Avant toute mise à disposition d’un chatbot, le responsable du traitement doit identifier les enjeux de conformité et mettre en œuvre les actions nécessaires pour respecter la réglementation relative à la protection des données. A cet égard, la Commission nationale de l’informatique et des libertés (Cnil) a récemment publié une communication visant à guider les entités dans le respect de leurs obligations.
Les cookies utilisés dans le cadre d’un chatbot nécessitent-ils un consentement préalable ? Comment définir la durée de conservation des conversations ? Quelles actions mettre en place en cas de collecte de catégories particulières de données ?
Qu’est-ce qu’un chatbot ? Quels sont les différents cas d’usage ?
Selon la définition donnée par la Cnil, les chatbots sont « des logiciels permettant le dialogue d’un utilisateur avec un programme destiné à lui fournir des informations ».
Il existe plusieurs cas d’usage des chatbots. Par exemple, ils peuvent être utilisés pour faciliter la commande d’un bien ou la souscription d’un service. Une fois la conversation initiée, l’internaute peut échanger sur le produit ou service qu’il cherche et effectuer le paiement si les recommandations du chatbot lui conviennent. Ou encore, le fournisseur d’un logiciel peut mettre en place un chatbot sur son site Internet afin d’accompagner les acheteurs dans l’installation et la configuration dudit logiciel.
Comment gérer le dépôt et la lecture de cookies dans le cadre d’un chatbot ?
En pratique, il est fréquent d’utiliser des cookies dans le cadre d’un chatbot. Ces cookies peuvent avoir comme finalité d’assurer le fonctionnement technique du chatbot ou encore de garder l’historique des échanges effectués.
Comme pour l’ensemble de traceurs, le dépôt et la lecture de cookies dans le cadre d’un chatbot sont encadrés par l’article 82 de la loi Informatique et Libertés. Ainsi, l’exigence de l’information et du recueil du consentement préalables s’applique sauf exceptions (traceurs qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur).
Dans sa communication, la Cnil développe trois hypothèses :
- Hypothèse n°1 : Lorsque le cookie associé au chatbot est déposé avant l’activation du chatbot par l’internaute, c’est-à-dire avant qu’il clique sur la fenêtre de conversation ou sur un bouton déclenchant l’ouverture de ladite fenêtre, il est nécessaire de recueillir le consentement des internautes.
- Hypothèse n°2 : Si le cookie est déposé une fois que le chatbot a été activé par l’internaute et qu’il ne sert qu’à lui fournir le chatbot, il n’est pas nécessaire de recueillir le consentement préalable de l’internaute. En effet, dans cette hypothèse, le cookie est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse dudit internaute.
- Hypothèse n°3 : Lorsque le cookie sert non seulement à fournir le chatbot aux internautes, mais aussi à la poursuite d’autres finalités, il est nécessaire de recueillir le consentement préalable des internautes.
Quid de la durée de conservation des échanges ?
Le principe de conservation limitée s’applique quel que soit le traitement en question. Ainsi, dans le cadre des échanges au moyen d’un chatbot, une durée de conservation doit être définie en fonction de la finalité poursuivie (support technique, faciliter l’achat des biens, FAQ, etc.).
A ce titre, la Cnil précise qu’il faut distinguer :
- les données qui ne sont pas nécessaires à la finalité poursuivie et qui doivent être supprimées dès la fin de la conversation sur le chatbot,
- les données qui sont nécessaires à la finalité poursuivie et qui peuvent être conservées plus longtemps.
Quelles actions mettre œuvre en cas de collecte de données sensibles ?
La Cnil souligne que les catégories particulières de données (ou données sensibles) doivent faire l’objet d’une attention particulière dans le cadre de l’utilisation des chatbots. Pour rappel, il s’agit par exemple des données relatives à la santé, à l’origine raciale ou ethnique ou encore à l’orientation sexuelle des internautes.
Selon la Cnil, le traitement des données sensibles peut avoir lieu dans les deux situations suivantes :
- L’objectif poursuivi par la mise à disposition du chatbot peut impliquer un traitement des données sensibles. Cela peut être le cas, par exemple, lorsqu’il s’agit de fournir un service d’assistance en santé physique ou mentale en ligne. Dans cette hypothèse, le traitement doit rentrer dans l’une des exceptions prévues à l’article 9, 2 du Règlement général sur la protection des données (consentement explicite, motif d’intérêt public important, etc.). A noter également qu’une analyse d’impact relative à la protection des données peut s’avérer nécessaire avant la mise en place de ce type de chatbot.
- Il peut arriver que les internautes communiquent des données sensibles même si l’objectif poursuivi n’implique pas le traitement desdites données. En d’autres termes, la communication de ces données n’est pas anticipée par le responsable du traitement. Pour atténuer ce risque, la Cnil préconise de mettre en garde les internautes pour qu’ils s’abstiennent de communiquer des données sensibles. Elle recommande également de mettre en place un système permettant de purger ces données.
Indépendamment des points évoqués ci-dessus, le traitement mis en œuvre au moyen d’un chatbot doit respecter l’ensemble de règles relatives à la protection des données. En particulier, le responsable du traitement doit informer les internautes des caractéristiques du traitement et prendre des mesures nécessaires pour assurer la sécurité des échanges.
Mathias Avocats vous accompagne dans vos démarches de conformité.