Votre Chatbot est-il réellement sécurisé et conforme GDPR ?

Les chatbots représentent une innovation technologie numérique majeure, ils sont de plus en plus populaires et il n’est pas difficile de comprendre pourquoi ! En fournissant une expérience conversationnelle conviviale à travers plusieurs canaux de messagerie, les chatbots offrent aux marques ou sociétés l’opportunité de s’engager plus directement et plus fréquemment avec leurs clients ou employés de manière plus authentique et personnelle.

Si le chatbot permet de rendre des services utiles juste avec une conversation, que risque l’utilisateur côté sécurité et confidentialité ?

Se faire voler son identité

Le premier risque pour un chatbot porte sur sa prise en main par des hackers. En effet, le bot pourrait proposer des liens malicieux, tenter de décrédibiliser la marque ou essayer d’extorquer des informations sensibles aux utilisateurs.

Le vol des données est très courant car il permet de revendre des identités à des fins d’actes malveillants ou de publicités ciblées.

Respecter la confidentialité de l’utilisateur

Le grand intérêt pour une société d’utiliser un chatbot est qu’il fournit à son interlocuteur des réponses personnalisées. Plus l’utilisateur interagit avec le même chatbot, plus ce dernier va collecter des informations le concernant et pourra le conseiller plus efficacement. Selon le type de service utilisé, les données seront plus ou moins sensibles, de votre nom et email jusqu’à votre IBAN ou numéro d’assurance.

La collecte, l’analyse et le traitement d’informations font donc partie intégrante du fonctionnement d’un chatbot. Or la GDPR (General Data Protection Regulation) réglemente justement l’utilisation et la conservation de ces données à caractère personnel.

La GDPR concerne toutes les entreprises qui hébergent et/ou enregistrent des données relatives à des résidents européens ou à des organisations au sein de l’UE.

Le Règlement Général sur la Protection des Données entre en vigueur en mai 2018 et le non-respect des règles peut être très conséquent, à savoir : jusqu’à 4 % du chiffre d’affaires annuel consolidé d’une entreprise qui serait en infraction et jusqu’à 20 millions d’euros maximum en cas d’infraction grave !

Comment être sûr que votre chatbot est bien conforme au cadre réglementaire de la GDPR

Respecter les trois axes de la GDPR :

AxeObjectifPréconisation chatbot
Consentement des utilisateursLe consentement doit être compris comme toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitementInformer l’utilisateur que pendant la conversation, ses données personnelles vont être collectées et obtenir son accord pour continuer.
Utilisation des donnéesL’utilisateur doit connaître l’objectif de la collecte de ses données ainsi que leur durée de rétention et lieu de stockage.Afficher dès le début de la conversation les informations légales et le but de la collecte des informations. Prévoir un service via intention pour faire afficher ces informations à la demande de l’utilisateur.
Droit à l’oubliA la demande de l’utilisateur, toute donnée collectée pourra être modifiée ou définitivement effacée dans les meilleurs délais.Informer l’utilisateur de ses droits et procédures correspondantes. Prévoir un service via intention pour faire afficher ces informations/procédure et enregistrer sa demande de modification ou suppression.

Des données encore plus sensibles

Attention aux données sensibles comme l’origine ethnique, les opinions politiques et religieuses, les informations sur la vie sexuelle ou la santé de l’utilisateur. Ce type de données impose des obligations supplémentaires, notamment en termes d’hébergement. Par exemple, les données de santé doivent être stockées chez un hébergeur agréé.

Des règles identiques aux applications informatiques

Les chatbots sont construits sur la même infrastructure Internet sécurisée et utilisent les mêmes technologies que les sites Web et les applications; ils fournissent simplement une expérience utilisateur différente : le langage naturel. Il donc primordial de vérifier que les exigences en matière de sécurité soient les mêmes que pour les applications plus classiques :

Architecture technique d’un chatbot
  • Vérifier que les données sont stockées légalement et de façon sécurisée
    • Pour les solutions « Cloud », cela implique des data centers sécurisés labellisés « EU Approved ».
    • Pour des solutions « on Premise », vérifier que les services sont sécurisés : données encryptées, mot de passe complexe, firewall, permissions d’accès, tests d’intrusions, serveurs à jour, …
  • Vérifier que les conversations entre le bot et les différents services sont bien chiffrées (https).
  • Mettre en place des procédures de surveillance de failles de sécurité.
  • Mettre en place des procédures pour gérer les durées de rétention légales.
  • Anonymiser au maximum le stockage des transactions (supprimer les infos de géolocalisation, adresse ip par exemple).
  • Supprimer les messages quand il n’est pas nécessaire de les conserver.
  • Renforcer l’authentification via des mécanismes plus sécurisés : authentification double facteur (2FA), analyses de comportement, jetons avec durée de vie, données biométriques (fingerprint or retina scan), …

Conclusion

La GDPR doit être vue, malgré les contraintes techniques et légales, comme une étape importante vers un marché unique numérique et, pour une société, un moyen de renforcer la confiance de ses utilisateurs. ilem group est à même de proposer à ses clients une équipe d’experts pour les accompagner dans la mise en place du processus de sécurisation des données et de respect des normes GDPR.

Patrick Montier – Head of Digital – ilem group