7 obligations RGPD qu’un chatbot doit respecter
Après avoir lu de nombreux conseils sur le sujet, votre entreprise s’est décidée à investir dans un chatbot. Vous êtes désormais convaincu que ce bot va devenir le nouvel assistant préféré de votre service RH, marketing ou RGPD. Quelle que soit sa spécialité, il va falloir mener à bien son déploiement, son intégration et son acceptation auprès des collaborateurs concernés. Plus important encore, il est devenu indispensable, depuis le 25 mai 2018, que le chatbot soit GDPR-compliant. Le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) n’est pas exclusif aux collaborateurs humains. Les chatbots doivent également s’y conformer.
Source : CNIL
Le RGPD n’épargne personne (pas même les robots)
Toute entreprise traitant avec des clients ou des contacts de l’Union Européenne doit se plier au RGPD. Les chatbots permettent de mieux intégrer les nouvelles règles imposées par ce règlement, notamment les équipes marketing. En effet, les agents conversationnels installés en entreprise accompagnent efficacement les collaborateurs dans l’intégration RGPD au quotidien.
Toutefois, à l’inverse, ces chatbots doivent de la même manière respecter ces obligations. Le fait qu’une action (de marketing automation par exemple) soit réalisée par un chatbot et non un humain n’est en aucun cas une excuse pour déroger au RGPD !
Vous l’avez donc compris : d’une part, un chatbot vous aide dans vos démarches de mise en conformité avec le RGPD. Cependant, d’autre part, vous devez également mettre en conformité votre chatbot avec le RGPD. Il est très important qu’il réponde aux obligations de moyens exigées par le Régulateur européen et la CNIL. Le paradoxe (plutôt logique, en réalité) est donc que même si vous installez un chatbot RGPD, il doit donc lui-même être en parfaite adéquation avec ces règles ! Voici donc 7 obligations RGPD qu’un chatbot doit respecter.
7 principes RGPD qu’un chatbot doit respecter
1. Le principe du consentement
Il s’agit sans doute du principe le plus important de tout le RGPD. Le consentement est au coeur du règlement car c’est là l’un des points qui posait le plus de problèmes concernant le respect de la vie privée des utilisateurs. Un chatbot, pour respecter ce principe, doit donc obtenir le consentement explicite d’un utilisateur avant toute collecte de données personnelles. Ces derniers doivent ainsi systématiquement pouvoir donner leur accord sans ambiguïté vis-à-vis de la collecte de leurs données personnelles. Ils doivent également être en mesure de la refuser.
2. L’obligation de la limitation de durée du traitement
Autre obligation qui concerne aussi bien les chatbots que les humains, il est obligatoire de communiquer à l’utilisation la raison du traitement de ses données. Il faut donc lui expliquer pourquoi ses données vont être traitées et employées. Il est surtout impératif de lui préciser combien de temps l’entreprise va stocker ses données.
3. La règle de l’information
Le chatbot doit aussi informer les utilisateurs de façon simple et intelligible de l’utilisation de leurs données. Le but est que chacun puisse comprendre, qu’importe son niveau de connaissance du sujet des données ou son degré de familiarité avec l’informatique. L’entreprise devra être capable de prouver le consentement de l’utilisateur en cas de contrôle de la CNIL.
4. Le principe de finalité
Ce principe semble évident, pourtant il est essentiel. Le traitement des données personnelles doit servir un objectif précisément défini à l’avance par l’entreprise. Un chatbot ne peut collecter des données personnelles sans but précis. Ainsi, l’entreprise, au travers de son chatbot, ne peut amasser des données en planifiant de définir plus tard un objectif d’usage.
5. Le principe de portabilité et le droit à l’oubli
Avec le principe de portabilité, les personnes physiques sont en droit de réclamer toutes les données collectées les concernant. Elles sont également, grâce au droit à l’oubli, en capacité d’imposer leur destruction à l’entreprise. Ces demandes ne peuvent pas être refusées et le chatbot n’a d’autre choix que d’obéir aux désirs de l’utilisateur.
Source : La Tribune
6. La règle concernant les mineurs de moins de 16 ans
Impossible pour un chatbot de collecter les données personnelles des mineurs de moins de 16 ans. Enfin, possible en pratique, mais illégal aujourd’hui. Bien qu’elle soit complexe à mettre en place, cette obligation doit être respectée au travers d’une vérification d’âge (et d’identité) préalable. L’accord d’un représentant légal est en effet nécessaire pour la collecte de données de cette population.
7. Le principe de sécurité des données sensibles
La sécurité est capitale en ce qui concerne les données personnelles. Le chatbot doit se montrer à la hauteur. Il doit ainsi disposer d’une sécurité renforcée pour protéger les données sensibles comme la santé, la religion, ou les opinions politiques.
En bref
Précisons pour terminer que ces règles sont pratiquement identiques à celles que le RGPD impose aux collaborateurs humains. Il ne s’agit que d’une transposition car il n’existe pas réellement de règles spécifiquement dédiées aux chatbots dans le RGPD. Dans tous les cas, ces obligations concernent toutes les parties prenantes susceptibles de collecter des données personnelles, et le chatbot en fait partie !