Rédiger la fiche de transparence de votre chatbot IA : le guide en 5 étapes

Un fondateur SaaS a reçu un courrier de la CNIL en février 2026. Montant : 150 000 €. Le motif tenait en une ligne : chatbot déployé sans information claire sur l'usage d'intelligence artificielle. Pas de faille de sécurité, pas de fuite de données. Juste un manque de transparence.

Ce cas m'a frappé parce que le chatbot en question fonctionnait bien. Les utilisateurs étaient satisfaits. Mais personne — ni le fondateur, ni son dev, ni même son avocat généraliste — n'avait pensé à rédiger une fiche de transparence. Ce document qui explique à l'utilisateur qu'il parle à une machine, ce qu'on fait de ses données, et pourquoi.

Depuis décembre 2025, la CNIL a prononcé 4 sanctions liées à l'IA, pour un total de 550 000 €. La transparence revient dans trois dossiers sur quatre. L'IA Act (Règlement UE 2024/1689), applicable depuis août 2025 sur ses premières dispositions, impose lui aussi une obligation d'information pour tout système interagissant avec des humains.

Autrement dit : si votre chatbot ne dit pas clairement qu'il est une IA, vous êtes exposé. Voici comment rédiger cette fameuse fiche, étape par étape.

Étape 1 — Identifier ce que votre chatbot traite réellement

Avant d'écrire quoi que ce soit, faites l'inventaire. Pas dans votre tête — sur papier (ou tableur, soyons réalistes).

Posez-vous trois questions : - Quelles données l'utilisateur saisit-il dans le chat ? (texte libre, parfois nom, email, numéro client…) - Le chatbot stocke-t-il les conversations ? Combien de temps ? - Y a-t-il un transfert vers un sous-traitant (API OpenAI, Mistral, serveur US) ?

Un ami DPO m'a raconté qu'en auditant un chatbot RH, il avait découvert que les conversations transitaient par un serveur à Singapour. Le fondateur l'ignorait. Son prestataire technique n'avait pas jugé utile de le mentionner.

Ce n'est pas anecdotique. La CNIL vérifie les flux de données, pas uniquement l'interface.

Étape 2 — Rédiger la mention d'interaction IA (obligatoire IA Act)

L'article 50 du Règlement UE 2024/1689 est limpide : tout système qui interagit directement avec un humain doit signaler sa nature artificielle. Pas enterré dans des CGU de 40 pages. De manière visible, au moment de l'interaction.

Concrètement, votre chatbot doit afficher un message du type :

« Vous échangez avec un assistant automatisé alimenté par intelligence artificielle. Un conseiller humain est disponible sur demande. »

Trois éléments non négociables : 1. Le mot « intelligence artificielle » ou « IA » doit apparaître 2. L'information doit être visible avant ou au début de l'échange 3. L'utilisateur doit pouvoir accéder à un humain (quand le contexte le justifie)

Beaucoup de chatbots affichent « Je suis votre assistant virtuel ». C'est insuffisant. « Virtuel » n'est pas « artificiel ». La CNIL a explicitement pointé cette ambiguïté dans sa décision de février 2026.

Étape 3 — Construire la section RGPD de votre fiche

Le RGPD exige des informations précises. Voici ce que votre fiche de transparence doit contenir au minimum — et ce que la plupart des entreprises oublient :

Rubrique	Ce que vous devez indiquer	Erreur fréquente
Responsable de traitement	Raison sociale, adresse, contact DPO	Mettre juste « l'entreprise » sans coordonnées
Finalité	Pourquoi vous collectez ces données (support client, qualification lead…)	Finalité vague : « améliorer nos services »
Base légale	Consentement, intérêt légitime ou exécution d'un contrat	Aucune base légale mentionnée
Durée de conservation	Combien de temps les conversations sont stockées	Pas de durée, ou « indéfiniment »
Transferts hors UE	Si les données passent par un serveur hors Europe	Ignorer que l'API du LLM est hébergée aux USA
Droits des personnes	Accès, rectification, effacement, opposition	Formulaire de contact introuvable

Ce tableau n'est pas décoratif. Chaque ligne correspond à un article du RGPD (articles 13 et 14). La sanction de 100 000 € infligée en décembre 2025 pour un scoring crédit mentionnait l'absence totale d'information sur la durée de conservation.

Étape 4 — Ajouter l'analyse d'impact quand c'est nécessaire

Tous les chatbots ne requièrent pas une AIPD (analyse d'impact relative à la protection des données). Mais si votre chatbot fait du profilage, traite des données sensibles ou concerne des personnes vulnérables, c'est obligatoire.

Comment savoir ? Règle simple :

Si votre chatbot prend ou prépare une décision qui affecte l'utilisateur (recommandation de crédit, tri de candidatures, orientation médicale), vous devez réaliser une AIPD. Point.

La CNIL propose d'ailleurs son outil PIA (Privacy Impact Assessment), téléchargeable gratuitement. Et depuis début 2026, le projet PANAME teste un outil d'audit RGPD spécifiquement conçu pour les modèles d'IA — un signal fort de la direction que prend le régulateur.

Si vous hésitez, faites l'AIPD quand même. Personne n'a jamais été sanctionné pour avoir fait trop de conformité. L'inverse, en revanche…

Étape 5 — Publier, rendre accessible, et mettre à jour

Une fiche de transparence qui dort dans un Google Doc interne ne sert à rien.

Voici où la placer : - Lien direct dans l'interface du chatbot (avant ou pendant la conversation) - Page dédiée sur votre site (pas noyée dans la politique de confidentialité) - Accessible en un clic maximum depuis le widget chat

Et surtout : mettez-la à jour. Si vous changez de fournisseur LLM, si vous modifiez la durée de conservation, si vous ajoutez un nouveau cas d'usage — la fiche doit suivre. L'article 5 du RGPD impose que les informations soient « exactes et tenues à jour ». Un document daté de 2024 pour un chatbot refondu en 2026, c'est un signal d'alarme pour un contrôleur CNIL.

Le piège que tout le monde sous-estime

Je vais être direct. Le plus gros risque, ce n'est pas la rédaction de la fiche. C'est de croire qu'un modèle copié-collé suffit.

Chaque chatbot est différent. Celui qui fait du support technique ne traite pas les mêmes données que celui qui qualifie des leads B2B ou celui qui pré-trie des CV. La fiche doit refléter votre réalité, pas un template générique.

D'ailleurs, si vous avez lu le récit du fondateur SaaS sanctionné, vous savez que son chatbot avait bien une politique de confidentialité. Générique. Copiée d'un concurrent. La CNIL n'a pas été impressionnée.

172 textes réglementaires encadrent aujourd'hui le numérique et l'IA en France et en Europe. Personne ne vous demande de tous les lire. Mais sur la transparence chatbot, les exigences sont claires, documentées, et sanctionnées.

Pour aller plus loin

Notre analyse des 550 000 € d'amendes CNIL sur l'IA détaille chaque décision. Et si vous cherchez un cas concret de scoring mal cadré, l'étude de cas sur l'amende de 100 000 € montre exactement ce qui se passe quand l'AIPD manque.

Pour démarrer votre mise en conformité maintenant, téléchargez notre checklist conformité IA Act + template DPA — c'est gratuit, et ça couvre les points essentiels de ce guide.