ChatGPT
Claude
Perplexity
Gemini
GrokPourquoi la conformité RGPD d'un chatbot est un critère d'achat non négociable
La conformité RGPD d'un chatbot n'est pas une option que l'on active après le déploiement : c'est une exigence qui doit être intégrée dès la sélection du fournisseur. Un chatbot non conforme expose votre école à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, et à un contrôle de la CNIL pouvant survenir sur signalement d'un seul prospect insatisfait.
Le contexte opérationnel rend cet enjeu encore plus concret pour les équipes admissions. Un chatbot IA répond en 3 secondes, 24h/24 et 7j/7, contre 47 heures en moyenne par email (Source : Audit mystery shopping Skolbot, 2025, 80 établissements FR). Cet avantage compétitif sur la réactivité ne vaut que si la collecte de données sous-jacente repose sur un cadre juridique solide. Sans contrat de traitement des données (DPA), sans hébergement en Europe, sans gestion du consentement intégrée, chaque conversation devient une exposition réglementaire.
La CNIL rappelle explicitement que les chatbots sont soumis aux mêmes obligations que tout autre traitement de données personnelles : base légale, information préalable, droits des personnes, sécurité. Pour les écoles de commerce et d'ingénieurs évaluées par des accréditations comme l'AACSB, l'EQUIS ou la CTI, une mise en demeure publique de la CNIL est une atteinte directe à la réputation institutionnelle. Choisir un fournisseur conforme est donc aussi un choix stratégique pour protéger votre classement CEFDG.
Pour le cadre réglementaire global, consultez notre guide RGPD complet sur les données étudiantes.
Les 8 critères techniques RGPD à exiger de tout fournisseur de chatbot
Un fournisseur de chatbot est un sous-traitant au sens de l'article 28 du RGPD (Règlement UE 2016/679). Il traite des données personnelles pour votre compte, sous vos instructions, et vous êtes le responsable de traitement. Cela signifie que sa non-conformité est votre non-conformité. Ces 8 critères constituent la liste minimale à vérifier avant toute décision d'achat.
1. Hébergement des données en Europe
Toutes les données personnelles des prospects et étudiants doivent être hébergées sur des serveurs situés dans l'Espace économique européen. Un fournisseur dont l'infrastructure repose sur AWS us-east, Google Cloud us-central ou Azure East US transfère vos données hors de l'UE, ce qui exige des Clauses Contractuelles Types (CCT) et une évaluation de transfert (TIA). Exigez contractuellement la localisation précise des datacenters — France, Allemagne, Irlande ou Pays-Bas sont les localisations les plus courantes chez les fournisseurs sérieux.
2. Contrat de traitement des données (DPA) complet
L'article 28 impose un contrat de sous-traitance documentant : objet et durée du traitement, nature et finalité, catégories de données concernées, obligations et droits du responsable de traitement, et conditions de sous-traitance ultérieure. Un DPA incomplet ou rédigé par renvoi à des CGU génériques n'est pas conforme. Le DPA doit être signé avant le premier déploiement, pas six mois après.
3. Chiffrement bout-en-bout
Le chiffrement doit couvrir deux états : les données en transit (TLS 1.3 minimum entre le navigateur du prospect et les serveurs du fournisseur) et les données au repos (AES-256 pour les bases de données et les sauvegardes). Demandez la documentation technique et les certifications éventuelles (ISO 27001, SOC 2 Type II). Un fournisseur qui ne peut pas produire ce document sous 48 heures ne dispose pas d'une politique de sécurité documentée.
4. Gestion des consentements intégrée
Le chatbot doit embarquer nativement un mécanisme de consentement actif pour la collecte d'informations d'identification (email, téléphone) et pour les finalités marketing ultérieures. Cela signifie : case à cocher non pré-cochée, libellé distinct par finalité, horodatage automatique, et stockage de la preuve de consentement dans un journal accessible. Ce mécanisme ne doit pas être un ajout personnalisé facturé en supplément — il doit faire partie du produit standard.
5. Durées de conservation configurables
La CNIL recommande 3 ans après le dernier contact actif pour les données de prospects. Votre fournisseur doit permettre de configurer des durées de conservation différenciées par type de données (logs de conversation anonymisés, email qualifié, numéro de téléphone) et d'automatiser la purge à l'échéance. Si la suppression doit être déclenchée manuellement, vous ne serez jamais en conformité dans la durée.
6. Droit à l'effacement opérationnel
Quand un prospect exerce son droit à l'effacement (article 17 du RGPD), la suppression doit être effective en cascade : logs de conversation, profil CRM synchronisé, backups balisés. Votre fournisseur doit fournir une procédure documentée pour traiter ces demandes, avec un délai de traitement garanti. Notre article dédié sur le droit à l'effacement RGPD pour les prospects d'école détaille chaque étape de ce processus.
7. Transparence IA : déclaration automatique au prospect
L'IA Act (Règlement UE 2024/1689), article 52, impose d'informer les utilisateurs qu'ils interagissent avec un système d'IA lorsque cela n'est pas évident. Cette mention doit être automatique, visible dès l'ouverture de la fenêtre de chat, et non renvoyée aux CGU. Elle peut être combinée avec les mentions RGPD dans un message d'accueil unique : « Je suis [Nom], l'assistant IA de [École]. Vos échanges sont traités conformément à notre politique de confidentialité. »
8. Journaux d'audit complets
En cas de contrôle CNIL ou de plainte d'un prospect, vous devez être en mesure de prouver que votre chatbot a fonctionné conformément à votre registre des traitements. Les journaux d'audit doivent tracer : chaque collecte de données personnelles avec horodatage et base légale invoquée, chaque consentement recueilli, chaque demande d'exercice de droits et son traitement, et chaque transfert de données vers un système tiers (CRM, emailing). Ces journaux doivent être exportables dans un format lisible.
Tableau de comparaison : les critères à valider chez votre fournisseur
| Critère | Niveau requis | Questions à poser au fournisseur |
|---|---|---|
| Hébergement des données | 100 % dans l'EEE, datacenter documenté | « Où sont localisés vos serveurs de production et de backup ? Pouvez-vous le garantir contractuellement ? » |
| DPA (contrat sous-traitance) | Article 28 complet, signé avant mise en production | « Disposez-vous d'un DPA standard ? Quels délais pour le personnaliser et le signer ? » |
| Chiffrement en transit | TLS 1.3 minimum | « Quelle version TLS est utilisée ? Avez-vous une certification ISO 27001 ou SOC 2 ? » |
| Chiffrement au repos | AES-256 sur bases de données et backups | « Vos bases de données sont-elles chiffrées au repos ? Avec quel algorithme ? » |
| Gestion des consentements | Native, horodatée, par finalité | « Le mécanisme de consentement est-il natif ou nécessite-t-il un développement personnalisé ? » |
| Durées de conservation | Configurables par type de données, purge automatisée | « Peut-on configurer des durées différentes par catégorie de données ? La purge est-elle automatique ? » |
| Droit à l'effacement | Procédure documentée, cascade complète | « Comment traitez-vous une demande d'effacement ? Quel délai ? Quels systèmes sont couverts ? » |
| Transparence IA (IA Act) | Message automatique dès l'ouverture | « La mention "IA" est-elle affichée automatiquement sans configuration supplémentaire ? » |
| Journaux d'audit | Exportables, conservés minimum 2 ans | « Vos journaux d'audit sont-ils exportables ? Sur quelle durée les conservez-vous ? » |
| Sous-traitants ultérieurs | Liste disponible, garanties équivalentes | « Quels sous-traitants ultérieurs utilisez-vous (modèle IA, CDN, cloud) ? Où sont-ils localisés ? » |
Ce que doit contenir votre contrat de sous-traitance : 5 clauses essentielles
Un DPA signé n'est pas une garantie de conformité s'il est rédigé de façon trop générale. Voici les 5 clauses que votre DPO doit vérifier systématiquement avant signature.
Clause 1 — Périmètre et finalité strictement définis. Le contrat doit lister exhaustivement les traitements autorisés : répondre aux questions des prospects, qualifier les leads, transmettre les données au CRM de l'école. Toute utilisation des données par le fournisseur à des fins propres (amélioration de son modèle IA, enrichissement de ses propres bases, sous-licence à des tiers) doit être explicitement interdite. Un fournisseur qui refuse cette clause utilise vos données à son profit.
Clause 2 — Engagement de localisation des données. La clause doit nommer explicitement les pays et datacenters où les données sont hébergées, et imposer une notification contractuelle (généralement sous 30 jours) en cas de changement de localisation ou de sous-traitant ultérieur. Ce n'est pas suffisant de stipuler « dans l'UE » : exigez les noms de villes et d'opérateurs.
Clause 3 — Notification de violation de données sous <72 heures. L'article 33 du RGPD impose au responsable de traitement de notifier la CNIL dans les 72 heures suivant la découverte d'une violation. Pour respecter ce délai, votre fournisseur doit s'engager contractuellement à vous notifier sans délai injustifié — en pratique dans les 24 heures — dès qu'il détecte un incident de sécurité. Vérifiez que la clause définit ce qui constitue un « incident » et les canaux de notification.
Clause 4 — Droit d'audit et de contrôle. Vous devez pouvoir vérifier que votre fournisseur respecte ses engagements contractuels. Cette clause vous donne le droit de demander des rapports d'audit, des certifications à jour (ISO 27001, SOC 2), ou de mandater un auditeur tiers. Sans ce droit contractuel, votre responsabilité est engagée sans possibilité de contrôle effectif.
Clause 5 — Conditions de fin de contrat et restitution des données. À la résiliation, le fournisseur doit restituer l'intégralité des données dans un format interopérable (CSV, JSON) et détruire ses copies — y compris les sauvegardes — dans un délai défini (généralement 30 à 60 jours). Cette clause est systématiquement oubliée lors de la signature et devient un point de friction majeur lors des résiliations.
Notez que 72 % des questions posées aux chatbots d'école sont automatisables (Source : Classification automatique sur 12 000 conversations Skolbot, 2025). Ce volume justifie amplement l'investissement dans un fournisseur conforme : un contrat bâclé expose l'ensemble de ces interactions à un risque réglementaire disproportionné.
Pour aller plus loin sur la checklist complète des obligations RGPD de votre école, consultez notre audit RGPD école en 20 points.
Signaux d'alerte : 5 red flags chez un fournisseur de chatbot
Avant de signer, ces signaux doivent vous amener à approfondir l'investigation — ou à passer votre chemin.
-
Aucun DPA disponible en standard. Un fournisseur qui n'a pas de modèle de DPA prêt à être partagé n'a pas fait de la conformité RGPD une priorité produit. Cela signifie que la conformité est une négociation commerciale, pas une architecture technique. Le risque réel est un DPA signé mais jamais implémenté dans les systèmes.
-
Serveurs « en Europe » sans précision. « Nos données sont en Europe » sans mention d'un datacenter, d'un opérateur cloud ou d'un pays précis est une réponse marketing, pas une garantie juridique. L'Irlande est dans l'UE, mais Meta y héberge des données sous contrôle américain — ce qui a été sanctionné par les autorités de protection européennes.
-
Modèle IA hébergé hors UE non déclaré. Beaucoup de chatbots utilisent des modèles de langage (GPT-4, Claude, Gemini) via des API dont les serveurs sont aux États-Unis. Si cette architecture n'est pas mentionnée dans le DPA avec les CCT correspondantes, vous êtes en situation de transfert illicite de données hors UE à chaque conversation.
-
Pas de mention de l'IA Act dans la documentation produit. Un fournisseur qui n'a pas intégré les obligations de l'IA Act (transparence, information de l'utilisateur, documentation technique) dans sa roadmap produit vous laissera gérer seul la mise en conformité — et ses surcoûts.
-
Suppression des données sur demande manuelle uniquement. Si l'exercice du droit à l'effacement nécessite une intervention du support du fournisseur, vous ne pourrez jamais respecter le délai d'un mois imposé par le RGPD à grande échelle. Pour les écoles qui gèrent plusieurs milliers de prospects par an, ce processus doit être automatisé ou au moins accessible en self-service dans l'interface d'administration.
Pour comparer les solutions disponibles sur le marché, consultez notre comparatif des meilleurs chatbots pour écoles supérieures.
FAQ
Un chatbot hébergé aux États-Unis peut-il être conforme au RGPD ?
Techniquement oui, mais sous conditions strictes. Depuis le Data Privacy Framework (DPF) adopté en 2023, les transferts vers des entreprises américaines certifiées DPF sont légalement autorisés — mais le DPF a déjà été contesté devant la CJUE par NOYB et sa pérennité n'est pas garantie. Pour les écoles soucieuses de sécurité juridique à long terme, l'hébergement en Europe reste la seule option sans risque de requalification. Si vous optez pour un fournisseur américain, exigez à minima la certification DPF, des Clauses Contractuelles Types signées, et une évaluation de transfert (TIA) documentée.
Que doit mentionner l'AIPD pour un chatbot de recrutement étudiant ?
L'Analyse d'Impact relative à la Protection des Données (AIPD) pour un chatbot de recrutement doit documenter : la description technique du traitement (modèle IA utilisé, données collectées, architecture de stockage), l'évaluation de la nécessité et de la proportionnalité, les risques pour les droits des prospects (profilage involontaire, transfert hors UE, conservation excessive), et les mesures d'atténuation retenues. Pour un chatbot traitant plusieurs milliers de conversations par mois ou effectuant un profilage implicite des prospects, l'AIPD est obligatoire au titre de l'article 35 du RGPD. Notre article sur la collecte de données RGPD par chatbot d'école détaille les critères déclencheurs de l'AIPD.
Le chatbot doit-il afficher un bandeau d'information dès l'ouverture ?
Oui. La CNIL et l'IA Act convergent sur ce point : avant la première interaction, l'utilisateur doit être informé (a) qu'il interagit avec une intelligence artificielle, (b) de l'identité du responsable de traitement, (c) de la finalité du traitement, et (d) de l'existence de ses droits. Un message d'accueil de deux ou trois lignes suffit, à condition qu'il soit affiché automatiquement et non masqué derrière un bouton « En savoir plus ». Ce message doit inclure un lien vers la politique de confidentialité complète.
Quelle est la durée de conservation recommandée des transcripts de conversation ?
La CNIL recommande de distinguer deux catégories. Les logs techniques anonymisés (sans identifiant associé) peuvent être conservés jusqu'à 12 mois pour l'amélioration du service. Les conversations associées à un prospect identifié (email, nom) suivent la durée de conservation des données de prospection : 3 ans après le dernier contact actif. Toute conservation au-delà de ces seuils doit être justifiée par une finalité spécifique documentée dans le registre des traitements et ne peut s'appuyer sur la commodité opérationnelle.
En cas de violation de données, quel est le délai de notification ?
Le délai légal est de 72 heures après la prise de connaissance de la violation pour notifier la CNIL (article 33 du RGPD). Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, celles-ci doivent également être notifiées sans délai injustifié (article 34). Dans la pratique, cela impose d'avoir une procédure de gestion des incidents documentée, un canal de communication défini avec votre fournisseur de chatbot, et un accès direct à votre DPO en dehors des heures ouvrées.
Choisir un fournisseur de chatbot conforme au RGPD n'est pas une démarche administrative — c'est une décision stratégique qui protège votre école des sanctions, préserve la confiance de vos prospects, et garantit la pérennité de votre investissement technologique. Les +62 % de leads qualifiés et les -38 % de coût par lead que génère un chatbot IA bien déployé (Source : Résultats médians sur 18 écoles, période 2024-2025) ne se matérialisent que si le dispositif repose sur des fondations réglementaires solides.
Demandez une démo personnalisée
