La protection de la vie privée de l’utilisateur est une problématique à appréhender avant le lancement de tout chatbot.
Des chatbots recueillant des données à caractère personnel
Les chatbots sont en contact direct avec des personnes physiques (client, ou salarié, de l’entreprise, notamment). Les utilisateurs y ont recours pour avoir une information ou bénéficier d’un service sous la forme d’une simple discussion.
Or, au cours de cet échange, l’utilisateur fournit (consciemment ou non) un certain nombre d’informations à son interlocuteur chatbot. Certaines d’entre elles rendent l’utilisateur identifiable et s’apparentent à ce titre à des données personnelles (1). On peut notamment penser :
- au nom et prénom de l’utilisateur ;
- à son numéro de sécurité sociale (ex : sur un site de mutuelle) ;
- son adresse (ex : pour la livraison d’un produit) ;
- la géolocalisation de l’utilisateur (ex : pour un itinéraire).
La législation sur la protection de la vie privée tend donc à s’appliquer aux chatbots.
Les principaux enjeux de la protection de la vie privée de l’utilisateur
Mais alors quels enjeux méritent une attention particulière ? Les grands principes suivants méritent une attention particulière s’agissant des chatbots (2) :
- le consentement de l’utilisateur. Est-ce que le simple fait pour l’utilisateur d’utiliser un chatbot correspond à un consentement de sa part ? La Cnil ne s’est pas encore penchée sur la question. Néanmoins, une bonne pratique serait un bandeau, comme pour les sites internet, afin d’informer l’utilisateur du recueil de ses données à caractère personnel ;
- la durée de conservation. On sait que les données personnelles ne doivent pas être conservées pour une durée excessive (au regard de la finalité du traitement). Pour les chatbots, deux situations sont à distinguer :
- pour un chatbot conçu pour répondre aux questions d’un utilisateur à un instant T : aucune raison de conserver les données pour une longue durée ;
- pour un chatbot agissant comme un assistant personnel : une durée de conservation plus longue peut être prévue. Ce type de chatbot apprend des informations fournies par son utilisateur.
- le recueil de données sensibles comme les opinions politiques, les informations sur la vie sexuelle ou la santé de l’utilisateur. Ce type de données impose des obligations supplémentaires notamment en termes d’hébergement. Par exemple, les données de santé doivent être stockées chez un hébergeur agréé à cet effet.
Les nouveaux outils en plein essor que sont les chatbots doivent donc se conformer aux obligations découlant de la protection de la vie privée. Le travail d’anticipation sur ces problématiques est d’autant plus important que le règlement européen (RGPD) sur ce domaine entrera en vigueur en 2018.
Marie-Adélaïde de Montlivault-Jacquot
Thomas Noël
Lexing Contentieux Informatique
(1) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art.2.
(2) Cnil, « Les principes clés de la protection des données personnelles »