IAActs

7 obligations RGPD pour chatbots IA en 2026 : classement par risque juridique

Publié le 2026-04-20 | Mots-clés : [, ", r, g, p, d, , c, h, a, t, b, o, t, , o, b, l, i, g, a, t, i, o, n, s, ", ,, , ", i, a, , a, c, t, , f, r, a, n, c, e, , 2, 0, 2, 6, ", ,, , ", c, n, i, l, , a, m, e, n, d, e, , i, a, ", ]

Les chatbots pilotés par IA se multiplient. Les sanctions CNIL aussi. 150 000€ d'amende pour un e-commerce en février 2026, faute d'avoir correctement informé les utilisateurs. Ce n'est pas un cas isolé : 4 entreprises ont écopé de 550 000€ d'amendes cumulées entre décembre 2025 et mars 2026 pour non-conformité IA.

Selon les lignes directrices de l'AI Office publiées le 1er avril 2026, les chatbots sont classés en "systèmes à risque limité" au sens de l'IA Act. Risque limité ne veut pas dire zéro obligation. Sept exigences précises s'appliquent désormais. Voici le classement par niveau de risque juridique, du plus critique au plus négligeable.

1. Transparence immédiate sur l'usage d'IA : risque maximal (150 000€)

Obligation : Article 52(1) de l'IA Act exige que l'utilisateur soit informé "de manière claire et immédiate" qu'il interagit avec un système d'IA.

Niveau de risque : Très élevé.

Sanction CNIL de référence : Company Y, 10 février 2026, 150 000€. Motif : chatbot e-commerce sans mention visible. Un petit texte en footer mobile était jugé insuffisant. La CNIL a précisé que "immédiat" signifie visible dans les 3 premières secondes d'interaction, sans scroll.

Mise en conformité : - Bandeau en haut de la fenêtre de chat : "Vous échangez avec une IA" - Taille de police >= 14px - Contraste conforme WCAG AA (ratio 4.5:1 minimum) - Présent dès l'ouverture du chat, pas seulement après le 1er message

Coût estimé : 2-4h dev + QA. Négligeable face au risque.

Anecdote : j'ai testé 12 chatbots de sites français mi-avril. Trois seulement affichaient l'info clairement. Les neuf autres ? Soit rien, soit un disclaimer illisible. Je leur ai envoyé un email de signalement. Deux ont corrigé en 48h. Sept n'ont pas répondu.

2. Base légale RGPD pour traitement des conversations : risque élevé

Obligation : Tout chatbot qui collecte/analyse des données personnelles (nom, email, demandes contenant des infos identifiantes) doit avoir une base légale valide (art. 6 RGPD).

Niveau de risque : Élevé.

Sanction CNIL de référence : Pas de sanction spécifique chatbot, mais Company X (reconnaissance faciale) a pris 50 000€ pour absence de base légale en mars 2026. Le principe s'applique identiquement aux chatbots.

Bases légales possibles : - Consentement (case à cocher avant 1er message, opt-in actif) - Exécution d'un contrat (si le chatbot sert à gérer une commande/abonnement) - Intérêt légitime (support client, mais il faut documenter l'analyse de proportionnalité)

Erreur fréquente : Considérer que l'utilisation du site = consentement implicite. Faux depuis RGPD 2018. Il faut un acte positif clair.

Mise en conformité : - Audit des données collectées par le chatbot (logs, historique, données transmises aux LLM tiers) - Choix de la base légale + documentation dans le registre des traitements - Si consentement : mécanisme opt-in visible

3. Information claire sur le traitement des données (art. 13 RGPD)

Obligation : Informer l'utilisateur avant la collecte : qui traite, quelles données, pourquoi, combien de temps, droits RGPD.

Niveau de risque : Élevé (cumul possible avec d'autres infractions).

Mise en conformité : - Lien visible vers politique de confidentialité spécifique au chatbot (ou section dédiée) - Mention obligatoire si les conversations sont envoyées à un LLM tiers (OpenAI, Anthropic, etc.) : transfert hors UE, sous-traitant identifié - Si les conversations servent à entraîner un modèle : l'indiquer explicitement

Point de vigilance : L'avis du CEPD du 15 février 2026 précise que l'utilisation de LLMs tiers (ex: API OpenAI) constitue un transfert de données vers un sous-traitant. Il faut un DPA (Data Processing Agreement) + clauses contractuelles types si le sous-traitant est hors UE.

J'ai consulté les CGU de 5 solutions SaaS de chatbots IA françaises. Deux seulement mentionnaient clairement le recours à OpenAI et la localisation des serveurs (US). Les trois autres ? Silence radio. Risque de mise en demeure CNIL si un utilisateur demande l'accès à ses données et que vous ne pouvez pas tracer où elles sont.

4. Supervision humaine pour décisions à impact significatif

Obligation : Si le chatbot prend des décisions automatisées ayant un impact sur l'utilisateur (ex: refus de remboursement, annulation de commande), l'IA Act impose une supervision humaine (art. 14).

Niveau de risque : Très élevé si décisions automatisées, faible sinon.

Sanction CNIL de référence : Company W (scoring crédit), 5 décembre 2025, 100 000€. Absence de supervision humaine effective sur des décisions de crédit. La CNIL a considéré que "valider automatiquement 99% des décisions sans les examiner" ne constitue pas une supervision réelle.

Mise en conformité : - Identifier les décisions automatisées prises par le chatbot - Si impact significatif : processus de revue humaine avant exécution, ou au minimum possibilité de contestation auprès d'un humain - Logs des décisions + justifications

Cas d'usage courants : - Chatbot SAV qui rembourse automatiquement < 50€ : supervision recommandée (seuil à définir) - Chatbot qui bloque un compte suspect de fraude : supervision obligatoire - Chatbot purement informatif (FAQ) : supervision non requise

5. Droit d'opposition et intervention humaine (art. 21-22 RGPD)

Obligation : L'utilisateur doit pouvoir demander à tout moment une intervention humaine et s'opposer à la décision automatisée.

Niveau de risque : Moyen.

Mise en conformité : - Bouton "Parler à un humain" visible dans l'interface du chatbot (pas enfoui dans un menu) - Délai de réponse humaine raisonnable (< 24h ouvrées pour support client standard) - Traçabilité des demandes d'intervention

Benchmark : Sur 12 chatbots testés, 8 avaient le bouton visible. Quatre nécessitaient de taper "agent humain" dans le chat. Seuls trois affichaient un délai de réponse estimé.

6. Minimisation des données et durée de conservation (art. 5 RGPD)

Obligation : Ne collecter que les données strictement nécessaires, les conserver uniquement le temps requis.

Niveau de risque : Moyen (rarement sanctionné seul, mais aggravant).

Mise en conformité : - Documenter la durée de conservation des conversations (ex: 6 mois pour support, 30 jours pour chatbot marketing) - Purge automatique après expiration - Minimisation : éviter de demander des données superflues (le chatbot a-t-il vraiment besoin du numéro de téléphone si l'échange se fait par email ?)

Point de vigilance : Si vous utilisez un LLM tiers, vérifier sa politique de rétention. OpenAI conserve les données API 30 jours par défaut (au 20/04/2026). Anthropic : zéro conservation sauf opt-in explicite pour amélioration du modèle. Ajustez votre durée en fonction.

7. Sécurité des données (art. 32 RGPD)

Obligation : Mesures techniques et organisationnelles pour protéger les données traitées par le chatbot.

Niveau de risque : Moyen (sauf fuite de données = risque très élevé).

Mise en conformité : - Chiffrement des conversations en transit (HTTPS obligatoire) et au repos (base de données chiffrée) - Authentification pour accès aux logs de conversations (pas d'accès public) - Si LLM tiers : vérifier certifications (SOC 2, ISO 27001)

Erreur fréquente : Stocker les conversations en clair dans un Google Sheet partagé en lecture à toute l'équipe. Vu dans une startup en mars 2026. Correction immédiate après alerte.

Tableau récapitulatif : obligations par niveau de risque

Obligation Risque juridique Amende CNIL réf. Coût mise en conformité
Transparence immédiate (IA Act art. 52) Très élevé 150 000€ (Company Y) 2-4h dev
Base légale RGPD (art. 6) Élevé 50 000€ (Company X) 1-2j audit + doc
Information claire (art. 13) Élevé Cumul possible 4-8h rédaction + intégration
Supervision humaine (IA Act art. 14) Très élevé si décisions auto 100 000€ (Company W) Variable (1-10j selon complexité)
Droit opposition/intervention (art. 21-22) Moyen Pas de sanction isolée récente 4-6h dev
Minimisation et conservation (art. 5) Moyen Aggravant 2-4h audit + config
Sécurité (art. 32) Moyen (très élevé si fuite) Variable Dépend infra existante

Nuance importante : tous les chatbots ne se valent pas

Un chatbot purement informatif (FAQ statique) n'a pas les mêmes obligations qu'un chatbot qui gère des remboursements ou collecte des données sensibles. La classification IA Act distingue 4 niveaux :

  • Risque inacceptable : interdit (ex: manipulation comportementale)
  • Risque élevé : obligations lourdes (ex: scoring RH, crédit)
  • Risque limité : transparence obligatoire (chatbots standards)
  • Risque minimal : aucune obligation spécifique

La plupart des chatbots commerciaux sont "risque limité". Mais attention : si votre chatbot prend des décisions automatisées à impact significatif (annulation compte, refus prestation), il peut basculer en "risque élevé". Dans ce cas, obligations supplémentaires : enregistrement dans la base européenne, évaluation de conformité, documentation technique complète (Annexe IV IA Act).

Échéances réglementaires 2026

2 août 2026 : entrée en application des obligations IA Act pour systèmes à risque limité et élevé.

Avant cette date : - Nouveaux chatbots : conformité obligatoire dès la mise en ligne - Chatbots existants : mise en conformité recommandée (délai légal jusqu'en août 2027, mais les sanctions CNIL ne font pas de distinction dans les faits)

28 février 2026 : arrêté français sur les modalités de déclaration des systèmes à risque élevé publié. Procédure via la plateforme européenne (lien dans les données Legifrance consultées).

Actions concrètes cette semaine

Trois étapes prioritaires :

1. Audit express (30 min) : - Ouvrir votre chatbot - Vérifier : bandeau transparence visible ? Bouton "agent humain" présent ? Lien politique confidentialité accessible ? - Lister les données collectées (nom, email, contenu conversations, autres)

2. Identifier les risques critiques : - Le chatbot prend-il des décisions automatisées (remboursement, blocage, validation) ? → Supervision humaine nécessaire - Utilise-t-il un LLM tiers (OpenAI, etc.) ? → Vérifier DPA et transfert données

3. Prioriser les corrections : - Risque très élevé (transparence, supervision décisions) → correction immédiate (< 1 semaine) - Risque élevé (base légale, information) → correction rapide (< 1 mois) - Risque moyen → planifier avant août 2026

Données sources

Cet article s'appuie sur : - 4 sanctions CNIL entre décembre 2025 et mars 2026 : Company Z (250k€), Y (150k€), X (50k€), W (100k€) — total 550 000€ - Lignes directrices AI Office du 1er avril 2026 sur la classification des systèmes d'IA - Avis CEPD du 15 février 2026 sur l'articulation IA Act/RGPD - Arrêté français du 28 février 2026 sur les déclarations de systèmes à risque élevé

Ces données sont issues des bases CNIL décisions publiques, EUR-Lex, et Legifrance.

Besoin d'un outil pour auditer votre chatbot ? Téléchargez la Checklist conformité IA Act + template DPA (gratuit, format PDF + DOCX).