Dès lors qu'un chatbot entre en contact avec un utilisateur, il collecte des données : le contenu de la conversation, potentiellement un prénom, un email, une question révélant une intention d'achat ou une problématique personnelle. Ces données sont soumises au RGPD et doivent être traitées avec la même rigueur que tout autre traitement de données personnelles.
Quelles données un chatbot IA collecte-t-il réellement ?
La collecte de données par un chatbot va au-delà de ce que l'on imagine souvent. Voici un inventaire complet des données traitées.
- Contenu des conversations (questions posées, réponses données)
- Données identifiantes saisies par l'utilisateur (prénom, email, téléphone si collectés via formulaire intégré)
- Métadonnées de session (heure de conversation, durée, page sur laquelle le widget a été ouvert)
- Évaluations de satisfaction si le mode enquête est activé
- Adresse IP (selon la configuration serveur)
Les exigences RGPD applicables aux chatbots
Le Règlement Général sur la Protection des Données (RGPD) impose plusieurs obligations aux entreprises déployant un chatbot collectant des données personnelles d'utilisateurs européens.
| Obligation RGPD | Application au chatbot | Comment y répondre |
|---|---|---|
| Base légale du traitement | Identifier pourquoi les données sont collectées | Intérêt légitime (support) ou consentement explicite |
| Information de l'utilisateur | L'utilisateur doit savoir que ses données sont collectées | Mention dans le message de bienvenue ou lien politique de confidentialité |
| Durée de conservation limitée | Les conversations ne doivent pas être conservées indéfiniment | Définir et respecter une durée de rétention (ex. : 12 mois) |
| Droit d'accès et de suppression | L'utilisateur peut demander ses données ou leur suppression | Procédure de traitement de ces demandes documentée |
| Sécurité des données | Protéger les données contre les accès non autorisés | Chiffrement, hébergement sécurisé, accès restreints |
Hébergement des données : pourquoi l'Europe est-elle essentielle
La localisation des serveurs n'est pas un détail technique anodin. Depuis l'invalidation du Privacy Shield en 2020 et les décisions de la CJUE, transférer des données personnelles d'utilisateurs européens vers des serveurs américains sans encadrement contractuel solide expose l'entreprise à des risques juridiques réels.
Mira AI héberge toutes les données en Europe. Cette localisation garantit que les conversations de vos clients restent sous juridiction européenne et soumises uniquement aux règles du RGPD, sans exposition aux législations extraterritoriales américaines (CLOUD Act, FISA Section 702).
Chiffrement des données : comprendre l'AES-256
Le chiffrement AES-256 est le standard de référence pour la protection des données au repos. Il signifie que les données stockées sur les serveurs sont chiffrées avec une clé de 256 bits, rendant leur lecture impossible sans la clé de déchiffrement correspondante. Même en cas d'accès physique non autorisé aux serveurs, les données restent illisibles.
Mira AI applique le chiffrement AES-256 sur toutes les données stockées, y compris les transcriptions de conversations et les bases de connaissances. Les communications entre le widget et les serveurs sont chiffrées en transit via HTTPS/TLS.
Comment informer vos utilisateurs de manière conforme
L'information préalable des utilisateurs est une obligation légale et une bonne pratique. Voici comment l'implémenter sans alourdir l'expérience.
- 1.Ajouter une mention courte dans le message de bienvenue : "Cette conversation peut être conservée pour améliorer notre service. Voir notre politique de confidentialité."
- 2.Lier cette mention à votre page de politique de confidentialité existante.
- 3.Si le chatbot collecte email ou prénom, ajouter une case à cocher de consentement explicite avant la collecte.
- 4.Documenter ce traitement dans votre registre des activités de traitement RGPD.
Les risques à éviter absolument
- Collecter des données sensibles (santé, opinions politiques, religion) via un chatbot sans mesures renforcées
- Conserver les transcriptions de conversations au-delà de la durée nécessaire
- Utiliser un prestataire chatbot hébergeant les données hors UE sans clauses contractuelles appropriées
- Ne pas prévoir de réponse aux demandes de droit d'accès ou de suppression
- Transmettre les données de conversation à des tiers sans base légale
Sécurité technique du widget intégré
Le widget chatbot est un script JavaScript externe intégré à votre site. Sa sécurité technique dépend du fournisseur. Vérifiez que le script est servi en HTTPS, qu'il n'accède pas à des données de votre site sans nécessité et qu'il ne crée pas de vulnérabilités XSS.
Le script Mira AI est isolé dans son propre contexte d'exécution, ne lit pas les données de votre site et communique uniquement avec les serveurs Mira AI via des connexions HTTPS chiffrées. Il ne collecte pas de cookies tiers ni de données de navigation au-delà de la session chatbot.
Auditer régulièrement la conformité de votre chatbot
La conformité RGPD n'est pas un état figé. Elle doit être revérifiée lors de chaque changement significatif : nouvelle fonctionnalité du chatbot, modification de la base de connaissances incluant des données personnelles, changement de prestataire ou de localisation d'hébergement. Planifiez un audit annuel minimum.
Données hébergées en Europe, chiffrement AES-256, conformité RGPD intégrée
Déployer un chatbot conforme RGPD