BLOG Innovation
Retour
29/03/2021

> Actualité droit de la propriété industrielle et intellectuelle

Chatbot et Cookies : la question des consentements préalables : recommandations de la CNIL

chatbot, cookies, consentement préalable
Crédits photo : Shutterstock
Des cookies sont fréquemment déposés dans les logiciels de Chabot pour assurer leur continuité technique et conserver un historique de conversation.
Ce dépôt est clairement encadré par la Loi et les recommandations de la Cnil, limpides. L’élément crucial est de savoir à quel moment est déposé le cookie : préalablement ou bien simultanément à l’activation du Chatbot par... l’internaute.



Définition du Chatbot

Les agents conversationnels (ou chatbots) sont des logiciels permettant le dialogue d’un utilisateur avec un programme destiné à lui fournir des informations. Ils servent à apporter des réponses aux questions les plus fréquentes, tout en dispensant cette information d’une manière ciblée, pertinente et interactive. Pour cela, des données personnelles sont souvent traitées, par exemple pour conserver une trace de la conversation, même si le service est disponible sans créer de compte ou sans fournir d’informations directement identifiantes.



Chatbot et données personnelles

Le responsable de traitement ou le sous-traitant mettant en place un chatbot doit prêter une attention particulière aux enjeux pour les droits et libertés des personnes, avec l’aide de son délégué à la protection des données s’il en a désigné un.

Afin d’assurer la continuité technique du chatbot ou de garder un historique de la conversation entre les différentes pages du site où il est présent, un cookie est fréquemment déposé et lu sur le terminal de l’utilisateur. Une telle action est encadrée par l’article 82 de la loi Informatique et Libertés, sur lequel la CNIL a publié des lignes directrices et des recommandations.

Deux possibilités s’offrent à l’opérateur du chatbot :

- Soit l’opérateur souhaite pouvoir déposer un cookie préalablement à l’activation du chatbot. Il doit, dans ce cas, obtenir le consentement préalable de l’utilisateur, qui doit être libre, spécifique, éclairé et univoque ;

- Soit le cookie n’est déposé qu’à l’activation du chatbot par l’utilisateur (par exemple, en cliquant sur la fenêtre de conversation préalablement affichée, ou en cliquant sur un bouton déclenchant explicitement l’ouverture du chatbot).  Il est alors « strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » et ne requiert pas donc pas de recueillir le consentement de celui-ci. Cette exemption n’est mobilisable que si le traceur ne sert qu’à la fourniture du chatbot : toute autre finalité lui étant rattachée nécessitera le consentement de l’utilisateur.



Durée de conservation des données

Selon la CNIL, les données collectées par le chatbot doivent être conservées pour la durée nécessaire pour atteindre la finalité du traitement, définie par le responsable de traitement.

Autrement dit, il faudra distinguer les cas où les données devraient être effacées dès la fin de la conversation (comme dans le cas d’un chatbot aidant à un acte d’achat) des cas où le responsable de traitement peut légitimement conserver ces données pour une durée plus longue (par exemple pour une réclamation sur un produit acheté).


Décisions automatisées par Chatbot

Une conversation avec un chatbot sans intervention humaine ne peut conduire à elle seule à des décisions importantes pour la personne concernée, telles que le refus d’une demande de crédit en ligne, l’application de tarifs plus élevés ou l’impossibilité de présenter une candidature à un poste. Cette conversation peut, en revanche, s’inscrire dans un processus plus large qui comprendrait une intervention humaine significative.

En effet, la prise de décision automatisée, lorsqu’elle a des conséquences juridiques ou affectant significativement, et de manière similaire, une personne est interdite par l’article 22 du RGPD, à moins d’avoir mis en place des mesures permettant de sauvegarder les droits, les libertés et les intérêts de la personne concernée (au minimum un moyen permettant à la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision) et en dehors des exceptions suivantes : i) la personne a donné son consentement explicite ; ii) la décision est nécessaire à l’exécution d’un contrat entre la personne et le responsable de traitement ; iii) la décision est autorisée par le droit de l’Union européenne ou le droit d’un État membre.

Recommandations CNIL du 19/02/2021

« Réalisé avec le concours de la plateforme juridique IP World » ; partenaire d’IP Stream.