Les Chatbots ou agents conversationnels sont des logiciels mettant en relation les utilisateurs avec un programme en vue de leurs fournir des informations. Ces logiciels servent notamment à apporter des réponses ciblées aux questions les plus fréquemment posées par les utilisateurs. Pour ce faire, des données à caractère personnel sont souvent traitées bien que le service soit accessible sans que les personnes ne précisent leur identité ou leurs coordonnées.
Outre le respect des grands principes du RGPD[1] dans le cadre des traitements de données personnelles, la CNIL a prodigué quelques recommandations quant à l’utilisation de Chatbots afin de respecter les droits et libertés des utilisateurs, dans une communication du 19 février 2021[2].
1. La CNIL rappelle que l’utilisation d’un Chatbot suppose souvent le dépôt d’un cookie déposé et lu sur le terminal de l’utilisateur, encadré par l’article 82 de la loi informatique et libertés[3] (Cf lignes directrices et des recommandations de la CNIL[4]). A ce titre, la CNIL se prononce selon 2 hypothèses :
– Si l’opérateur souhaite déposer un cookie préalablement à l’activation du chatbot, il doit, dans ce cas, obtenir le consentement préalable de l’utilisateur, qui doit être libre, spécifique, éclairé et univoque ;
– Si le cookie n’est déposé qu’à l’activation du chatbot par l’utilisateur (par exemple, en cliquant sur la fenêtre de conversation préalablement affichée, ou en cliquant sur un bouton déclenchant explicitement l’ouverture du chatbot), le cookie entre alors dans la catégorie des cookies « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » et le consentement préalable n’est plus requis.
2. La CNIL précise que les données collectées par le Chatbot doivent être conservées pour la durée nécessaire pour atteindre la finalité du traitement définie par le responsable de traitement et qu’une conversation réalisée via un Chatbot, sans aucune intervention humaine, ne peut conduire à elle seule, à des décisions importantes pour l’utilisateur (par exemple : le refus de demande de crédit en ligne, l’impossibilité de présenter une candidature à un poste).
3. Enfin, la CNIL souligne la nécessaire vigilance par rapport aux données sensibles puisqu’elle a bien conscience que les personnes sont libres d’écrire de ce qu’elles veulent dans ces petits modules. Or, même si les données sont communiquées par la personne elle-même, cela n’équivaut pas à un consentement du traitement de ses données. Rappelons que le consentement doit être exprès et que sans consentement, le traitement serait ici en principe interdit (article 9.1 du RGPD). A ce titre, la CNIL évoque encore deux hypothèses :
– Lorsque la collecte de données sensibles est prévisible et que le traitement est pertinent (par exemple un chatbot sur un site en lien avec la santé) : le responsable de traitement ou le sous-traitant doit veiller à ce que le traitement de ces données entre dans une exception prévue à l’article 9.2 du RGPD.
– Lorsque la collecte de telles données n’est pas prévisible : le recueil du consentement préalable des utilisateurs n’est pas nécessaire mais le responsable de traitement devra prévoir des mécanismes permettant de se conformer aux règles liées à la protection des données (par exemple, mise en garde avant utilisation du Chatbot/système de purge).
Charlotte GALICHET
Amelle SALKA
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679
[2] Communication de la CNIL du 19 février 2021 « Chatbots : les conseils de la CNIL pour respecter les droits des personnes ». https://www.cnil.fr/fr/chatbots-les-conseils-de-la-cnil-pour-respecter-les-droits-des-personnes
[3] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/
[4] Cookies : lignes directrices et recommandations de la CNIL du 17 septembre 2020. Par Charlotte Galichet, Avocat. (village-justice.com)