ChatGPT
Claude
Perplexity
Gemini
GrokCe qu'un chatbot IA collecte concrètement sur vos prospects
Un chatbot IA de recrutement étudiant collecte des données personnelles dès la première interaction — bien avant que le prospect saisisse son nom. Adresse IP, horodatage de session, messages tapés, programme consulté : chacun de ces éléments est une donnée personnelle au sens du RGPD (Règlement 2016/679).
72 % des questions posées aux chatbots d'écoles sont automatisables (FAQ simple), 21 % nécessitent un contexte école, 7 % nécessitent un humain. (Source : Classification automatique sur 12 000 conversations Skolbot, 2025.) Chacune de ces 12 000 conversations est un traitement de données soumis au RGPD. Et le chatbot a un avantage décisif sur les autres canaux : temps de réponse de 3 secondes, 24/7, contre 47 h par email et 72 h par formulaire (Source : Audit mystery shopping Skolbot, 2025, 80 établissements FR). Saisir cette opportunité nécessite une infrastructure de collecte conforme.
Voici les catégories de données qu'un chatbot d'école typique collecte :
- Données conversationnelles — texte des messages, horodatage, langue utilisée, durée de session
- Données d'identification volontaire — prénom, nom, adresse email, numéro de téléphone (si le prospect les communique pour être recontacté)
- Données d'intérêt — programme(s) consulté(s), niveau d'études visé, modalité recherchée (initial, alternance)
- Données démographiques volontaires — nationalité, âge, pays de résidence (si collectés via un formulaire intégré)
- Données techniques — adresse IP, type d'appareil, navigateur, identifiant de session
La CNIL rappelle que chaque traitement effectué via un chatbot doit reposer sur une base légale valide, et que les personnes doivent être informées de l'existence du traitement dès l'ouverture de la conversation. Pour une cartographie complète des données traitées par votre école, consultez notre guide RGPD complet pour les écoles.
Les bases légales applicables à chaque catégorie de données
La base légale n'est pas un détail formel : c'est la colonne vertébrale de votre conformité. Une base légale incorrecte invalide l'ensemble du traitement, même si le reste de votre dispositif est irréprochable.
Le RGPD en propose six (article 6). Quatre couvrent la quasi-totalité des traitements d'un chatbot d'école :
Consentement (article 6.1.a) — La personne a donné son accord libre, spécifique, éclairé et univoque. C'est la base légale adaptée pour les communications marketing ultérieures (relances, newsletters, invitations JPO) déclenchées à partir d'une interaction chatbot. Le consentement doit être recueilli par un mécanisme actif (case à cocher non pré-cochée), horodaté, et conservé comme preuve.
Mesures précontractuelles (article 6.1.b) — Le traitement est nécessaire pour répondre à une demande de la personne avant la conclusion d'un contrat. Un prospect qui demande des informations sur les frais de scolarité ou les conditions d'admission : le traitement de son email pour lui envoyer la documentation demandée relève de cette base.
Intérêt légitime (article 6.1.f) — Le traitement est nécessaire aux fins des intérêts légitimes du responsable de traitement, à condition que ces intérêts ne soient pas outrepassés par les intérêts ou droits fondamentaux de la personne. L'analyse des conversations anonymisées pour améliorer la qualité du chatbot peut relever de cette base. Attention : une balance d'intérêts documentée est obligatoire.
Obligation légale (article 6.1.c) — Rarement applicable au chatbot lui-même, mais pertinent si les données collectées doivent être conservées à des fins de traçabilité réglementaire (ex. : preuve de la délivrance d'une information précontractuelle).
Pour les données sensibles — voir section suivante — l'article 9 impose une base supplémentaire, plus exigeante.
Le principe de minimisation : ne collecter que le nécessaire
La minimisation des données (article 5.1.c du RGPD) est le principe le plus violé en pratique sur les chatbots d'école. Il impose de ne collecter que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Ce que cela signifie concrètement pour votre chatbot :
- Le chatbot ne doit pas exiger un email pour répondre à une question sur les programmes. L'email n'est nécessaire que si le prospect souhaite être recontacté ou recevoir un document.
- La nationalité ne doit pas être collectée systématiquement. Elle devient pertinente uniquement si le prospect sollicite des informations sur les bourses réservées à des ressortissants spécifiques, les visas, ou les procédures Parcoursup pour non-résidents.
- L'âge précis n'est pas nécessaire si le chatbot n'a qu'à déterminer si le prospect est en terminale ou en licence. Une tranche d'âge ou une indication de niveau d'études suffit.
- Les logs de conversation complets ne doivent pas être conservés indéfiniment. La finalité (amélioration du service, transfert CRM) doit être définie avant la mise en production du chatbot, pas après.
La CNIL insiste sur ce point dans ses recommandations spécifiques à l'IA en éducation : un système d'IA doit être conçu selon le principe de privacy by design, intégrant la minimisation dès la conception plutôt qu'en correctif.
Données sensibles : nationalité, santé, situation sociale
Certaines données collectables via un chatbot d'école entrent dans la catégorie des données sensibles de l'article 9 du RGPD. Leur traitement est interdit par défaut, sauf exception explicitement listée.
Nationalité : la nationalité n'est pas en elle-même une donnée sensible. Mais dès lors qu'elle révèle ou peut révéler une origine ethnique ou raciale, elle entre dans le périmètre de l'article 9. Un chatbot qui collecte la nationalité pour segmenter les prospects (« étudiants non-européens ») doit impérativement analyser si ce traitement ne constitue pas un traitement de données d'origine ethnique déguisé.
Santé et handicap : les prospects cherchant des informations sur l'accessibilité, les aménagements d'examens, ou les dispositifs étudiants en situation de handicap communiquent potentiellement des données de santé. Le chatbot doit être configuré pour ne pas enregistrer ces informations dans des champs libres non sécurisés. Si une collecte est nécessaire (orientation vers un référent handicap), elle doit reposer sur le consentement explicite (article 9.2.a) avec information préalable complète.
Situation financière : les demandes relatives aux bourses, aides sociales, ou exonérations de frais de scolarité peuvent révéler la situation socio-économique du prospect. Ce n'est pas une donnée sensible au sens strict de l'article 9, mais c'est une donnée à caractère confidentiel qui exige une base légale robuste et une sécurisation appropriée.
Règle pratique : configurez votre chatbot pour détecter les topics sensibles et rediriger vers un humain ou un formulaire sécurisé, plutôt que de collecter ces informations dans l'interface conversationnelle standard.
Tableau de synthèse : données, bases légales et durées de conservation
| Type de donnée | Base légale | Durée de conservation | Notes |
|---|---|---|---|
| Messages de la conversation (anonymisés) | Intérêt légitime (art. 6.1.f) | <12 mois | Pour amélioration du service — anonymisation obligatoire |
| Email + nom (prospect qualifié) | Mesures précontractuelles (art. 6.1.b) ou consentement | 3 ans après dernier contact actif | Purge automatisée obligatoire |
| Téléphone | Consentement (art. 6.1.a) | 3 ans après dernier contact actif | Consentement spécifique pour prospection téléphonique |
| Programme(s) d'intérêt | Intérêt légitime (art. 6.1.f) | Liée au profil prospect | À documenter dans le registre des traitements |
| Nationalité | Consentement ou mesures précontractuelles | Liée au profil prospect | Vérifier l'absence d'inférence sur l'origine ethnique |
| Âge / niveau d'études | Intérêt légitime (art. 6.1.f) | Liée au profil prospect | Nécessaire pour orienter vers le bon programme |
| Adresse IP (non anonymisée) | Intérêt légitime (art. 6.1.f) | <13 mois | Anonymisation recommandée par la CNIL |
| Données de santé ou handicap | Consentement explicite (art. 9.2.a) | Strictement nécessaire | Ne pas collecter dans l'interface standard du chatbot |
| Logs techniques de session | Intérêt légitime (art. 6.1.f) | <3 mois | Sécurité et debugging uniquement |
L'AIPD (Analyse d'Impact) : quand votre chatbot la déclenche-t-il ?
L'article 35 du RGPD impose une Analyse d'Impact relative à la Protection des Données (AIPD) pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié des lignes directrices précisant les critères déclencheurs.
Votre chatbot d'école déclenche probablement l'obligation d'AIPD si l'un des critères suivants est réuni :
- Traitement à grande échelle : un chatbot traçant plus de quelques milliers de conversations par mois sur un site d'école atteint rapidement le seuil de grande échelle au sens de la CNIL
- Profilage : si le chatbot qualifie le prospect (chaud/froid, programme recommandé, probabilité d'inscription) à partir de ses interactions, c'est du profilage au sens de l'article 4.4
- Données sensibles : traitement de nationalité à risque d'inférence ethnique, de santé, ou de situation socio-économique
- Transfert hors UE : si votre prestataire de chatbot utilise des serveurs ou des modèles de langage hébergés hors de l'UE (États-Unis, notamment)
L'AIPD documente : la description du traitement, son évaluation de nécessité et de proportionnalité, les risques identifiés, et les mesures d'atténuation. Si l'AIPD conclut à un risque résiduel élevé que vous ne pouvez pas atténuer, vous devez consulter la CNIL avant de mettre le traitement en œuvre (article 36).
Pour les autres obligations techniques et organisationnelles, notre checklist d'audit RGPD couvre les 20 points à vérifier, y compris l'AIPD chatbot.
Mettre en œuvre une collecte conforme : l'interface du chatbot
La conformité RGPD d'un chatbot se joue à trois niveaux : l'information préalable, le mécanisme de consentement, et les droits des personnes.
Information préalable (transparence)
Avant la première question, le chatbot doit afficher un message d'accueil incluant :
- L'identité du responsable de traitement (l'école)
- La finalité du traitement (répondre aux questions, qualifier le prospect)
- Un lien vers la politique de confidentialité complète
- La mention que l'interlocuteur est une intelligence artificielle (exigé par l'IA Act, article 52, pour les chatbots à interaction humaine)
Exemple conforme : « Je suis [Nom du chatbot], l'assistant IA de [École]. Vos échanges sont traités selon notre [politique de confidentialité]. Vous pouvez exercer vos droits à l'adresse dpo@[ecole].fr. »
Mécanisme de consentement intégré
Si le chatbot collecte l'email ou le téléphone, un mécanisme de consentement actif doit précéder cette collecte :
- Case à cocher non pré-cochée pour les communications marketing
- Libellé distinct pour chaque finalité (relance prospect, newsletter, invitation JPO)
- Horodatage et conservation de la preuve
Droits des personnes : accès, rectification, effacement
Le prospect doit pouvoir exercer ses droits via une voie simple. Pratique courante : afficher l'adresse email du DPO dans l'interface du chatbot et dans la politique de confidentialité. La réponse à une demande d'effacement doit intervenir dans un mois et couvrir tous les systèmes : logs du chatbot, CRM, outil d'emailing, analytics nominatives.
Pour la conformité des cookies déposés par le widget chatbot, consultez notre guide sur le consentement cookies et formulaires RGPD pour les écoles.
Testez Skolbot sur votre école en 30 secondes
FAQ
Faut-il une AIPD pour un chatbot qui ne collecte pas d'email ?
Pas nécessairement, mais ce n'est pas automatiquement exclu. L'AIPD est déclenchée par le risque élevé pour les personnes, pas uniquement par la collecte d'un email. Un chatbot qui enregistre des logs de conversation avec les adresses IP à grande échelle, ou qui effectue un profilage implicite (qualification prospect), peut déclencher l'obligation même sans collecte d'email. La règle pratique : réalisez une pré-analyse des critères CNIL. Si deux critères ou plus parmi les neuf listés par la CNIL sont réunis, une AIPD est requise.
Quelle durée de conservation pour les conversations chatbot ?
La CNIL recommande de ne conserver les données conversationnelles que le temps nécessaire à leur finalité. Pour l'amélioration du service : les logs anonymisés peuvent être conservés jusqu'à 12 mois. Pour les prospects qualifiés (email fourni) : 3 ans après le dernier contact actif, conformément à la recommandation CNIL sur les données de prospection commerciale. Les logs techniques (débogage, sécurité) n'ont aucune raison d'être conservés au-delà de 3 mois. Ces durées doivent figurer dans votre registre des traitements et être appliquées par une purge automatisée — pas par un nettoyage manuel annuel.
Le chatbot peut-il transférer des données au CRM sans consentement supplémentaire ?
Cela dépend de la base légale initiale. Si la collecte des données repose sur les mesures précontractuelles ou l'intérêt légitime, le transfert au CRM à des fins de suivi de la candidature est généralement compatible. En revanche, si vous souhaitez utiliser ces données pour des campagnes marketing non directement liées à la demande initiale (retargeting publicitaire, emailing promotionnel), un consentement spécifique est requis — et doit avoir été recueilli avant le transfert. Documentez explicitement la finalité du transfert CRM dans votre registre des traitements.
Comment informer le prospect qu'il interagit avec une IA ?
L'IA Act (article 52, applicable depuis août 2026 pour les systèmes à risque limité) impose que les utilisateurs soient informés qu'ils interagissent avec un système d'IA lorsque ce n'est pas évident. Pour un chatbot textuel sur un site d'école, la mention doit être claire et immédiate — pas enfouie dans les CGU. Un nom de bot explicite (ex. « Skolbot, assistant IA »), un message d'accueil mentionnant la nature IA, et une couleur ou icône distinctive suffisent à satisfaire l'obligation. Cette information se cumule avec les mentions RGPD de transparence : un seul message d'accueil bien conçu peut couvrir les deux obligations simultanément.
Que faire si un prospect révèle spontanément une donnée sensible (santé, situation de handicap) ?
Configurez votre chatbot pour détecter les topics sensibles (mots-clés liés à la santé, au handicap, à la situation sociale) et déclencher une réponse de redirection : « Pour vous accompagner au mieux sur ce point, notre référent handicap / service social vous contactera directement. Souhaitez-vous laisser vos coordonnées ? » Ne stockez pas la donnée sensible dans les logs standard du chatbot. Si un stockage est techniquement inévitable (log de la session complète), ce champ doit être masqué ou supprimé avant archivage. L'enjeu : éviter que des données de santé ou de situation sociale se retrouvent dans un CRM marketing sans base légale adéquate.
