Alors que l’usage des agents virtuels se développent tous secteurs d’activité confondus à mesure que les outils numériques se généralisent, le déploiement d’un chatbot pose la question de la protection des données qu’il collecte et de sa conformité avec le règlement européen de protection des données, aussi appelé RGPD en France.
La performance des chatbots est principalement basée sur leur aptitude à recueillir des informations privées sur les utilisateurs, clients ou consommateurs. En retour, ils peuvent leur fournir des réponses individualisées et justes, grâce à leur capacité à converser en langage naturel, à l’oral ou l’écrit, basée sur l’intelligence artificielle.
Il est donc normal que les chatbots soient concernés par le RGPD (Règlement Général de Protection des Données) entré en vigueur en 2018. Toute entreprise intégrant un chatbot vocal à ses activités doit nécessairement garantir que le robot est conforme à ces nouvelles règles sous peine de sanction. Alors, comment concilier agent conversationnel et RGPD ?
Chatbot et RGPD : les règles à respecter
Obligation de consentement / autorisation de l’utilisateur
C’est la règle la plus importante du RGPD. Il est donc indispensable que le chatbot la respecte. Pour cela, il doit forcément obtenir la permission claire de l’utilisateur avant de procéder à la collecte d’informations personnelles. Il est primordial que l’utilisateur puisse avoir la capacité de donner ou de refuser clairement son accord pour une collecte de données.
Limitation de la durée de traitement des données
Le client ou le prospect doit être nécessairement informé du temps pendant lequel l’entreprise utilisera ou conservera ses informations privées.
Information de l’utilisateur
L’agent conversationnel doit nécessairement informer le client de manière simple et compréhensive de l’usage de ses informations personnelles. Quel que soit le niveau de connaissance de celui-ci, il doit pouvoir comprendre explicitement la situation et ce que le chatbot lui dit. La société qui se charge de l’exploitation du robot conversationnel doit intégrer au chatbot un objectif spécifiquement déterminé à l’avance. Ainsi, un agent conversationnel ne peut pas recueillir des informations sans but spécifique.
Oubli et portabilité des données collectées
Tout utilisateur a le droit de réclamer les informations collectées sur lui. Il peut aussi intimer l’ordre à l’entreprise de procéder à la destruction des données recueillies. Le robot conversationnel doit bien respecter ces principes et se conformer aux exigences de ses utilisateurs.
Restriction concernant les mineurs de moins de 16 ans
Il est désormais illégal de recueillir des données personnelles sur les mineurs de moins de 16 ans sans l’accord de leurs parents ou de leur tuteur légal. Les chatbots doivent se conformer à cette règle en procédant à une vérification d’âge et d’identité avant leur utilisation.
Comment s’assurer de la conformité du chatbot avec le RGPD ?
Pour mettre un chatbot en parfaite conformité avec les principes du RGPD, l’entreprise doit assurer les démarches suivantes :
Mettre en place une solution d’hébergement basée en Europe
La première chose à faire et surtout la plus importante, c’est d’héberger son chatbot et les informations qu’il collecte dans un pays européen. Si l’entreprise doit recourir aux services d’un prestataire externe, il est nécessaire que le chef d’entreprise soit extrêmement vigilant sur cette règle.
En effet, le RGPD ne qu’applique que sur le continent européen. Donc, une société basée à l’extérieur du territoire européen n’est pas obligée de respecter ces principes. Cependant, en tant que client de ce fournisseur et résident sur le sol européen, le chef d’entreprise est tenu comme responsable de la façon dont le prestataire traite les données. Il doit donc y veiller particulièrement. Dans le cas contraire, il sera sanctionné à la place du prestataire (concepteur spécialisé de chatbots).
Intégrer les règles du RGPD aux fonctionnement du chatbot
Pour garantir le respect des règles du RGPD par le chatbot, l’entreprise doit intégrer à son fonctionnement les principes suivants qui encadreront ses interactions avec les utilisateurs :
- Obtenir l’accord des utilisateurs avant de collecter leurs informations personnelles
- Notifier à quelle fin cette collecte est effectuée
- Communiquer aux utilisateurs la durée durant laquelle ces informations seront gardées dans l’entreprise, et de la possibilité d’exiger qu’elles soient effacées.
- Permettre à l’utilisateur d’avoir des réponses aux différentes questions qu’il pourrait avoir sur l’usage de ses informations personnelles
- Demander au mineur de moins de 16 ans la permission de son représentant légal, afin d’obtenir l’accord de celui-ci.