Réponse directe Un chatbot IA traite des données personnelles dès le premier message, et cela signifie trois choses : tu as besoin d'une base légale au titre du RGPD (généralement le consentement ou l'intérêt légitime, selon ce que fait le bot), tu dois dire clairement à l'utilisateur qu'il parle à une IA et l'informer du traitement, et tu dois contrôler où vont les données quand le fournisseur d'IA est un tiers. Rien de tout cela n'est impossible pour une PME. Mais rien de tout cela ne se résout tout seul.

Pourquoi c'est moi qui t'explique ça.

J'ai plus de 15 ans d'expérience en marketing digital, j'ai dirigé une agence catalane Google Premier Partner et je travaille maintenant comme consultant avec 4 à 6 clients par an. J'ai un master en IA à l'UCM, et une partie de mon travail consiste précisément à monter ces systèmes pour des PME : chatbots de service client, assistants d'acquisition, automatisations. Autrement dit : je ne te parle pas depuis la panique d'un titre de journal, mais depuis le terrain.

Cela dit, je ne suis pas avocat et cet article n'est pas un conseil juridique : c'est la carte pour que tu saches quoi regarder et quoi demander. Pour le cadre général de la réglementation sur l'IA, tu as l'article sur la loi IA en Espagne ; ici on va au cas concret.

D'abord : oui, ton chatbot traite des données personnelles.

Il y a une idée répandue qui fait du mal : "c'est juste un chat, on ne demande rien". Faux. Quand quelqu'un écrit à ton chatbot, tu traites déjà le contenu de ses messages et, très probablement, les métadonnées de la session. Et les gens écrivent des choses qu'on ne leur a pas demandées : noms, numéros de téléphone, problèmes de santé. Le chatbot ne choisit pas ce qu'on lui raconte. La question n'est donc pas "traitons-nous des données ou non". C'est "sur quelle base légale, qu'en fait-on et qui d'autre les voit".

La base légale : consentement ou intérêt légitime.

Le RGPD exige que tout traitement de données personnelles repose sur l'une des bases légales prévues à l'article 6 du Règlement. Pour un chatbot, le débat pratique se situe généralement entre deux d'entre elles.

Le consentement. L'utilisateur accepte de façon libre, éclairée et non ambiguë que tu traites ses données pour une finalité précise. C'est la voie naturelle quand le chatbot fait de la captation : s'il demande nom et adresse e-mail pour envoyer une proposition, le consentement doit être explicite et enregistrable, comme pour n'importe quel formulaire.

L'intérêt légitime. Il peut couvrir des traitements que l'utilisateur attendrait raisonnablement dans le contexte, à condition d'avoir réalisé une balance sérieuse entre ton intérêt et les droits de la personne (le test de mise en balance que demandent l'AEPD (l'autorité espagnole de protection des données) et le Comité européen de la protection des données). Exemple typique de débat : répondre à des questions basiques de service client sans identifier l'utilisateur.

Il y a une troisième voie souvent oubliée : si le bot aide quelqu'un qui est déjà ton client, l'exécution du contrat qui vous lie peut aussi constituer la base légale (article 6.1.b). La nuance importante, là où je vois le plus d'erreurs : la base légale est liée à la FINALITÉ, pas à l'outil. Un même chatbot peut avoir deux traitements distincts (répondre à des questions et capter des leads) et chacun a besoin de sa propre base et de sa propre information. Et un classique à éviter : réutiliser les conversations pour autre chose (entraîner des modèles, créer des profils) sans base légale ni information préalable. Si un jour tu veux le faire, ça se documente avant. Pas après.

Transparence : dis que c'est une IA, et dis ce que tu fais avec les données.

Deux règles se croisent ici, souvent confondues. La première est le règlement sur l'IA (AI Act), qui impose une obligation de transparence (article 50) aux systèmes d'IA qui interagissent directement avec des personnes : l'utilisateur doit savoir qu'il parle à une machine, sauf si c'est évident d'après le contexte. Cette obligation commence à s'appliquer le 2 août 2026, ce n'est donc plus de la théorie future. En pratique : le bot se présente pour ce qu'il est dès le premier message. Pas question de faire croire que c'est la chargée de compte du service commercial.

La seconde est le RGPD, qui t'oblige à informer la personne sur le traitement : responsable, finalités, durée de conservation, droits et comment les exercer (le contenu des articles 13 et 14), une obligation que l'AEPD recommande d'appliquer par couches dans les interfaces conversationnelles.

La bonne nouvelle : les deux se règlent avec le même geste de conception. Un premier message honnête ("je suis une IA, je traite tes données pour X, voici la politique de confidentialité") avec un lien vers une politique à jour. Et curieusement, dire que c'est une IA ne fait pas peur à l'utilisateur. Ce qui lui fait peur, c'est de le découvrir après.

Minimisation : le chatbot n'a pas besoin de tout savoir.

Le RGPD demande de ne traiter que les données adéquates et nécessaires pour la finalité. Appliqué à un chatbot :

Ne demande pas ce dont tu n'as pas besoin. Si le bot répond à des questions sur les horaires, il n'a besoin du document d'identité de personne. Chaque champ que tu demandes doit pouvoir être justifié.

Mets des barrières à ce que tu ne veux pas recevoir. Un bot bien conçu coupe poliment les données sensibles ("tu n'as pas besoin de me donner ça, pour ce sujet appelle-nous") et, si le système le permet, les filtre avant de les stocker ou de les envoyer au modèle.

Décide combien de temps tu conserves les conversations, et pourquoi. "Pour toujours, au cas où" n'est pas un critère de conservation, c'est l'absence d'un critère.

Le point que presque tout le monde rate : où vont les données.

C'est là que ça devient sérieux. La plupart des chatbots pour PME fonctionnent sur des modèles tiers (OpenAI, Anthropic, Google et compagnie) : chaque message de ton client peut finir sur les serveurs de ce fournisseur. Conséquences :

Le fournisseur est ton sous-traitant. Tu as besoin d'un contrat de sous-traitance (l'article 28 du RGPD) qui encadre ce qu'il peut faire avec les données. Cela dit, le rôle du fournisseur doit être analysé au cas par cas : s'il utilise les conversations à ses propres fins, il peut agir comme responsable indépendant et non comme simple sous-traitant. Les grands fournisseurs proposent ces accords (DPA) dans leurs abonnements professionnels ; les abonnements gratuits ou grand public n'offrent souvent PAS les mêmes garanties.

Transferts hors UE. Si le fournisseur traite des données hors de l'Espace économique européen (EEE), un mécanisme de transfert valide est requis. Le cadre précis évolue dans le temps, donc pas besoin de le connaître par coeur : ce qui compte, c'est que le fournisseur te montre par écrit sur quelle base il transfère.

Entraînement avec tes données. Certains services utilisent les conversations pour entraîner des modèles selon l'abonnement souscrit. Dans les abonnements professionnels, c'est généralement désactivable ou désactivé par défaut. Vérifie-le et consigne-le.

Ma règle pratique : si un fournisseur d'IA ne peut pas te montrer son DPA ni t'expliquer où il traite les données, ce n'est pas un fournisseur pour les données de tes clients. Que le bot soit spectaculaire en démo ne change rien à ça.

Checklist avant d'activer le chatbot.

La version opérationnelle de tout ce qui précède. Avant de mettre le bot en production :

1. Finalités rédigées. Ce que fera le bot et avec quelles données. Une phrase par finalité.

2. Base légale pour chaque finalité. Consentement, intérêt légitime ou exécution du contrat, décidé et documenté.

3. Mention IA dès le premier message. L'utilisateur sait qu'il parle à une machine.

4. Informations de confidentialité accessibles depuis le chat. Couche courte plus lien vers la politique complète, à jour.

5. Minimisation appliquée au script. Le bot ne demande pas les données dont il n'a pas besoin et redirige les données sensibles vers un canal humain.

6. Contrat de sous-traitance avec le fournisseur. DPA accepté, sans entraînement avec tes conversations, localisation du traitement connue.

7. Durée de conservation définie. Combien de temps tu conserves les conversations et les leads, et qui y a accès.

8. Voie humaine toujours ouverte. Pour parler à une personne et pour exercer ses droits.

9. Registre des activités de traitement mis à jour, et évaluation de si une analyse d'impact sur la protection des données est nécessaire (obligatoire quand le traitement est susceptible d'engendrer un risque élevé pour les droits des personnes, selon les critères de l'AEPD).

10. Révision périodique. Chaque changement de finalité du bot repasse par cette liste.

L'honnêteté finale : ce n'est pas une raison de ne pas le faire.

Après avoir lu tout ça, tu peux penser que mettre en place un chatbot est un champ de mines. Ce ne l'est pas. C'est un projet avec des devoirs, comme accepter des cartes de paiement ou envoyer des newsletters. Les entreprises qui s'y prennent mal ne ratent généralement pas par mauvaise foi : elles ratent parce qu'elles allument l'outil d'abord et y réfléchissent ensuite.

Mon conseil est le même que d'habitude : ni le hype ni la paralysie. Un chatbot bien conçu, avec ces bases couvertes dès la conception, est un outil parfaitement légal et très utile. Et si ton fournisseur ou ton agence ne sait pas répondre aux questions de cette liste, la réponse n'est pas de renoncer au chatbot. C'est de changer de fournisseur.

Si tu veux le contexte général sur comment appliquer l'IA à une PME avec la tête froide, commence par le hub IA pour PME. Et si tu veux qu'on regarde ton cas, sur la page méthode j'explique comment je travaille et pourquoi je ne prends que 4 à 6 clients par an.

Questions fréquentes.

Un chatbot IA nécessite-t-il toujours le consentement de l'utilisateur ?

Pas toujours. Le consentement est l'une des bases légales possibles, mais pas la seule : selon la finalité, l'intérêt légitime peut couvrir des traitements que l'utilisateur attendrait raisonnablement, à condition d'avoir réalisé une balance des intérêts documentée. Ce qui est toujours obligatoire, en revanche, c'est d'informer l'utilisateur du traitement et de lui faire savoir qu'il parle à une IA.

Dois-je dire à l'utilisateur qu'il parle à une IA ?

Oui. Le règlement sur l'IA (AI Act) (article 50) impose une obligation de transparence aux systèmes d'IA qui interagissent avec des personnes : l'utilisateur doit savoir qu'il ne parle pas à un humain, sauf si c'est évident d'après le contexte. Cette obligation s'applique à partir du 2 août 2026 et, en pratique, se résout en présentant le bot comme assistant virtuel dès le premier message.

Puis-je utiliser ChatGPT ou un modèle similaire pour le chatbot de mon entreprise ?

Oui, mais sous conditions : tu as besoin d'un abonnement qui propose un contrat de sous-traitance (DPA), des garanties sur le lieu de traitement des données et la certitude que les conversations de tes clients ne servent pas à entraîner le modèle. Les abonnements gratuits ou grand public n'offrent généralement pas ces garanties.

Que se passe-t-il avec les données sensibles qu'un client écrit dans le chat sans qu'on le lui demande ?

Tu ne peux pas contrôler ce que les gens écrivent, mais tu peux contrôler ce que tu en fais. Un bot bien conçu ne demande jamais de données sensibles, redirige ces sujets vers un canal humain et, quand c'est techniquement possible, évite de les stocker ou de les envoyer au fournisseur du modèle. La minimisation est une décision de conception, pas une formalité administrative.

Ai-je besoin d'un avocat pour mettre en place un chatbot ?

Pour un chatbot simple de service client, avec un bon fournisseur et les points de la checklist couverts, il suffit souvent de mettre à jour la politique de confidentialité avec l'aide de ton prestataire habituel en protection des données. Si le bot traite des données sensibles, prend des décisions ayant des effets sur les personnes ou opère dans un secteur réglementé, là oui : consultation spécialisée avant de l'activer.

Tu veux mettre en place un chatbot bien fait dès le premier jour ?

30 minutes gratuites, en visio. Tu m'expliques ce que tu veux que fasse le bot et je te dis comment le concevoir pour qu'il soit utile et conforme, sans fumée ni alarmisme. Sans agenda commercial.

Réserver une séance de diagnostic