Chatbots : les conseils de la CNIL pour respecter les droits des personnes

19 février 2021

De plus en plus présents sur les sites web et applications, les chatbots permettent de fournir rapidement des réponses aux utilisateurs. Leur mise à disposition, qui peut présenter des enjeux importants pour les droits des personnes, doit respecter certaines règles.

smartphone

Les agents conversationnels (ou chatbots) sont des logiciels permettant le dialogue d’un utilisateur avec un programme destiné à lui fournir des informations. Ils servent à apporter des réponses aux questions les plus fréquentes, tout en dispensant cette information d’une manière ciblée, pertinente et interactive. Pour cela, des données personnelles sont souvent traitées, par exemple pour conserver une trace de la conversation, même si le service est disponible sans créer de compte ou sans fournir d’informations directement identifiantes.

Outre les grands principes devant être pris en compte pour tout traitement de données personnelles, le responsable de traitement ou le sous-traitant mettant en place un chatbot doit prêter une attention particulière aux enjeux pour les droits et libertés des personnes, avec l’aide de son délégué à la protection des données s’il en a désigné un.

Comment gérer le dépôt de cookie nécessaire au chatbot ?

Afin d’assurer la continuité technique du chatbot ou de garder un historique de la conversation entre les différentes pages du site où il est présent, un cookie est fréquemment déposé et lu sur le terminal de l’utilisateur. Une telle action est encadrée par l’article 82 de la loi Informatique et Libertés, sur lequel la CNIL a publié des lignes directrices et des recommandations.

Deux possibilités s’offrent à l’opérateur du chatbot :

  • soit l’opérateur souhaite pouvoir déposer un cookie préalablement à l’activation du chatbot. Il doit, dans ce cas, obtenir le consentement préalable de l’utilisateur, qui doit être libre, spécifique, éclairé et univoque ;
  • soit le cookie n’est déposé qu’à l’activation du chatbot par l’utilisateur (par exemple, en cliquant sur la fenêtre de conversation préalablement affichée, ou en cliquant sur un bouton déclenchant explicitement l’ouverture du chatbot). Il est alors « strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur » et ne requiert pas donc pas de recueillir le consentement de celui-ci. Cette exemption n’est mobilisable que si le traceur ne sert qu’à la fourniture du chatbot : toute autre finalité lui étant rattachée nécessitera le consentement de l’utilisateur.

Combien de temps peuvent être conservées les données collectées par le chatbot ?

Les données doivent être conservées pour la durée nécessaire pour atteindre la finalité du traitement, définie par le responsable de traitement.

Autrement dit, il faudra distinguer les cas où les données devraient être effacées dès la fin de la conversation (comme dans le cas d’un chatbot aidant à un acte d’achat) des cas où le responsable de traitement peut légitimement conserver ces données pour une durée plus longue (par exemple pour une réclamation sur un produit acheté).

Une conversation avec un chatbot peut-elle servir à la prise de décision affectant un individu ?

Une conversation avec un chatbot sans intervention humaine ne peut conduire à elle seule à des décisions importantes pour la personne concernée, telles que le refus d’une demande de crédit en ligne, l’application de tarifs plus élevés ou l’impossibilité de présenter une candidature à un poste. Cette conversation peut, en revanche, s’inscrire dans un processus plus large qui comprendrait une intervention humaine significative.

En effet, la prise de décision automatisée, lorsqu’elle a des conséquences juridiques ou affectant significativement, et de manière similaire, une personne est interdite par l’article 22 du RGPD, à moins d’avoir mis en place des mesures permettant de sauvegarder les droits, les libertés et les intérêts de la personne concernée (au minimum un moyen permettant à la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision) et en dehors des exceptions suivantes :

  • la personne a donné son consentement explicite ;
  • la décision est nécessaire à l’exécution d’un contrat entre la personne et le responsable de traitement ;
  • la décision est autorisée par le droit de l’Union européenne ou le droit d’un État membre.

Que faire dans le cas d’une collecte de données sensibles ?

Comme pour de la gestion des zones bloc-notes et commentaires, une attention particulière doit être portée aux données sensibles (par exemple les informations liées à la santé, aux opinions politiques, à la prétendue appartenance syndicale ou religieuse), dont le traitement est en principe interdit par le RGPD (article 9 du RGPD).

De telles données peuvent être traitées dans deux situations.

  1. Si la collecte est prévisible et le traitement est pertinent

Par exemple, avec le chatbot d’un service d’assistances aux minorités sexuelles ou relatif à la santé, de telles données peuvent être collectées.

Il faut alors veiller à ce que le traitement de données rentre dans l’une des exceptions prévues à l’article 9.2 du RGPD. Cela peut être, par exemple et selon le cas, le consentement explicite de l’utilisateur ou le fait que le traitement soit nécessaire pour un motif d’intérêt public important.

Le traitement de données sensibles est l’un des neufs critères pouvant conduire à la réalisation d’une analyse d’impact relative à la protection des données (AIPD). Attention, la présence d’un autre de ces critères (comme la collecte de données personnelles à large échelle) peut rendre cette AIPD obligatoire.

  1. Si la collecte n’est pas prévisible

Les chatbots proposant souvent un mode d’écriture libre, ils peuvent être amenés à traiter des données sensibles directement fournies par l’utilisateur, sans que le responsable de traitement ou le sous-traitant ne l’ait anticipé.

Dans ce cas, les organismes ne sont pas tenus de recueillir le consentement préalable des utilisateurs. Ils devront cependant mettre en place des mécanismes permettant de minimiser les risques pour les droits et libertés des personnes :

  • en communiquant, avant toute utilisation du chatbot, une mise en garde invitant les personnes à s’abstenir de communiquer des données sensibles ;
  • en mettant en place un système de purge, immédiat ou au moins régulier, car la conservation de ces données sensibles n’est pas pertinente.