C’est un sujet d’actualité : les données personnelles et leur utilisation à notre insu. Le récent emballement médiatique dont a fait l’objet Chat GPT a mis au premier plan les intelligences artificielles (IA) conversationnelles et leurs nouvelles capacités. Outre les aspects éthiques soulevés par l’humanisation de ces robots, plus subtilement, la crainte d’une utilisation de nos données personnelles par les chatbots commence à poindre.
Concrètement, comment les chatbots gèrent nos données personnelles ?
Même s’ils sont très souvent limités à un périmètre professionnel, les chatbots sont, comme tout outil informatique, également concernés par la gestion des données personnelles. Mais la question est « comment » ? À quel moment un chatbot peut-il (ou doit-il) faire utilisation de nos données personnelles ? Sous quelles conditions ? Et surtout, où sont concrètement localisées les données personnelles utilisables par un chatbot et que faut-il mettre en œuvre pour en garantir la surveillance et la sécurisation ?
Commençons par un rappel technique : le chatbot répond ce qu’on lui demande de répondre. Rarement plus. Très souvent moins. Les questions sont formulées par les utilisateurs et ses réponses sont basées sur des données préenregistrées. Ces données préenregistrées peuvent soit faire partie de bases de connaissances (de formats divers) maintenues par l’éditeur du service, soit indexées par la solution de chatbot et maintenues par un tiers. Ces données indexées peuvent être soit privées, soit publiques (exemple : Wikipédia).
Dans toutes ces sources, où peut-on trouver des données personnelles ?
Partout ! À la fois dans les questions posées et dans les sources de réponses.
Dans les questions, on distinguera celles qui seront utilisées par le chatbot pour fournir un service personnalisé de celles qui seront purement et simplement ignorées. Par exemple, si je demande à un chatbot d’annuaire d’entreprise « quel est le rôle de Marie Soto ? » je fournis des données personnelles (Prénom, Nom) qui seront utilisées par un traitement pour me fournir les informations demandées. Si en revanche je demande la même chose au chatbot Hubi.ai sur le site web de l’éditeur, ces données seront simplement ignorées car elles ne correspondent pas à une réponse prédéterminée.
Dans les réponses, le sujet est plus complexe. Dans le cas d’une source indexée, on ne peut pas contrôler que des données personnelles sont présentes a priori. Dans le cas d’une source interne, les personnes en charge du contenu en ont la responsabilité.
Avec le RGPD, les organisations ne sont plus tenues – sauf pour le traitement de certaines données de santé – de déclarer une base de données auprès de la CNIL. En contrepartie de la disparition de l’accomplissement de démarches administratives auprès de la CNIL, le responsable du traitement en charge de tâches mettant en œuvre des données à caractère personnel est désormais pleinement responsable de la protection des données qu’il traite. Il lui appartient d’assurer la conformité au RGPD, des traitements de données personnelles, tout au long de leur cycle de vie et d’être en mesure de démontrer cette conformité. Il doit donc garantir que :
- Le recueil du consentement de l’utilisateur est fait dans le cadre prévu par la réglementation
- Les sources de données adressées en interne et accessible publiquement sont exemptes de toute donnée personnelle
Quelles responsabilités pour les hébergeurs de données ?
Cette responsabilité est la même chez un client de solution chatbot que chez l’éditeur de la solution. Chez les éditeurs de solution SaaS, la problématique est double. Les éditeurs de solution SaaS ont en effet une responsabilité en tant qu’hébergeur des données de leurs clients, et un devoir de fourniture de moyen pour leurs clients qui sont responsables de la finalité du traitement.
La responsabilité en tant qu’hébergeur impose entre autres la fourniture, sur demande, du registre de traitement des données personnelles de la solution, une communication claire en cas de problème de sécurité touchant aux données de ses clients, la mise en place d’une stratégie de coopération claire en cas d’audit (liste non exhaustive).
En revanche, rien ne spécifie exactement quelles fonctionnalités implémenter pour que les clients adressent correctement les données personnelles. Officiellement, « les personnes ne doivent pas avoir à chercher l’information ni rencontrer de difficultés à la trouver : elles doivent être dirigées vers l’emplacement de ces informations ». Selon votre démarche interne, la sélection d’un outil devra donc nécessairement intégrer les solutions mises en place par l’éditeur pour vous simplifier la tâche.
Et qu’en est-il de la gestion de ces données personnelles sur Hubi.ai ?
Sur la plateforme Hubi.ai, vous disposez de plusieurs outils pour vous aider.
Pour la partie traitant des scénarios métiers et interactions entre un utilisateur et des systèmes tiers, la gestion du consentement se fait très simplement lors de la configuration du scénario. Une action spécifique informe l’utilisateur des données recueillies et de leur destination, et en cas d’acceptation, enregistre le consentement dans un système défini par le responsable du traitement (liste SharePoint online, système tiers, etc.). Le scénario ne se poursuit que s’il y a acceptation. Sinon, une autre action peut être définie.
Si des données personnelles sont contenues dans des variables d’un scénario, ces variables peuvent être labellisées et listées dans un rapport de sécurité. Il devient ainsi plus simple de générer ou mettre à jour le registre de traitement côté client.
Dans les bases de données, la solution la plus simple a été implémentée : les bases sont accessibles dans un format non-technique, lisible sans effort. Dans un souci d’amélioration du produit, des solutions de traitement proactif sont en cours d’implémentation.
N’hésitez pas à nous contacter pour une présentation détaillée de ces fonctions.