Le Règlement Général de Protection des Données (RGPD), en vigueur sur toute l’Europe depuis 2018, fait partie des normes à respecter au sein des entreprises. Entre collecte, analyse et cybersécurité des données, les enjeux de protection des données personnelles sont importants et les évolutions technologiques constantes font de cette réglementation une priorité.
Alors, callbot et RGPD sont-ils compatibles ? La réponse est oui, à condition que vous respectiez les principes fondamentaux du RGPD et que vous ajustiez votre agent virtuel intelligent aux nouveaux enjeux de l’intelligence artificielle.
Dans cet article, nous vous présentons en détail les normes en vigueur pour un callbot compatible avec le RGPD.
Principes fondamentaux du RGPD avec les callbots et autres agents conversationnels
Qu’est-ce que le RGPD ?
Le Règlement Général de Protection des Données est une réglementation européenne qui harmonise les pratiques de traitement des données dans toute l'Union européenne (UE). Appliqué depuis le 25 mai 2018, il vise à établir un cadre uniforme pour la collecte, le traitement et le stockage des données personnelles.
Le RGPD repose sur trois objectifs majeurs :
Renforcer les droits des individus.
Responsabiliser les acteurs du traitement des données.
Crédibiliser la régulation.
Grâce au RGPD, les citoyens européens bénéficient d'une protection renforcée de leurs données personnelles. Une donnée personnelle est décrite par la Commission nationale de l’informatique et des libertés (CNIL) comme « toute information se rapportant à une personne physique identifiée ou identifiable » via :
identification directe : nom, prénom, etc.
identification indirecte : identifiant, numéro, etc.
Quelles sont les règles du RGPD à suivre pour les callbots ?
Tout d’abord, il y a cinq réflexes à adopter :
Constituer un registre de ses traitements de données.
Faire le tri dans ses données.
Respecter les droits des individus : ils peuvent consulter, rectifier ou supprimer leurs données personnelles.
Sécuriser toutes les données.
Héberger son callbot et les données qu’il collecte dans la zone européenne.
Ensuite, voici les règles que votre entreprise doit respecter envers les utilisateurs :
Un consentement explicite de l’utilisateur pour collecter ses données personnelles.
Un traitement des données à durée déterminée.
Une information intelligible à l’utilisateur pour l’exploitation de ses données personnelles.
Des objectifs prédéfinis et clairs du traitement des données.
Un droit à l’oubli et à la portabilité.
N. B. : il est illégal de collecter les données personnelles via un callbot ou tout autre canal s’il s’agit de mineurs âgés de moins de 16 ans, sauf si vous avez l’accord de leur représentant légal.
L’intelligence artificielle au coeur du RGPD : ce qu’il faut savoir
L’intelligence artificielle fait partie intégrante de notre écosystème web, le RGPD a forcément été mis à jour en fonction de celle-ci. Les agents virtuels ont de nouvelles fonctionnalités propres à l’IA, notamment en matière de collecte et d’analyse des données. Aussi, les modèles d’attaque sur les systèmes d’IA sont encore peu connus. En effet, d’après la CNIL, « le volume important de données d’entraînement, tout comme la complexité de ces systèmes, augmentent la surface d’attaque et le risque de défaillance pouvant avoir des conséquences graves sur la fiabilité du système. »
Alors, comment avoir un agent virtuel conforme au RGPD, avec une IA dans l’équation ?
De nouvelles recommandations techniques et organisationnelles ont vu le jour avec le déploiement de l’IA :
Constituer une équipe de développement aux compétences pluridisciplinaires (analyse et ingénierie des données, interface et expérience utilisateur, contrôle qualité, administration des infrastructures informatiques, équipes métier), veiller à sa formation sur les bonnes pratiques de sécurité et sensibiliser aux vulnérabilités propres à l’IA.
Mettre en œuvre une procédure obligatoire pour le développement et l’intégration continus, reposant sur des tests exhaustifs et robustes, des accès soumis à habilitation et à une authentification adaptée aux profils, notamment pour les modifications apportées au code de production.
Vérifier la qualité des données et des annotations, la présence possible de biais, la fiabilité des sources de données, notamment afin d’éviter que les données ne puissent être manipulées par un tiers.
Éviter les copies, partielles ou totales, des bases de données et en restreindre l’accès et l’utilisation aux seules personnes habilitées pour des cas le nécessitant. Recourir à des données fictives ou de synthèse dans les autres cas, comme pour les tests de sécurité, l’intégration, ou pour certains audits.
Construire un recueil documentaire à l’intention des développeurs et des utilisateurs du système, portant notamment sur la conception du système, le fonctionnement du système durant tout son cycle de vie, ses performances, l’analyse de ses biais et les résultats obtenus, ses conditions d’utilisations et limitations d’usage, les équipements matériels nécessaires pour l’utilisation du système, la latence attendue ou encore la capacité maximale pour les systèmes accessibles en SaaS.
Vérifier la légitimité des utilisateurs du système lorsque celui-ci est rendu disponible en tant que service, afin d’éviter une tentative d’attaque.
Prévoir un plan d’audit du système, portant sur les éléments logiciels, matériels, et sur les mesures organisationnelles telles que les procédures de supervision humaine du système d’IA.
Un guide pratique RGPD 2024 a été diffusé par la CNIL pour adopter les bonnes pratiques, conformément aux lois en vigueur.