé, évaluation d'élèves

Si vous opérez dans l'un de ces secteurs et utilisez un chatbot IA, préparez-vous à un contrôle CNIL dans les 12-18 prochains mois.

L'IA Act européen : ce qui change en 2025

En mars 2024, l'Union européenne a adopté l'IA Act, premier règlement mondial sur l'intelligence artificielle. Il entre en vigueur progressivement entre 2025 et 2027.

Classification des systèmes IA

L'IA Act classe les systèmes IA en 4 niveaux de risque :

• Risque inacceptable : Interdits (ex : notation sociale à la chinoise)
• Risque élevé : Obligations strictes (ex : IA de recrutement, scoring bancaire)
• Risque limité : Obligations de transparence (ex : chatbots, deepfakes)
• Risque minimal : Pas d'obligations (ex : filtres anti-spam)

Votre chatbot client est classé "risque limité".

Obligations pour les chatbots (risque limité)

À partir de février 2025, tout chatbot IA sur un site web devra :

1. Indiquer clairement qu'il s'agit d'une IA (et non d'un humain)
2. Permettre à l'utilisateur de demander un contact humain à tout moment
3. Afficher les limitations du système (ce qu'il peut/ne peut pas faire)
4. Tracer les décisions importantes prises par l'IA (ex : refus de remboursement)

Sanctions en cas de non-respect : Jusqu'à 15 millions d'euros ou 3% du CA mondial (pour les grandes entreprises). Pour les PME, amendes proportionnées mais pouvant atteindre plusieurs dizaines de milliers d'euros.

Solutions concrètes pour un chatbot IA conforme

Solution 1 : Anonymiser les conversations

Plutôt que d'envoyer les vraies données à l'IA, anonymisez-les avant transmission.

Comment :

• Remplacer les noms par "[CLIENT]"
• Remplacer les emails par "[EMAIL]"
• Remplacer les numéros de commande par "[REF]"

Exemple :

Message original : "Bonjour, je suis Marie Dupont, commande #45678, problème de livraison"

Message envoyé à l'IA : "Bonjour, je suis [CLIENT], commande [REF], problème de livraison"

L'IA peut toujours traiter la demande, mais les données personnelles ne quittent jamais votre serveur.

Solution 2 : Héberger l'IA en Europe

Mistral AI (startup française) propose des modèles aussi performants que ChatGPT, hébergés 100% en Europe.

Avantages :

• Pas de transfert hors UE = conformité RGPD facilitée
• Données stockées en France/Allemagne
• DPA conforme au droit français
• Support en français

Coût : Comparable à OpenAI (0,001-0,01€ par requête selon modèle)

Solution 3 : Limiter la collecte de données

Le meilleur moyen d'être conforme ? Ne pas collecter de données personnelles.

Stratégies :

• Chatbot anonyme : Ne demandez jamais le nom/email dans le chat
• Questions fermées : Proposez des boutons de réponse plutôt que du texte libre
• Contexte côté serveur : Si l'utilisateur est connecté, récupérez ses infos depuis votre base (pas besoin qu'il les retape)

Solution 4 : Créer une "Politique Chatbot IA"

En complément de votre politique de confidentialité générale, créez un document spécifique sur votre chatbot IA.

Contenu minimum :

• Quel modèle d'IA est utilisé (ChatGPT, Claude, Gemini...)
• Où les données sont hébergées (États-Unis, Europe...)
• Combien de temps elles sont conservées
• Quelles données ne doivent PAS être partagées (santé, finance...)
• Comment demander la suppression de ses conversations
• Comment contacter un humain

Affichez un lien vers ce document avant la première interaction avec le chatbot.

Checklist : votre chatbot IA est-il conforme ?

Parcourez cette checklist pour évaluer votre niveau de conformité :

• Les utilisateurs sont informés qu'ils parlent à une IA (et non un humain)
• Une mention indique que les conversations sont traitées par [nom du fournisseur]
• Vous avez signé un DPA (Data Processing Agreement) avec le fournisseur IA
• Vous avez activé le mode "zero retention" ou conservation minimale (0-30 jours)
• Vous avez désactivé l'utilisation des conversations pour entraîner le modèle IA
• Votre politique de confidentialité mentionne explicitement le chatbot IA
• Les données sensibles (santé, finance, religion...) sont bloquées ou filtrées
• Les utilisateurs peuvent demander un contact humain à tout moment
• Vous avez une procédure pour supprimer les conversations sur demande
• Les conversations sont automatiquement supprimées après 3-6 mois maximum
• Si transfert hors UE : vous avez vérifié les garanties juridiques (clauses contractuelles types)
• Vous documentez les demandes d'exercice de droits liées au chatbot (accès, suppression...)

Résultats :

• 10-12 "Oui" : Vous êtes probablement conforme (bravo !)
• 7-9 "Oui" : Quelques ajustements nécessaires, corrigez rapidement
• 4-6 "Oui" : Risque de non-conformité, mettez-vous à jour sous 1 mois
• 0-3 "Oui" : Risque élevé de sanction CNIL, agissez immédiatement

Cas d'usage : comment font les grands acteurs ?

Amazon (Alexa Shopping)

Approche : Hébergement des conversations sur serveurs AWS Europe, conservation 30 jours, anonymisation automatique des données sensibles, DPA signé avec tous les vendeurs tiers.

Doctolib (Assistant RDV)

Approche : IA hébergée 100% en France (HDS - Hébergement Données de Santé), pas de transfert hors UE, certification ISO 27001, conversations chiffrées de bout en bout.

Intercom (chatbot SaaS)

Approche : Option "EU hosting" disponible, intégration OpenAI via leur API avec zero retention activé, filtrage automatique des données bancaires.

Le point commun ? Ils ont tous investi dans la conformité RGPD avant de déployer l'IA.

En résumé : l'IA oui, mais en conformité

Les chatbots IA sont un formidable outil pour améliorer l'expérience client et réduire les coûts de support. Mais leur déploiement ne peut pas se faire au détriment de la protection des données personnelles.

Les 5 erreurs à éviter absolument :

1. Aucune information aux utilisateurs
2. Collecte de données sensibles (santé, finance...)
3. Pas de DPA signé avec le fournisseur IA
4. Conservation illimitée des conversations
5. Absence de droit à l'effacement

Les 5 actions à mettre en place immédiatement :

1. Afficher une mention claire "Ce chatbot utilise une IA hébergée aux États-Unis"
2. Télécharger et signer le DPA de votre fournisseur (OpenAI, Google, Anthropic...)
3. Activer le mode "zero retention" ou conservation minimale (30 jours max)
4. Créer une procédure de suppression des conversations sur demande
5. Ajouter une section "Chatbot IA" dans votre politique de confidentialité

Ces 5 actions prennent moins de 2 heures à mettre en place et vous évitent potentiellement 50 000€ à 200 000€ d'amende CNIL.

RGPDKit vous aide à sécuriser votre chatbot IA. Notre générateur détecte automatiquement la présence d'un chatbot sur votre site et vous fournit :

• Une clause "Chatbot IA" prête à intégrer dans votre politique RGPD
• Le texte de bannière d'information à afficher avant interaction
• Une checklist de conformité spécifique aux chatbots IA
• Les coordonnées pour télécharger les DPA des principaux fournisseurs

Testez gratuitement votre conformité chatbot IA →

L'intelligence artificielle est l'avenir du service client. Mais cet avenir doit se construire dans le respect de la vie privée de vos utilisateurs. Mettez-vous en conformité en 5 minutes pour 9€ plutôt que de risquer une sanction qui pourrait mettre en péril votre activité.

L'IA, oui. L'illégalité, non.