IAActs

Rendre un chatbot conforme au RGPD et à l'IA Act en 7 étapes — guide terrain après 150 000 € d'amende CNIL

Publié le 2026-05-01 | Mots-clés :

Rendre un chatbot conforme au RGPD et à l'IA Act en 7 étapes — guide terrain après 150 000 € d'amende CNIL

En février 2026, la CNIL a infligé 150 000 € d'amende à une entreprise dont le chatbot ne précisait pas aux utilisateurs qu'ils échangeaient avec une intelligence artificielle. La décision tient en trois pages. Le grief principal : absence d'information claire sur l'usage d'IA. Pas de faille de sécurité spectaculaire, pas de transfert de données hors UE. Juste un bandeau manquant et une politique de confidentialité trop vague.

Un mois avant cette sanction, j'ai accompagné une PME lyonnaise dans un audit de son chatbot support client. Leur outil tournait depuis huit mois sans le moindre avertissement côté utilisateur. Le DPO, recruté en interne depuis quatre mois, n'avait jamais entendu parler de l'article 50 du règlement IA Act. On a tout repris à zéro.

Ce guide condense les 7 étapes concrètes qui ont permis de mettre leur système en conformité — et qui s'appliquent à la quasi-totalité des chatbots déployés en France au printemps 2026.

Étape 1 : classifier le niveau de risque du chatbot selon l'IA Act

Le règlement (UE) 2024/1689 — l'IA Act — distingue quatre niveaux de risque. La plupart des chatbots conversationnels tombent dans la catégorie « risque limité ». Pas « risque élevé ». La distinction change tout en matière d'obligations.

Un chatbot qui répond à des questions sur vos horaires d'ouverture ou qui aide à naviguer un catalogue produit relève du risque limité. Un chatbot qui oriente des candidats dans un processus de recrutement ou qui évalue la solvabilité d'un client bascule en risque élevé — et les obligations se multiplient (enregistrement dans la base de données européenne, évaluation de conformité, documentation technique lourde).

Les lignes directrices publiées le 1er avril 2026 par l'AI Office de la Commission européenne précisent justement les critères de classification des systèmes à risque élevé. Elles restent le texte de référence pour trancher les cas limites.

Action concrète : remplir la grille annexe II / annexe III de l'IA Act et documenter le résultat. Si le chatbot ne figure dans aucune des catégories de l'annexe III, c'est du risque limité.

Étape 2 : informer l'utilisateur qu'il interagit avec une IA

C'est l'obligation qui a coûté 150 000 € à l'entreprise sanctionnée en février 2026. L'article 50 de l'IA Act impose une obligation de transparence pour tous les systèmes à risque limité : l'utilisateur doit savoir qu'il échange avec un système d'IA.

Concrètement, trois éléments suffisent :

  • un message visible dès le premier échange (« Ce service utilise une intelligence artificielle pour répondre à vos questions »)
  • une mention dans les CGU ou la politique de confidentialité
  • un moyen clair de demander un interlocuteur humain

Attention à la formulation. « Assistant virtuel » ne suffit pas — le CEPD, dans son avis du 15 février 2026 sur l'articulation entre IA Act et RGPD, insiste sur l'emploi explicite des termes « intelligence artificielle » ou « IA ».

Étape 3 : identifier la base légale RGPD du traitement

Le chatbot collecte des données personnelles dès qu'un utilisateur tape un prénom, un numéro de commande ou une adresse email dans la conversation. Le RGPD (règlement (UE) 2016/679) exige une base légale pour chaque traitement.

Trois bases légales sont envisageables pour un chatbot commercial :

Base légale Cas d'usage typique Avantage Contrainte principale
Consentement (art. 6.1.a) Chatbot marketing, collecte de leads Preuve de conformité solide Recueil et gestion du retrait
Intérêt légitime (art. 6.1.f) Support client, FAQ automatisée Pas de friction utilisateur Obligation de balance des intérêts documentée
Exécution du contrat (art. 6.1.b) Suivi de commande, SAV Directement lié au service Limité au strict nécessaire contractuel
Obligation légale (art. 6.1.c) Chatbot secteur réglementé (banque, santé) Imposé par la loi Champ d'application restreint

La CNIL a d'ailleurs publié un webinaire dédié à l'intérêt légitime appliqué au développement de systèmes IA, qui traite spécifiquement du webscraping et de l'entraînement des modèles. Sujet adjacent, mais les principes de balance des intérêts y sont transposables au déploiement d'un chatbot.

Étape 4 : réaliser une analyse d'impact (DPIA) si nécessaire

Tous les chatbots n'exigent pas une DPIA. Mais dès que le traitement implique du profilage, du scoring, ou un traitement à grande échelle de données sensibles, l'analyse d'impact devient obligatoire au titre de l'article 35 du RGPD.

La sanction de 100 000 € infligée en décembre 2025 à une entreprise pour un scoring crédit sans évaluation d'impact IA le confirme : la CNIL contrôle effectivement ce point.

Pour un chatbot support client classique qui ne conserve pas les conversations au-delà de la session, la DPIA n'est généralement pas requise. Mais si le chatbot alimente un CRM, entraîne un modèle sur les conversations passées, ou segmente les utilisateurs — il faut la faire. Pas de zone grise ici.

Étape 5 : encadrer la conservation et la suppression des données

C'est le point que les équipes techniques oublient le plus souvent. Un chatbot qui stocke l'intégralité des conversations « au cas où » viole le principe de limitation de la conservation (article 5.1.e du RGPD).

Deux règles à appliquer :

Définir une durée de conservation proportionnée. Pour un chatbot support, 6 à 12 mois est un ordre de grandeur courant. Au-delà, anonymiser ou supprimer.

Prévoir un mécanisme de purge automatique. Le décret n° 2024-573 sur l'IA dans l'administration publique, publié au Journal Officiel le 21 juin 2024, impose déjà des contraintes strictes de conservation pour les systèmes d'IA déployés par le secteur public. Le privé n'a pas (encore) d'obligation aussi précise, mais la jurisprudence CNIL converge dans cette direction.

Et un détail qui n'en est pas un : les logs de conversation utilisés pour le fine-tuning du modèle constituent un traitement distinct, avec sa propre base légale.

Étape 6 : organiser l'exercice des droits des personnes

Le droit d'accès, le droit à l'effacement, le droit d'opposition — tout cela s'applique aux données collectées via un chatbot. La difficulté opérationnelle vient du volume. Un chatbot à fort trafic peut générer des milliers d'échanges par jour.

Trois dispositifs à mettre en place :

Un formulaire de contact dédié (ou un email DPO) mentionné dans l'interface du chatbot. Pas enfoui dans les CGU. Visible.

Un processus interne de traitement des demandes avec un délai maximal d'un mois (article 12.3 du RGPD). La CNIL rappelle que ce délai est impératif, pas indicatif.

Une capacité technique d'extraction et de suppression ciblée. Si le chatbot tourne sur un modèle hébergé par un tiers (OpenAI, Mistral, Anthropic...), vérifier que le sous-traitant permet effectivement de supprimer les données de conversation. Les données d'entraînement, c'est encore un autre sujet — et un vrai casse-tête juridique que les obligations croisées RGPD et IA Act rendent de plus en plus complexes.

Étape 7 : documenter et auditer régulièrement

La conformité n'est pas un état, c'est un processus. Le suivi réglementaire sur l'IA s'accélère : notre veille sur 4 sources (CNIL, EUR-Lex, Legifrance, avis CEPD) a identifié 136 textes pertinents depuis le lancement du blog — dont 55 avis EDPB/CEPD et 64 publications CNIL. Le rythme ne ralentit pas.

Trois documents à maintenir à jour :

  1. Le registre des traitements (article 30 RGPD) — doit mentionner explicitement le chatbot comme traitement distinct
  2. La fiche de transparence IA Act — résumé des caractéristiques du système, de sa classification et des mesures de transparence appliquées
  3. Le contrat sous-traitant / DPA — avec le fournisseur du modèle IA, conforme à l'article 28 du RGPD

L'arrêté du 28 février 2026 sur les modalités de déclaration des systèmes d'IA à risque élevé précise les procédures d'enregistrement dans la base européenne. Si votre chatbot reste en risque limité, cet enregistrement n'est pas requis — mais la documentation interne, elle, l'est dans tous les cas.

Un audit interne semestriel suffit pour la plupart des chatbots commerciaux. Pas besoin de recourir à un cabinet externe à chaque itération du modèle. Par contre, tout changement de fournisseur ou d'architecture du chatbot justifie une revue complète. Pour un bilan de l'activité réglementaire récente, les chiffres d'avril 2026 montrent l'intensification du contrôle.

En résumé

550 000 € d'amendes CNIL liées à l'IA depuis début 2026, 4 sanctions distinctes, et un arsenal réglementaire qui se densifie chaque mois. Les chatbots ne sont pas les plus exposés — le comparatif entre sanctions chatbot et profilage RH le montre clairement. Mais 150 000 € pour un bandeau de transparence oublié, ça reste un signal.

Les 7 étapes ci-dessus ne garantissent pas l'immunité. Aucun guide ne le peut. Elles couvrent les obligations documentées à date — et c'est précisément le « à date » qui impose une veille continue.

Pour démarrer votre mise en conformité, notre checklist gratuite IA Act + template DPA regroupe les points de contrôle essentiels des étapes 2, 6 et 7 dans un format directement exploitable.