LAUCKED
ConnexionDemander un diagnostic
← Blog/16 mars 202614 min de lecture

RGPD et chatbot IA : comment être conforme

Les chatbots propulsés par l'intelligence artificielle se multiplient dans les entreprises françaises : support client, assistance RH, génération de leads. Mais chaque conversation implique le traitement de données personnelles, soumis au Règlement Général sur la Protection des Données (RGPD). Ce guide détaille les obligations, les risques spécifiques aux LLM et les actions concrètes pour mettre votre chatbot en conformité.

R
Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

16 mars 2026·14 min de lecture·Fondateurs·LinkedIn

L'explosion des chatbots IA en entreprise

Selon Gartner, 75 % des entreprises utiliseront un chatbot ou un assistant IA d'ici 2027. En France, les PME et ETI adoptent massivement ces outils pour automatiser le service client, qualifier des prospects ou assister les collaborateurs en interne. Les modèles de langage (LLM) comme GPT-4, Claude ou Mistral offrent des capacités conversationnelles inédites, mais soulèvent des questions fondamentales en matière de protection des données.

La CNIL a publié des recommandations spécifiques aux chatbots IA rappelant que le RGPD s'applique pleinement à ces systèmes. Un chatbot non conforme expose l'entreprise à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Au-delà du RGPD, le Règlement européen sur l'IA (EU AI Act) impose des obligations supplémentaires selon le niveau de risque du système. Les entreprises doivent désormais naviguer dans un cadre réglementaire double. Ce guide vous donne les clés pour comprendre et appliquer ces exigences à vos chatbots.

Quelles données personnelles traite un chatbot ?

Un chatbot IA traite bien plus de données qu'il n'y paraît. Au-delà des messages saisis par l'utilisateur, plusieurs catégories de données personnelles entrent en jeu :

Données saisies (input)

Nom, prénom, adresse e-mail, numéro de téléphone, numéro client, description de problèmes personnels ou professionnels. Les utilisateurs partagent souvent des informations sensibles sans en avoir conscience (données de santé, situation financière, opinions).

Logs de conversation

L'historique complet des échanges est généralement conservé pour améliorer le modèle, analyser la qualité du service ou résoudre des litiges. Ces logs constituent un traitement de données personnelles à part entière au sens du RGPD.

Métadonnées techniques

Adresse IP, identifiant de session, user-agent du navigateur, géolocalisation approximative, horodatage des interactions. Ces données permettent de réidentifier un utilisateur même sans collecte explicite d'identité.

Cookies et traceurs

Cookies de session, identifiants de suivi analytics, pixels de conversion. Si le chatbot est intégré via un widget tiers, le fournisseur peut également déposer ses propres cookies, multipliant les responsables de traitement.

Les obligations RGPD applicables aux chatbots

Le RGPD impose plusieurs obligations spécifiques aux responsables de traitement qui déploient un chatbot. Voici les articles clés à connaître et leur application concrète.

Article 6 — Base légale du traitement

Tout traitement de données personnelles par un chatbot doit reposer sur une base légale valide. Les plus fréquentes sont le consentement (chatbot marketing, profilage), l'intérêt légitime (chatbot de support client sur un service existant) ou l'exécution d'un contrat (chatbot intégré à un service souscrit). Le choix de la base légale conditionne les droits des personnes et doit être documenté dans le registre des traitements.

Articles 13-14 — Obligation d'information

L'utilisateur doit être informé avant la première interaction avec le chatbot : identité du responsable de traitement, finalités, base légale, destinataires des données, durée de conservation, droits (accès, rectification, suppression, portabilité). Cette information doit être concise, transparente et facilement accessible — un simple lien vers la politique de confidentialité générale ne suffit pas si le chatbot traite des données spécifiques.

Article 22 — Décision automatisée et profilage

Si votre chatbot prend des décisions ayant un effet juridique ou significatif sur la personne (refus de crédit, triage médical, sélection de candidatures), l'article 22 s'applique. La personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé. Vous devez prévoir une intervention humaine significative, le droit de contester la décision et une explication de la logique sous-jacente.

Article 25 — Privacy by design et by default

La protection des données doit être intégrée dès la conception du chatbot. Concrètement : minimiser les données collectées (ne pas demander le nom si ce n'est pas nécessaire), pseudonymiser les logs de conversation, chiffrer les données en transit et au repos, paramétrer par défaut le niveau de collecte le plus protecteur. Le chatbot ne doit pas collecter plus de données que strictement nécessaire à la finalité déclarée.

Article 35 — Analyse d'Impact (AIPD)

Une AIPD est obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. C'est le cas de la plupart des chatbots IA qui combinent : traitement à grande échelle, nouvelles technologies (LLM), évaluation/profilage automatique. L'AIPD doit évaluer la nécessité et la proportionnalité du traitement, les risques pour les personnes et les mesures d'atténuation. La conformité RGPD passe nécessairement par cette étape pour les chatbots IA.

Les risques spécifiques des chatbots IA

Les chatbots basés sur des LLM présentent des risques de sécurité et de conformité qui n'existent pas avec les chatbots à règles traditionnels. Ces risques doivent être évalués dans votre AIPD et couverts par des mesures techniques adaptées. Pour une évaluation complète de ces risques sur vos systèmes, consultez notre offre d' audit IA pour entreprise.

Fuite de données via le LLM (data leakage)

Les données saisies par les utilisateurs peuvent être envoyées aux serveurs du fournisseur LLM (OpenAI, Anthropic, Google) pour générer la réponse. Si le modèle est hébergé hors UE, cela constitue un transfert international de données. Pire : certains fournisseurs utilisent les conversations pour réentraîner leurs modèles, ce qui signifie que les données personnelles de vos clients pourraient être mémorisées et restituées à d'autres utilisateurs.

Prompt injection et extraction de données

Un attaquant peut manipuler le chatbot via des techniques de prompt injection pour lui faire révéler des informations confidentielles : instructions système, données d'autres utilisateurs présentes dans le contexte, clés API ou configurations internes. Ce risque est particulièrement critique lorsque le chatbot a accès à une base de connaissances contenant des données personnelles (RAG — Retrieval-Augmented Generation).

Mémorisation involontaire (memorization)

Les LLM peuvent mémoriser des séquences de données d'entraînement et les restituer textuellement. Si votre chatbot a été fine-tuné sur des données contenant des informations personnelles (conversations passées, fichiers clients), ces données peuvent être extraites par des requêtes ciblées. Ce phénomène rend l'exercice du droit à l'effacement (article 17 du RGPD) particulièrement complexe avec les modèles IA.

Transfert de données hors UE

La majorité des fournisseurs de LLM sont américains et hébergent leurs modèles aux États-Unis. Chaque appel API constitue potentiellement un transfert de données hors UE au sens du chapitre V du RGPD. Depuis l'invalidation du Privacy Shield (arrêt Schrems II), ces transferts doivent être encadrés par des clauses contractuelles types (CCT) ou reposer sur le nouveau Data Privacy Framework, dont la pérennité reste incertaine. L'utilisation de modèles hébergés en UE (Mistral, OVHcloud) peut constituer une alternative plus sûre.

Checklist de conformité RGPD pour votre chatbot

Utilisez cette checklist pour évaluer et améliorer la conformité de votre chatbot IA. Chaque point correspond à une exigence réglementaire vérifiable.

  1. 1Identifier toutes les données personnelles collectées par le chatbot (saisies, métadonnées, cookies, logs de conversation)
  2. 2Déterminer et documenter la base légale applicable (consentement, intérêt légitime, exécution contractuelle) au sens de l’article 6 du RGPD
  3. 3Rédiger une politique de confidentialité spécifique au chatbot, accessible avant la première interaction
  4. 4Implémenter un mécanisme de consentement explicite si le chatbot traite des données sensibles ou réalise du profilage
  5. 5Réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) conformément à l’article 35 du RGPD
  6. 6Configurer une durée de rétention des conversations et mettre en place la suppression automatique à expiration
  7. 7Vérifier que le fournisseur LLM ne réentraîne pas ses modèles sur les données de vos utilisateurs (opt-out contractuel)
  8. 8S’assurer que les transferts de données hors UE sont encadrés par des clauses contractuelles types (CCT) ou une décision d’adéquation
  9. 9Implémenter un mécanisme d’exercice des droits (accès, rectification, suppression, portabilité) directement dans l’interface du chatbot
  10. 10Tester régulièrement la résistance du chatbot aux attaques par prompt injection et aux fuites de données personnelles

RGPD et EU AI Act : la double conformité

Depuis l'entrée en vigueur du Règlement européen sur l'intelligence artificielle (EU AI Act), les entreprises déployant des chatbots IA doivent respecter deux cadres réglementaires complémentaires. Le RGPD protège les données personnelles, tandis que l'AI Act encadre les systèmes d'IA selon leur niveau de risque.

Un chatbot utilisé pour du support client sera généralement classé en risque limité par l'AI Act, avec une obligation principale de transparence : l'utilisateur doit savoir qu'il interagit avec une IA. En revanche, un chatbot utilisé pour du triage médical, du scoring crédit ou de la sélection de candidatures relèvera du risque élevé, avec des obligations renforcées : gestion des risques, qualité des données, supervision humaine, documentation technique complète et enregistrement dans la base de données européenne.

Les deux réglementations se renforcent mutuellement. L'AIPD du RGPD (article 35) et l'évaluation de conformité de l'AI Act partagent des exigences communes : analyse des risques, mesures de protection, documentation, gouvernance. Une approche intégrée permet d'éviter les doublons et de couvrir les deux cadres simultanément.

La directive NIS2 ajoute une couche supplémentaire pour les entreprises des secteurs essentiels et importants, avec des obligations de sécurité des systèmes d'information qui s'appliquent également aux chatbots connectés au SI de l'entreprise. La conformité doit être pensée de manière globale.

Comment Laucked peut vous aider

Chez Laucked, nous combinons audit de sécurité IA et test d'intrusion (pentest) pour évaluer la conformité et la sécurité de vos chatbots de manière exhaustive.

Audit IA & conformité

Cartographie des données traitées, vérification de la base légale, analyse des flux de données vers les fournisseurs LLM, revue des contrats sous-traitant, accompagnement AIPD. Nous vérifions la conformité RGPD et AI Act de bout en bout.

Pentest chatbot IA

Tests de prompt injection, tentatives d'extraction de données, contournement des filtres de sécurité, analyse de la surface d'attaque API. Notre approche couvre les risques spécifiques aux LLM identifiés par l'OWASP Top 10 for LLM Applications.

Notre approche combinée permet d'identifier à la fois les failles techniques exploitables et les manquements réglementaires, avec un rapport unique contenant un plan de remédiation priorisé par niveau de risque.

Votre chatbot est-il conforme au RGPD ?

Ne laissez pas votre chatbot IA devenir un risque juridique et sécuritaire. Laucked audite la conformité RGPD et la sécurité de vos systèmes d'IA avec une approche combinée audit + pentest, adaptée aux PME et ETI françaises.

Demander un audit chatbot IADécouvrir notre offre audit IA

Sources et références

  • Règlement (UE) 2016/679 — RGPD (EUR-Lex)
  • Chatbot IA : les conseils de la CNIL (cnil.fr)
  • Règlement (UE) 2024/1689 — EU AI Act (EUR-Lex)
  • Directive NIS2 — UE 2022/2555 (EUR-Lex)
  • OWASP Top 10 for LLM Applications (owasp.org)
LAUCKED

Diagnostic de surface, pentest expert et Guard pour les PME exposées au web, aux API et aux intégrations sensibles.

Bât. Gamma, 11 Bd Déodat de Séverac

31770 Colomiers (Toulouse)

+33 7 43 58 07 38
6 certifications et qualifications →

Produit

  • Pentest PME
  • Pentest Toulouse
  • Pentest Lyon
  • Pentest Bordeaux
  • Pentest Marseille
  • Pentest Montpellier
  • Pentest Nantes
  • Conformité
  • Méthodologie
  • Tarifs
  • Sécurité

Ressources

  • Blog
  • Références
  • Presse
  • Changelog
  • Statut

Entreprise

  • Pourquoi Laucked
  • Centre de confiance
  • Auteur
  • Contact
© 2026 Laucked. Tous droits réservés.
Politique de confidentialitéConditions d'utilisationAddendum de traitement des données