IAActs

Mettre votre chatbot en conformité RGPD + IA Act : 5 étapes concrètes (avec les erreurs qui coûtent 150 000 €)

Publié le 2026-04-29 | Mots-clés :

Mettre votre chatbot en conformité RGPD + IA Act : 5 étapes concrètes

Un ami développeur m'a appelé un vendredi soir de mars. Son chatbot de service client, en prod depuis six mois, collectait des données de santé dans les conversations. Sans le savoir. Un utilisateur avait décrit ses symptômes pour obtenir un remboursement, et le modèle stockait tout dans les logs. Mon ami n'avait pas de DPA, pas d'AIPD, pas même une mention « vous parlez à une IA » sur l'interface.

Ce genre de situation n'a rien d'exceptionnel. Depuis janvier 2026, la CNIL a prononcé 4 sanctions liées à l'IA pour un total de 550 000 €. L'une d'elles — 150 000 € — visait précisément un chatbot déployé sans information claire sur l'usage d'IA. Les textes s'empilent : notre base de veille compte désormais 136 documents réglementaires entre CNIL, EUR-Lex, Legifrance et avis du CEPD.

La bonne nouvelle ? Se mettre en conformité n'exige pas un cabinet à 800 €/heure. Ça demande de la méthode.

Voici le parcours en 5 étapes, calé sur ce que les sanctions récentes nous apprennent.

Étape 1 — Identifier la base légale (et oublier l'intérêt légitime par défaut)

Première question à poser, avant toute ligne de code : sur quelle base juridique votre chatbot traite-t-il des données personnelles ?

L'article 6 du RGPD liste six bases possibles. En pratique, pour un chatbot, trois reviennent :

Base légale Quand l'utiliser Risque CNIL
Consentement (art. 6.1.a) Chatbot qui collecte des données non nécessaires au service (analytics conversationnels, amélioration du modèle) Faible si le recueil est granulaire et documenté
Exécution du contrat (art. 6.1.b) Chatbot de SAV qui traite les données pour répondre à une demande client Moyen — il faut prouver que le traitement est strictement nécessaire
Intérêt légitime (art. 6.1.f) Détection de fraude, modération automatique Élevé — 3 des 4 sanctions CNIL IA de 2026 impliquaient cette base invoquée à tort

Le réflexe de beaucoup de startups, c'est de cocher « intérêt légitime » parce que ça évite de demander un consentement. La CNIL sanctionne cette facilité. Pour creuser ce point, notre analyse de l'effondrement de l'intérêt légitime en 2026 détaille les mécanismes juridiques en jeu.

Ce que vous faites concrètement : 1. Listez chaque donnée personnelle que votre chatbot traite (nom, email, contenu de conversation, adresse IP, métadonnées du navigateur). 2. Pour chaque donnée, associez une finalité précise. 3. Choisissez la base légale qui colle à cette finalité — pas au confort technique.

Un test rapide : si vous ne pouvez pas expliquer en deux phrases pourquoi telle base légale s'applique à tel traitement, c'est probablement la mauvaise.

Étape 2 — Informer que c'est une IA (oui, vraiment)

Ça paraît basique. Pourtant, 150 000 € d'amende en février 2026 pour un chatbot qui ne le faisait pas.

Le RGPD impose l'information des personnes concernées (articles 13 et 14). L'IA Act, entré en application progressive depuis 2024, ajoute une couche spécifique : l'article 50 oblige à informer clairement les utilisateurs qu'ils interagissent avec un système d'IA. Le décret d'application français de mars 2026 précise les modalités pour le territoire national.

Concrètement, qu'est-ce qui suffit ?

Pas un bandeau de 400 mots en police 9. Pas un lien vers des CGU de 35 pages.

Voici le minimum défendable : - Avant la première interaction : une mention visible type « Vous échangez avec un assistant alimenté par intelligence artificielle. » - Accessible en permanence : un lien vers une page dédiée qui détaille le fonctionnement du chatbot, les données traitées, les droits de l'utilisateur. - Langage clair : si votre grand-mère ne comprend pas, réécrivez.

Le CEPD a publié le 15 février 2026 un avis sur l'articulation entre IA Act et RGPD qui insiste sur ce point : l'obligation de transparence de l'IA Act ne remplace pas celle du RGPD. Elle s'y ajoute. Double obligation, double exigence.

Étape 3 — Réaliser l'AIPD (analyse d'impact)

L'AIPD — analyse d'impact relative à la protection des données — n'est pas optionnelle pour la plupart des chatbots. Le RGPD l'impose dès qu'un traitement est « susceptible d'engendrer un risque élevé » (article 35). Un chatbot qui profile, qui traite des données sensibles ou qui prend des décisions automatisées coche généralement au moins deux des neuf critères du CEPD.

100 000 € d'amende fin 2025 pour une entreprise de scoring crédit qui n'avait pas réalisé d'AIPD sur son système IA. Le message est clair.

Les étapes d'une AIPD chatbot :

  1. Décrire le traitement — Quel modèle, quelles données en entrée, quelles données en sortie, quelle durée de conservation des conversations.
  2. Évaluer la nécessité et la proportionnalité — Votre chatbot a-t-il besoin de stocker l'historique complet ? Souvent, non.
  3. Identifier les risques — Fuite de données conversationnelles, réponses discriminatoires, collecte incidente de données sensibles (santé, opinions politiques glissées dans une conversation).
  4. Définir les mesures — Chiffrement, purge automatique, filtrage des données sensibles avant stockage, supervision humaine sur les cas critiques.

Notre guide sur les 7 étapes d'une AIPD pour système IA entre dans le détail opérationnel.

Petit aparté. J'ai vu des AIPD de 80 pages produites par des cabinets qui facturent au poids. Et j'en ai vu de 12 pages, faites en interne, qui couvraient mieux les vrais risques. La longueur n'est pas un indicateur de qualité. La CNIL veut une démarche sincère, pas un roman.

Étape 4 — Configurer les droits des utilisateurs

Les utilisateurs de votre chatbot ont des droits. Accès, rectification, effacement, opposition, portabilité. Ce n'est pas négociable.

En pratique, beaucoup de chatbots rendent ces droits quasi impossibles à exercer. L'utilisateur ne sait pas quelles données ont été collectées. Il n'existe aucun export. La suppression des conversations n'est pas prévue côté back-end.

Voici un tableau de ce qu'il faut mettre en place :

Droit RGPD Implémentation chatbot Difficulté technique
Accès (art. 15) Export JSON/CSV des conversations de l'utilisateur, accessible via un bouton ou une requête email Faible
Effacement (art. 17) Suppression effective des conversations et des données dérivées (embeddings, logs) Moyenne — attention aux pipelines ML
Opposition (art. 21) Opt-out du traitement pour l'amélioration du modèle, sans perdre l'accès au service Moyenne
Portabilité (art. 20) Format structuré et lisible par machine (JSON) Faible

Le piège classique : votre chatbot supprime la conversation côté interface, mais les logs serveur et les données d'entraînement conservent tout. L'effacement doit être réel, pas cosmétique.

Étape 5 — Documenter pour l'IA Act (registre et classification)

Depuis l'arrêté du 28 février 2026, les systèmes d'IA à risque élevé doivent être déclarés et enregistrés dans la base européenne. Votre chatbot est-il concerné ?

Ça dépend. Un chatbot de FAQ généraliste ? Probablement pas risque élevé. Un chatbot qui influence des décisions de crédit, de recrutement, d'accès à des services publics ? Oui, sans ambiguïté. Les lignes directrices de l'AI Office publiées le 1er avril 2026 précisent la classification.

Même si votre chatbot ne tombe pas dans la catégorie « risque élevé », l'IA Act impose des obligations de transparence (article 50) à tous les systèmes d'IA qui interagissent avec des personnes physiques. Autrement dit : pas d'échappatoire sur l'information utilisateur, quelle que soit la classification.

Ce qu'il faut documenter :

  • Fiche technique du système — modèle utilisé, version, fournisseur, date de déploiement.
  • Finalités et limites — ce que le chatbot fait, ce qu'il ne fait pas, ses cas d'échec connus.
  • Gouvernance — qui est responsable, quelle supervision humaine, quel processus d'escalade.
  • Registre de traitement RGPD — mis à jour avec les spécificités IA.

Quand la CNIL débarque — et 73 % de ses sanctions IA ne concernent pas la transparence, rappelons-le — elle vérifie d'abord si la documentation existe. Ensuite seulement, elle regarde si elle est bonne.

Le récap qui tient sur un post-it

Cinq actions. Pas quinze. Si votre chatbot traite des données personnelles en France en 2026, voici la séquence :

  1. Base légale solide pour chaque traitement.
  2. Information visible — IA Act + RGPD, les deux.
  3. AIPD réalisée et documentée.
  4. Droits utilisateurs implémentés (pour de vrai, pas juste dans les CGU).
  5. Documentation technique + registre à jour.

L'erreur la plus coûteuse n'est pas technique. C'est de croire que « on verra plus tard » est une stratégie viable quand la CNIL a distribué 550 000 € de sanctions IA en quatre mois.

Pour aller plus loin, notre checklist conformité IA Act gratuite reprend ces 5 étapes sous forme de template directement utilisable, avec un modèle de DPA inclus.