Guide Complet

Chatbot IA et RGPD : Guide de Conformité 2026

Votre chatbot IA est-il conforme au RGPD ? Obligations légales, recommandations CNIL, checklist pratique et solutions conformes pour 2026.

A

Anas R.

de lecture

Chatbot IA et RGPD : Guide de Conformité 2026

Les chatbots IA traitent des données personnelles à chaque conversation : noms, emails, questions qui peuvent contenir des informations sensibles, adresses IP. En Europe, le RGPD (Règlement Général sur la Protection des Données) encadre strictement ces traitements. Un chatbot non conforme expose votre entreprise à des sanctions pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial.

Ce guide détaille les obligations RGPD applicables aux chatbots IA, les recommandations de la CNIL, et une checklist pratique pour vérifier la conformité de votre solution.

Sommaire

Ce que dit le RGPD sur les chatbots IA

Le RGPD s'applique dès qu'un système traite des données à caractère personnel de résidents européens. Un chatbot IA collecte et traite plusieurs types de données :

  • Données d'identification : nom, prénom, email fournis via un formulaire de contact
  • Contenu des conversations : les questions posées peuvent révéler des informations personnelles, médicales, juridiques
  • Données techniques : adresse IP, navigateur, appareil, géolocalisation approximative
  • Données comportementales : pages visitées avant d'utiliser le chatbot, historique de conversation

Pour traiter ces données légalement, vous devez vous appuyer sur l'une des bases légales prévues par le RGPD (article 6) : consentement, exécution d'un contrat, intérêt légitime, ou obligation légale. Pour un chatbot sur un site commercial, l'intérêt légitime (améliorer le service client) est souvent la base la plus adaptée, sauf si le chatbot collecte activement des données via un formulaire — dans ce cas, le consentement explicite est requis.

Source : CNIL — RGPD : de quoi parle-t-on ?

Les recommandations de la CNIL pour les chatbots

La CNIL (Commission Nationale de l'Informatique et des Libertés) a publié des recommandations spécifiques sur l'IA qui s'appliquent directement aux chatbots :

  • Transparence : l'utilisateur doit être informé qu'il interagit avec un chatbot IA, pas un humain. Cette obligation est renforcée par l'AI Act européen entré en vigueur en 2024.
  • Consentement éclairé : si le chatbot collecte des données personnelles (formulaire de contact, email), le consentement doit être libre, spécifique, éclairé et univoque.
  • Minimisation : ne collectez que les données strictement nécessaires au fonctionnement du chatbot. Pas besoin de l'adresse postale pour répondre à une question sur vos produits.
  • Droit des personnes : les utilisateurs doivent pouvoir accéder à leurs données, les rectifier et demander leur suppression.
  • Durée de conservation limitée : les conversations ne doivent pas être conservées indéfiniment. Définissez une durée cohérente avec l'usage.

Les 7 obligations RGPD pour votre chatbot IA

1. Information et transparence

Avant toute interaction, l'utilisateur doit savoir qu'il parle à une IA, quelles données sont collectées, pourquoi, et pendant combien de temps. Un message d'accueil du type « Je suis un assistant IA. Vos échanges sont traités conformément à notre politique de confidentialité. » couvre cette obligation.

2. Base légale du traitement

Identifiez la base légale applicable. Pour un chatbot de service client sans collecte active de données : intérêt légitime. Pour un chatbot avec formulaire de contact ou collecte d'email : consentement. Documentez ce choix dans votre registre des traitements.

3. Minimisation des données

Ne collectez que ce qui est nécessaire. Si votre chatbot n'a pas besoin du numéro de téléphone pour répondre à une question, ne le demandez pas. Chaque champ de formulaire supplémentaire doit être justifié par un besoin réel.

4. Sécurité des données

Les données doivent être protégées par des mesures techniques adaptées : chiffrement en transit (HTTPS/TLS) et au repos, contrôle d'accès, journalisation des accès. Vérifiez que votre fournisseur de chatbot applique ces mesures.

5. Droits des personnes

Vous devez permettre aux utilisateurs d'exercer leurs droits : accès aux données, rectification, suppression (droit à l'oubli), portabilité. Prévoyez une procédure claire et un point de contact (DPO ou email dédié).

6. Hébergement des données en UE

Le RGPD n'interdit pas le transfert hors UE, mais il l'encadre strictement (clauses contractuelles types, décision d'adéquation). La solution la plus simple : choisir un fournisseur qui héberge vos données en Europe. C'est un point critique lors du choix de votre chatbot.

7. Registre des traitements

L'article 30 du RGPD impose de maintenir un registre des traitements. Votre chatbot doit y figurer avec : la finalité (service client), les catégories de données, la base légale, les destinataires, la durée de conservation et les mesures de sécurité.

Chatbot IA et données sensibles : cas particuliers

Secteur juridique

Les échanges avec un chatbot d'avocat peuvent contenir des informations couvertes par le secret professionnel. L'hébergement en France et le chiffrement des données sont indispensables. Consultez notre guide sur le secret professionnel et les chatbots IA et notre solution chatbot avocat.

Ressources humaines

Un chatbot RH qui répond aux questions des salariés traite des données liées à l'emploi (contrats, congés, rémunération). Ces données sont soumises à des obligations renforcées de confidentialité. Voir notre solution chatbot RH.

Santé

Les données de santé sont des données sensibles au sens de l'article 9 du RGPD. Un chatbot dans le secteur médical ne doit collecter des données de santé que sur une base légale renforcée (consentement explicite ou nécessité de soins). L'hébergement doit être certifié HDS (Hébergeur de Données de Santé) en France.

Checklist RGPD pour votre chatbot IA

  • Message d'information clair indiquant que l'utilisateur parle à une IA
  • Lien vers la politique de confidentialité accessible depuis le widget
  • Consentement explicite avant toute collecte de données personnelles (formulaire)
  • Hébergement des données en Union européenne
  • Chiffrement des données en transit (HTTPS) et au repos
  • Durée de conservation des conversations définie et documentée
  • Procédure de suppression des données sur demande opérationnelle
  • Sous-traitant IA conforme (DPA / accord de traitement des données signé)
  • Registre des traitements mis à jour avec le chatbot
  • Données non réutilisées pour entraîner d'autres modèles IA

Comment Heeya garantit la conformité RGPD

Heeya a été conçu dès l'origine pour respecter les exigences du RGPD :

  • Hébergement européen : les données sont hébergées en Europe, sans transfert hors UE.
  • Chiffrement : toutes les communications sont chiffrées en transit (TLS) et les données au repos sont protégées.
  • Pas de réutilisation : les conversations et documents importés ne sont jamais utilisés pour entraîner des modèles tiers.
  • Suppression sur demande : les utilisateurs peuvent supprimer leurs agents, documents et historiques de conversation à tout moment.
  • Transparence : le widget Heeya indique clairement qu'il s'agit d'un assistant IA.

Pour découvrir la solution en détail : créer votre chatbot IA ou consulter nos tarifs.

FAQ

Mon chatbot IA est-il soumis au RGPD ?

Oui, dès que votre chatbot traite des données personnelles de résidents européens : contenu des conversations, emails collectés, adresses IP. Le RGPD s'applique que votre entreprise soit en Europe ou non.

Dois-je informer mes visiteurs qu'ils parlent à une IA ?

Oui. Le RGPD impose la transparence sur les traitements automatisés, et l'AI Act européen rend obligatoire l'information de l'utilisateur lorsqu'il interagit avec un système d'IA. Un message d'accueil clair suffit.

Où doivent être hébergées les données de mon chatbot ?

Le RGPD n'impose pas l'hébergement en UE, mais le transfert hors UE est très encadré. La solution la plus simple et la plus sûre est de choisir un fournisseur qui héberge vos données en Europe. Heeya héberge toutes ses données en Europe.

Comment gérer les demandes de suppression de données ?

Vous devez prévoir une procédure pour répondre aux demandes dans un délai d'un mois. Avec Heeya, les conversations peuvent être supprimées depuis le tableau de bord. Pour les demandes complexes, un point de contact DPO ou un email dédié est recommandé.

Les chatbots américains sont-ils conformes au RGPD ?

Certains chatbots américains (Intercom, Tidio) proposent des clauses contractuelles types. Cependant, les risques liés au Cloud Act subsistent. Les solutions hébergées en UE (Heeya, Crisp) offrent une conformité plus directe.

Pour aller plus loin

Partager cet article :
Publié le 27 mars 2026 par Anas R.

Articles connexes

Qu'est-ce que le RAG ? Guide Complet en Français

Guide Complet

Prix Chatbot IA en 2026 : Combien ça Coûte ?

Guide Complet

Comparatif Chatbot IA 2026 : 5 Types de Chatbots, Lequel Choisir ?

Guide Complet

Découvrir nos solutions

Chatbot IA sur mesure

Créez votre assistant IA en quelques minutes

Service client IA

Automatisez jusqu'à 80% des demandes

Guide : Chatbot service client

Comparatif et critères de choix

Tous nos outils & guides

Comparatifs, guides et ressources

Prêt à créer votre assistant IA ?

Rejoignez Heeya et transformez votre service client avec l'intelligence artificielle conversationnelle.

Créer un compte gratuit Voir les tarifs