Chatbots : Attention au traitement des données et au respect du RGPD. Même si vous ne sollicitez pas la création d’un compte avant l’utilisation du chatbox mis à la disposition de vos clients ou futurs clients, il y a de fortes chances que vous traitiez leurs données.

Les chatbots permettent le dialogue entre votre site web et l’utilisateur pour lui fournir des informations personnalisées et interactives.

Le service peut être fourni sans nécessité de créer un compte personnel.

Pourtant, la plupart du temps vous conservez une trace de la conversation grâce au cookie déposé sur le terminal de l’utilisateur. Cela constitue un traitement de données, même lorsqu’aucune donnée personnelle n’est directement requise.

Ce type de traitement est encadré par l'article 5 de la directive 2002/58/CE modifiée en 2009.

Vous devez :

• Recueillir le consentement préalable de l'utilisateur avant le stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci ;

• Sauf si ces actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur, ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

En l’espèce, quand le consentement préalable de l’internaute est-il requis?

• Si vous déposez un cookie préalablement à l’activation du chatbot

Le consentement préalable de l’utilisateur est requis. Il doit être libre, spécifique, éclairé et univoque ;

• Pas de consentement préalable si le cookie n’est déposé qu’à l’activation du chatbot par l’utilisateur (par exemple, en cliquant sur la fenêtre de conversation préalablement affichée, ou en cliquant sur un bouton déclenchant explicitement l’ouverture du chatbot). Le cookie est alors « strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ».

Les données collectées par le chatbot devront être conservées pour la durée nécessaire à atteindre la finalité du traitement.

LA CNIL préconise de « distinguer les cas où les données devront être effacées dès la fin de la conversation (comme dans le cas d’un chatbot aidant à un acte d’achat) des cas où le responsable de traitement peut légitimement conserver ces données pour une durée plus longue (par exemple pour une réclamation sur un produit acheté) ».

Source : les conseils de la CNIL 19 février 2021