Comment rendre votre Chatbot conforme au RGPD : le guide à suivre
Le Règlement Général sur la Protection des Données, ou RGPD, est un cadre réglementaire pour la protection des données. Mis en place dans l’Union européenne en mai 2018, il a depuis affecté la manière dont les informations privées sont échangées en ligne à travers différents types de canaux – dont les chatbots.
Qu’est-ce que les Chatbots ?
Un chatbot est un logiciel, généralement un système d’exploitation intégré sur un site web, qui automatise un échange avec les utilisateurs. Il permet aux consommateurs d’avoir une « conversation » avec un ordinateur – un bot – pour obtenir des réponses à des questions fréquemment posées, obtenir un support client ou être redirigé vers une autre page du site web.
En tant qu’agents conversationnels, les chatbots peuvent être utilisés dans de nombreux contextes différents, y compris la finance, le tourisme et le commerce électronique. Ils servent à informer les clients et les visiteurs du site web sur un ensemble de questions qu’ils sont susceptibles de se poser en naviguant sur le site.
Lorsque l’on considère la quantité importante d’informations privées susceptibles d’être échangées via de tels systèmes de messagerie, la question de la confidentialité est inévitable. Pour rendre les services des chatbots plus personnalisés à l’expérience utilisateur et offrir aux visiteurs du site web un service plus efficace, les créateurs et les concepteurs de sites web ont conçu des chatbots pour aboutir à une divulgation plus approfondie des informations personnelles par les utilisateurs. C’est là que les lois sur le RGPD entrent en jeu – pour mettre en œuvre des mesures visant à protéger les données personnelles de l’utilisateur.
Un aperçu du RGPD
Le RGPD établit les lignes directrices légales pour la collecte, le traitement et la distribution d’informations entre différentes parties ou individus au sein de l’UE. Le changement le plus remarquable survenu suite à la mise en œuvre du RGPD a été le remplacement du système de désinscription des données personnelles par le système d’inscription.
Plutôt que de demander aux utilisateurs de prendre des mesures pour refuser de partager leurs données personnelles, les sites web sont désormais tenus de demander aux utilisateurs de prendre des mesures pour accepter. Ce changement fondamental implique que les utilisateurs acceptent activement que leurs données personnelles soient utilisées par le site web au lieu de leur offrir la possibilité de les refuser. Ce changement signifie donc que l’état par défaut des données personnelles de l’utilisateur est désormais non partageable, sauf indication contraire.
Cela s’inscrit dans un effort global visant à protéger les données des consommateurs et à rendre les interactions en ligne entre les entreprises et leurs clients plus sécurisées en général. Grâce à une augmentation de la transparence et à une demande claire du consentement explicite du consommateur, il est assuré que les données personnelles sont traitées légalement – et instantanément supprimées de la base de données du site web une fois que leur fonction a été remplie.
Bien que ce cadre réglementaire soit en place depuis plus de 3 ans maintenant, de nombreuses entreprises ne se conforment pas à ses règles car elles ne comprennent pas pleinement ses implications. Quelles sont donc les conséquences du non-respect des lois sur le RGPD ? Des sanctions financières, souvent importantes – même si moins de 1 % de la totalité des violations de données ont été effectivement sanctionnées depuis mai 2018 (Source : Chatamo).
Quelles entités commerciales sont concernées par les lois sur le RGPD ?
Presque toutes les entreprises qui mènent tout ou partie de leurs opérations en ligne sont concernées par les lois sur le RGPD. Toute entreprise qui traite et stocke les données personnelles des citoyens de l’UE doit se conformer à ces réglementations, même si l’entreprise elle-même n’est pas basée dans le territoire de l’UE.
Les entreprises qui opèrent en ligne et traitent des données personnelles utilisent ce qu’on appelle des contrôleurs de données. Un contrôleur de données peut être le vôtre ou celui de votre entreprise, ou un système/base de données CRM externe. Une entreprise qui utilise un contrôleur de données est appelée un processeur de données. Plusieurs critères doivent être vérifiés pour que votre entreprise soit considérée comme un processeur de données.
Ceux-ci sont :
- Déterminer le type de données collectées
- Collecter les données personnelles des utilisateurs
- Traiter et modifier les données personnelles
- Déterminer l’objectif ou l’utilisation des données collectées
- Fixer une période pendant laquelle les données collectées sont conservées
- Déterminer si et avec qui partager les données collectées.
Comment rendre votre chatbot conforme aux lois sur le RGPD ?
Pour garantir que votre chatbot est conforme au RGPD, il est important de mettre en œuvre 6 étapes cruciales. Voici la liste de contrôle.
Le chatbot fournit un formulaire clair, transparent et facile à lire à l’utilisateur. Ce formulaire vise à informer l’utilisateur sur le type d’informations qui seront collectées. Le chatbot doit afficher cela comme une clause de non-responsabilité dès le début avant tout échange d’informations. Ces informations figurent généralement dans une déclaration de confidentialité, qui contient les réponses aux questions suivantes : Quelles sont les informations collectées ? Dans quel but(s) ces informations sont-elles collectées ? Quelle partie/entité collecte les informations ? Pendant combien de temps les informations seront-elles stockées dans la base de données du site web ? Les informations sont-elles partagées avec des tiers ? Si oui, qui sont ces tiers ? Quelles sont les étapes à suivre par l’utilisateur en cas de souhait de retrait de son accord pour partager ses données ?
Le chatbot doit fournir à l’utilisateur un moyen simple et direct d’accéder à ses informations personnelles ou à des copies de ses données. L’utilisateur doit également pouvoir effacer ses informations personnelles à tout moment.
Source: BotsCrew
Le journal du chatbot ne doit contenir aucune des données suivantes sans motif légitime : IDs, adresses IP et noms. S’il existe une raison légitime pour l’entreprise de stocker ces informations, elle ne doit le faire qu’après avoir obtenu le consentement explicite de l’utilisateur.
Le chatbot doit être configuré de manière à empêcher les éventuelles violations de données. Il doit également suivre des protocoles, établis à l’avance, en cas de fuite d’informations. Certaines mesures à mettre en œuvre pour garantir la sécurité du chatbot incluent :
- Authentification de l’identité de l’utilisateur
- Authentification à deux facteurs
- Authentification biométrique
- Cryptage de bout en bout
- Délais d’authentification
Conclusion
Les chatbots sont des outils utiles pour une entreprise qui mène ses opérations en ligne, car ils contribuent à augmenter les ventes, à améliorer le service client et le support, et à mieux comprendre la base de clients de l’entreprise.
Pour atteindre ce dernier objectif spécifiquement, des quantités importantes de données devront être collectées, traitées, décomposées et analysées – le tout en un laps de temps relativement court. Ce processus est réalisable mais nécessite une grande attention à la sécurité des données personnelles des utilisateurs, comme indiqué ci-dessus.