Accueil Blog Chatbot IA et RGPD

Chatbot IA et RGPD :
comment être conforme en 2026 ?

RGPD & Légal 1 mai 2026 8 min de lecture

Le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis 2018, mais en 2026, les autorités de contrôle européennes sont de plus en plus actives. Les amendes se multiplient, y compris pour les PME. Si vous déployez un chatbot sur votre site, vous collectez potentiellement des données personnelles — et vous avez des obligations précises à respecter.

La bonne nouvelle : avec la bonne solution, la conformité RGPD n'est pas un casse-tête. Ce guide vous explique ce qu'un chatbot collecte, ce que vous devez faire, et comment Chatbot Flow est conçu pour vous simplifier la vie sur ce sujet.

Quelles données un chatbot collecte-t-il ?

Un chatbot peut collecter plusieurs catégories de données, selon sa configuration :

Données collectées automatiquement

  • Contenu des conversations : les questions posées et les réponses générées. Ces données peuvent contenir des informations personnelles si le visiteur les mentionne spontanément ("J'ai 45 ans et je cherche…", "Mon nom est…").
  • Métadonnées de session : heure de la conversation, URL de la page, type d'appareil (mobile/desktop). Ces données sont techniques et peu sensibles, mais restent soumises au RGPD.
  • Identifiant de session : un cookie anonyme permettant de suivre la conversation sur plusieurs pages. Sans ce cookie, le chatbot perd le contexte entre deux pages.

Données collectées sur action volontaire

  • Email : quand le visiteur choisit de laisser ses coordonnées pour être recontacté.
  • Téléphone : si le formulaire de contact intégré le demande.
  • Toute autre information que le visiteur saisit de son propre chef dans le chat.

Les obligations RGPD pour un chatbot

1. Informer les visiteurs

Avant ou au démarrage d'une conversation, les visiteurs doivent être informés que leurs données sont traitées. Cette information peut figurer dans votre politique de confidentialité (accessible via un lien dans le widget du chatbot) ou dans un message d'accueil du chatbot lui-même.

Le minimum requis : expliquer qui traite les données (votre entreprise), pourquoi (améliorer l'expérience, répondre aux demandes), combien de temps elles sont conservées, et comment exercer ses droits.

2. Base légale du traitement

Tout traitement de données doit reposer sur une base légale. Pour un chatbot, deux bases sont généralement applicables :

  • Intérêt légitime : pour les conversations de support et les données techniques de session. Vous avez un intérêt légitime à améliorer l'expérience de vos visiteurs et à répondre à leurs questions.
  • Consentement : pour la collecte d'email à des fins de prospection commerciale ou de newsletter. Le consentement doit être explicite, distinct et révocable.

3. Hébergement en Union Européenne

Les données personnelles de résidents européens ne peuvent être transférées hors UE qu'avec des garanties spécifiques (clauses contractuelles types, pays adéquat). En pratique, la solution la plus simple est d'héberger vos données en Europe.

Chatbot Flow héberge toutes ses données en France, sur des serveurs OVH. Aucun transfert hors UE, conformité assurée dès le premier jour.

4. Durée de conservation

Vous devez définir et respecter une durée de conservation. Chatbot Flow conserve les conversations et les leads pendant 24 mois à compter de la dernière interaction, puis les supprime automatiquement. Cette durée est raisonnable et compatible avec les recommandations CNIL.

5. Droits des personnes

Tout visiteur peut exercer ses droits : accès à ses données, rectification, effacement ("droit à l'oubli"), portabilité. Chatbot Flow vous permet d'exporter ou de supprimer les données d'un visiteur spécifique depuis le tableau de bord, ce qui vous permet de répondre à ces demandes en quelques minutes.

Les risques si vous n'êtes pas conforme

La CNIL (France) et ses homologues européens peuvent infliger des amendes allant jusqu'à :

  • 10 millions d'euros ou 2 % du CA mondial pour les manquements de niveau 1 (non-respect des obligations de base)
  • 20 millions d'euros ou 4 % du CA mondial pour les manquements de niveau 2 (violation des droits fondamentaux)

Ces chiffres concernent les grandes entreprises, mais les PME ne sont pas exemptées. En 2025, la CNIL a prononcé plusieurs centaines de sanctions, dont nombre concernaient des structures de moins de 50 personnes. Les manquements les plus fréquemment sanctionnés : absence d'information des utilisateurs, cookies sans consentement, et transferts hors UE non encadrés.

Au-delà des amendes, un incident de conformité RGPD peut nuire significativement à votre réputation, surtout si vous avez une relation de confiance à préserver avec vos clients.

Comment Chatbot Flow est conçu pour la conformité RGPD

La conformité RGPD n'est pas un ajout tardif dans Chatbot Flow — c'est un principe de conception. Voici les mesures concrètes :

  • Hébergement 100 % France (OVH) : aucune donnée ne quitte l'UE.
  • Base vectorielle isolée par client : vos données ne sont jamais mélangées avec celles d'autres clients.
  • Suppression automatique après 24 mois sans intervention manuelle.
  • Export et suppression à la demande : à la résiliation, un email avec un lien de téléchargement de vos données (conversations, leads) est automatiquement envoyé. Le lien est valable 30 jours, puis toutes vos données sont supprimées définitivement.
  • Pas de cookies tiers : le widget Chatbot Flow ne dépose que des cookies first-party nécessaires au fonctionnement de la conversation.
  • Sous-traitants documentés : les sous-traitants de données (hébergeur, modèle LLM) sont documentés et soumis à des DPA (Data Processing Agreements) conformes.

Checklist RGPD pour votre chatbot

Utilisez cette liste pour vérifier votre conformité :

  1. Politique de confidentialité à jour : votre politique mentionne-t-elle le chatbot, les données collectées, la base légale et la durée de conservation ? Si non, mettez-la à jour.
  2. Lien visible vers la politique : le widget chatbot doit inclure un lien vers votre politique de confidentialité. Chatbot Flow permet de le configurer dans les paramètres du widget.
  3. Consentement pour la prospection : si vous utilisez les emails collectés pour envoyer des newsletters ou des offres, vous devez recueillir un consentement explicite distinct de la simple demande de rappel.
  4. Hébergement UE vérifié : demandez à votre fournisseur de chatbot où vos données sont hébergées. "Dans le cloud" ne suffit pas — vous avez besoin d'une confirmation écrite du pays d'hébergement.
  5. Procédure d'exercice des droits : avez-vous un moyen de répondre en moins de 30 jours à une demande d'accès ou d'effacement ? Avec Chatbot Flow, c'est faisable en quelques clics depuis le tableau de bord.

Important : ce guide est informatif et ne constitue pas un conseil juridique. Pour une analyse précise de votre situation, consultez un avocat spécialisé en protection des données ou un délégué à la protection des données (DPO).

Un chatbot conforme RGPD dès le premier jour

Données hébergées en France, base isolée par client, export et suppression à la demande. Essai gratuit 30 jours sans CB.

Démarrer gratuitement → Notre politique RGPD