Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 13 avril 2026
Accueil/Marketing Digital/Chatbot et RGPD : obligations de conformité
Marketing Digital

Chatbot et RGPD : obligations de conformité

Chatbot et RGPD : obligations légales, consentement, conservation des données et recommandations CNIL pour un chatbot conforme.

Par Thiebaut DevergrannePublie le 11 avril 2026Mis a jour le 11 avril 202612 min de lecture
Sommaire
  1. Quelles données personnelles un chatbot traite-t-il ?
  2. Déterminer la base légale applicable
  3. Les obligations spécifiques liées aux cookies
  4. Le risque des données sensibles non anticipées
  5. Transparence et information des utilisateurs
  6. Durée de conservation et minimisation
  7. Sécurité et sous-traitance
  8. Faut-il réaliser une AIPD ?
  9. Chatbot IA et obligations supplémentaires
  10. Checklist de mise en conformité
  11. Ce qu’il faut retenir
  12. FAQ

Vous déployez un chatbot sur votre site web ou votre application mobile ? Que ce soit un assistant de support client, un agent conversationnel alimenté par l’IA générative ou un simple bot de FAQ, les données personnelles sont au cœur du dispositif. La CNIL a publié des recommandations spécifiques sur le sujet, et les obligations RGPD s’appliquent pleinement — parfois de manière plus complexe que pour un formulaire classique. Voici ce qu’il faut savoir pour déployer un chatbot conforme.

Quelles données personnelles un chatbot traite-t-il ?

Le premier réflexe est souvent de penser que si le chatbot ne demande ni nom ni email, il ne traite pas de données personnelles. C’est une erreur. La notion de donnée personnelle est bien plus large que les données directement identifiantes.

Un chatbot traite typiquement plusieurs catégories de données :

  • Données techniques : adresse IP, identifiant de session, cookies déposés sur le terminal de l’utilisateur, type de navigateur, langue du système.
  • Données conversationnelles : l’intégralité des messages échangés, y compris les informations que l’utilisateur partage spontanément (nom, numéro client, situation médicale, coordonnées bancaires).
  • Métadonnées : horodatage des échanges, pages visitées avant l’ouverture du chatbot, durée de la conversation.
  • Données dérivées : si le chatbot utilise de l’IA, les données d’entraînement, les profils comportementaux ou les scores de satisfaction générés à partir des conversations.

L’article 4(1) du RGPD ne laisse aucune ambiguïté : toute information se rapportant à une personne physique identifiée ou identifiable constitue une donnée personnelle. Même un historique de conversation pseudonymisé reste une donnée personnelle tant que le lien avec l’individu peut être rétabli.

Déterminer la base légale applicable

Avant tout déploiement, il est indispensable de déterminer la base légale du traitement conformément à l’art. 6(1) du RGPD. Le choix dépend de la finalité du chatbot.

Le consentement — Art. 6(1)(a)

Le consentement est requis dans plusieurs situations :

  • Lorsque le chatbot dépose des cookies non strictement nécessaires (art. 82 de la loi Informatique et Libertés, transposant la directive ePrivacy). Les cookies de suivi comportemental, d’analyse ou de personnalisation publicitaire nécessitent un consentement préalable, conformément aux règles applicables aux cookies.
  • Lorsque le chatbot traite des données sensibles au sens de l’art. 9(1) du RGPD — données de santé, opinions politiques, orientation sexuelle, etc. — le consentement explicite est l’exception la plus couramment invoquée (art. 9(2)(a)).
  • Lorsque les conversations sont utilisées à des fins de profilage ou de prospection commerciale non sollicitée.

L’intérêt légitime — Art. 6(1)(f)

L’intérêt légitime peut constituer une base valable pour un chatbot de support client ou de FAQ, à condition de réaliser le triple test :

  1. Intérêt légitime identifié : améliorer l’expérience client, réduire les temps de réponse, assurer un service 24h/24.
  2. Nécessité : le traitement est-il strictement nécessaire pour atteindre cette finalité ? Peut-on limiter les données collectées ?
  3. Balance des intérêts : les droits et libertés des personnes ne prévalent-ils pas ? L’EDPB a confirmé dans son avis 28/2024 que l’intérêt légitime peut servir de base légale pour un agent conversationnel d’assistance, sous réserve de respecter la balance des droits.

L’exécution du contrat — Art. 6(1)(b)

Si le chatbot est indispensable à la fourniture d’un service contractuel — par exemple, un assistant de suivi de commande intégré dans un espace client — l’exécution du contrat peut être invoquée. Attention toutefois : la CNIL et le CEPD interprètent cette base de manière restrictive. Le chatbot doit être véritablement nécessaire, pas simplement commode.

Les obligations spécifiques liées aux cookies

La CNIL le rappelle dans ses recommandations sur les chatbots : les cookies déposés et lus sur le terminal de l’utilisateur pour assurer la continuité technique du chatbot ou la conservation de l’historique de conversation sont soumis à l’art. 82 de la loi Informatique et Libertés.

Deux cas de figure :

  • Cookies strictement nécessaires : un cookie de session permettant de maintenir la conversation active pendant la visite est exempté du consentement. Il doit être limité à la durée de la session.
  • Cookies de suivi ou de personnalisation : un cookie qui conserve l’historique des échanges entre visites, qui identifie l’utilisateur pour personnaliser les réponses ou qui alimente un profil marketing nécessite le consentement via une CMP conforme.

Dans mon expérience de conseil, je constate que de nombreuses entreprises oublient cette distinction et considèrent que le chatbot étant « un outil de service client », ses cookies seraient automatiquement exemptés. C’est faux. La finalité du cookie, et non celle du chatbot, détermine le régime applicable.

Le risque des données sensibles non anticipées

C’est l’un des points les plus délicats signalés par la CNIL. Un chatbot avec un champ de saisie libre peut recevoir des informations que le responsable de traitement n’a pas prévues : un utilisateur qui décrit ses symptômes médicaux, mentionne son appartenance syndicale ou communique des données relatives à des infractions pénales.

L’art. 9(1) du RGPD interdit par principe le traitement de données sensibles. Sauf à disposer d’une exception — le consentement explicite (art. 9(2)(a)) ou la protection d’un intérêt vital (art. 9(2)©) — le responsable de traitement doit mettre en place des garde-fous :

  • Mentions d’information proactives : indiquer clairement à l’utilisateur de ne pas communiquer de données sensibles si le chatbot n’est pas conçu pour les traiter.
  • Filtrage automatique : implémenter des règles de détection et de suppression automatique des données sensibles dans les messages.
  • Procédure de purge : prévoir un mécanisme de suppression rapide si des données sensibles sont détectées a posteriori.

Transparence et information des utilisateurs

L’art. 13 du RGPD impose une information complète des personnes concernées. Pour un chatbot, cela implique :

  • Identifier clairement le chatbot comme un programme automatisé, et non un humain. L’AI Act (Règlement (UE) 2024/1689) renforce cette obligation : l’art. 50(1) exige que les personnes interagissant avec un système d’IA soient informées de cette interaction, sauf si cela est évident au vu des circonstances.
  • Fournir les mentions d’information RGPD : identité du responsable de traitement, finalités, base légale, destinataires, durée de conservation, droits des personnes, coordonnées du DPO. Ces mentions peuvent être accessibles via un lien dans l’interface du chatbot.
  • Préciser les conditions d’enregistrement : l’utilisateur doit savoir si ses conversations sont enregistrées, combien de temps elles sont conservées, et si elles sont utilisées pour entraîner un modèle d’IA.

La CNIL insiste sur le fait que le chatbot doit être facilement identifiable et reconnaissable par les utilisateurs. Les dark patterns — comme faire croire que le bot est un humain pour collecter plus de données — sont non seulement contraires au DSA mais aussi au principe de loyauté du RGPD.

Durée de conservation et minimisation

Le principe de minimisation (art. 5(1)©) et la limitation de la conservation (art. 5(1)(e)) s’appliquent pleinement.

La CNIL distingue deux situations :

  • Chatbot ponctuel (aide à l’achat, FAQ) : les données doivent être supprimées à la fin de la conversation ou dans un délai très court (24-48 heures maximum pour le débogage technique).
  • Chatbot de suivi (gestion de réclamation, SAV) : la conservation peut être plus longue, mais doit être proportionnée à la finalité. Une réclamation peut justifier une conservation de 2 ans (prescription civile), mais pas la conservation indéfinie « au cas où ».

En pratique, il est recommandé de définir un tableau de conservation distinguant les données techniques (supprimées à la fin de la session), les données conversationnelles (anonymisées après traitement de la demande) et les données nécessaires à la preuve (conservées sous archive intermédiaire avec accès restreint).

Sécurité et sous-traitance

Mesures techniques

L’art. 32 du RGPD exige des mesures de sécurité adaptées au risque. Pour un chatbot, cela signifie :

  • Chiffrement des échanges en transit (TLS 1.2 minimum) et au repos.
  • Contrôle d’accès strict aux logs de conversation (besoin de savoir).
  • Journalisation des accès aux données conversationnelles.
  • Tests de sécurité réguliers — un chatbot connecté à Internet est une surface d’attaque.

Chatbot fourni par un prestataire

Si vous utilisez un chatbot SaaS (Intercom, Zendesk, Crisp, Tidio, etc.), le prestataire est un sous-traitant au sens de l’art. 28 du RGPD. Vous devez :

  • Vérifier que le contrat de sous-traitance contient les clauses obligatoires de l’art. 28(3).
  • S’assurer que les données ne sont pas transférées hors UE sans garantie adéquate. Beaucoup de solutions de chatbot sont hébergées aux États-Unis — vérifiez l’existence d’un Data Privacy Framework ou de clauses contractuelles types.
  • Confirmer que le prestataire n’utilise pas les conversations de vos utilisateurs pour entraîner ses propres modèles d’IA sans base légale.

Faut-il réaliser une AIPD ?

L’analyse d’impact (AIPD) est obligatoire lorsque le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés » (art. 35(1) du RGPD).

Pour un chatbot, l’AIPD est recommandée — voire obligatoire — dans les cas suivants :

  • Le chatbot utilise de l’IA générative (profilage automatisé, traitement à grande échelle).
  • Le chatbot traite des données de personnes vulnérables (patients, mineurs).
  • Le chatbot combine des données provenant de plusieurs sources (CRM + navigation + conversation).
  • Le chatbot est déployé à grande échelle (plus de 10 000 utilisateurs).

La liste des traitements soumis à AIPD publiée par la CNIL (délibération n° 2018-327) inclut explicitement les traitements de données à grande échelle impliquant du profilage.

Chatbot IA et obligations supplémentaires

Avec l’essor de ChatGPT et des chatbots alimentés par des LLM (Large Language Models), de nouvelles obligations émergent :

  • AI Act : si votre chatbot IA interagit directement avec des personnes physiques, l’art. 50 impose une obligation de transparence. Pour les chatbots classés à haut risque (recrutement, crédit scoring, services publics essentiels), les obligations sont considérablement renforcées.
  • Droit d’opposition renforcé : l’art. 21 du RGPD permet aux personnes de s’opposer au profilage automatisé. Un chatbot qui adapte ses réponses en fonction du profil de l’utilisateur doit permettre cette opposition.
  • Recommandations CNIL sur l’IA : la CNIL a publié en 2024 ses recommandations pour le développement de systèmes d’IA respectueux du RGPD, couvrant la phase de conception, d’entraînement et de déploiement. Ces recommandations s’appliquent directement aux chatbots utilisant du machine learning.

Checklist de mise en conformité

Pour déployer un chatbot conforme, suivez ces étapes :

  1. Cartographier les données traitées par le chatbot (données techniques, conversationnelles, dérivées).
  2. Déterminer la base légale pour chaque finalité (support, marketing, amélioration du service).
  3. Rédiger les mentions d’information accessibles depuis l’interface du chatbot.
  4. Configurer la gestion des cookies avec votre CMP si le chatbot dépose des traceurs non essentiels.
  5. Définir les durées de conservation et les mécanismes de purge automatique.
  6. Encadrer la sous-traitance avec un contrat art. 28 conforme.
  7. Vérifier les transferts hors UE et mettre en place les garanties nécessaires.
  8. Réaliser une AIPD si le chatbot utilise de l’IA ou traite des données à grande échelle.
  9. Documenter dans le registre des traitements (art. 30 du RGPD).
  10. Tester et auditer régulièrement le dispositif.

C’est ce type de travail de cartographie et de documentation que Legiscope automatise, en centralisant le registre, les AIPD et le suivi des sous-traitants dans une interface unique.

Ce qu’il faut retenir

  • Un chatbot traite des données personnelles même sans collecter de nom ou d’email — les cookies, adresses IP et conversations sont des données personnelles au sens de l’art. 4(1) du RGPD.
  • La base légale doit être déterminée avant le déploiement : consentement pour les cookies non essentiels, intérêt légitime pour le support client, exécution du contrat dans des cas restreints.
  • La CNIL alerte spécifiquement sur le risque de collecte non anticipée de données sensibles via les champs de saisie libre.
  • Les chatbots alimentés par l’IA générative ajoutent des obligations issues de l’AI Act (transparence, identification comme système automatisé).
  • L’encadrement du sous-traitant (prestataire chatbot SaaS) et la vérification des transferts hors UE sont des points de vigilance majeurs.

FAQ

Un chatbot de FAQ sans collecte de données nécessite-t-il une conformité RGPD ?

Oui, dès lors que le chatbot dépose des cookies sur le terminal de l’utilisateur ou traite des adresses IP, le RGPD s’applique. Même un chatbot sans formulaire d’identification génère des données techniques qui constituent des données personnelles au sens de l’art. 4(1).

Peut-on utiliser les conversations du chatbot pour entraîner un modèle d’IA ?

L’utilisation des conversations à des fins d’entraînement constitue un changement de finalité (art. 6(4) du RGPD). Il faut soit obtenir le consentement des utilisateurs, soit démontrer la compatibilité avec la finalité initiale. L’EDPB recommande dans son avis 28/2024 d’évaluer au cas par cas, en tenant compte de l’anonymisation effective des données d’entraînement.

Le chatbot doit-il indiquer qu’il n’est pas un humain ?

Oui. L’art. 50(1) de l’AI Act impose que les personnes interagissant avec un système d’IA en soient informées. Le RGPD exige par ailleurs une information loyale et transparente (art. 5(1)(a)). Faire croire qu’un chatbot est un humain constitue un dark pattern contraire au DSA et au RGPD.

Quelle durée de conservation pour les conversations du chatbot ?

La CNIL recommande de distinguer selon la finalité : suppression en fin de session pour un chatbot ponctuel, conservation limitée à la durée de traitement de la demande pour un chatbot de réclamation, et anonymisation pour toute utilisation statistique. Il n’existe pas de durée légale unique — c’est au responsable de traitement de la justifier au regard du principe de proportionnalité (art. 5(1)(e)).

Articles lies

Marketing Digital

Formulaire contact RGPD : mentions obligatoires

11 avril 2026 · 10 min
Marketing Digital

Taux de consentement cookies : benchmarks 2026

11 avril 2026 · 11 min
Marketing Digital

WordPress et RGPD : les plugins indispensables

11 avril 2026 · 11 min