En parallèle de //

SALON DU ECOMMERCE, DU DIGITAL,
DU WEB, DU EMARKETING & DU MOBILE

           
ILEM SA
Patrick Montier - Head of Digital
23/04/2018


Votre Chatbot est-il réellement sécurisé et conforme GDPR ?

Les chatbots représentent une innovation technologie numérique majeure, ils sont de plus en plus populaires et il n'est pas difficile de comprendre pourquoi ! En fournissant une expérience conversationnelle conviviale à travers plusieurs canaux de messagerie, les chatbots offrent aux marques ou sociétés l'opportunité de s'engager plus directement et plus fréquemment avec leurs clients ou employés de manière plus authentique et personnelle.

Si le chatbot permet de rendre des services utiles juste avec une conversation, que risque l’utilisateur côté sécurité et confidentialité ?

Se faire voler son identité

Le premier risque pour un chatbot porte sur sa prise en main par des hackers. En effet, le bot pourrait proposer des liens malicieux, tenter de décrédibiliser la marque ou essayer d’extorquer des informations sensibles aux utilisateurs.

Le vol des données est très courant car il permet de revendre des identités pour des actes malveillants ou à des fins de publicités ciblées.

Respecter la confidentialité de l’utilisateur

Le grand intérêt pour une société d’utiliser un chatbot est qu’il fournit à son interlocuteur des réponses personnalisées. Plus l’utilisateur interagit avec le même chatbot, plus ce dernier va collecter des informations le concernant et pourra le conseiller plus efficacement. Selon le type de service utilisé, les données seront plus ou moins sensibles, de votre nom et email jusqu’à votre IBAN ou numéro d’assurance.

La collecte, l’analyse et le traitement d’informations font donc partie intégrante du fonctionnement d’un chatbot. Or la GDPR (General Data Protection Regulation) réglemente justement l’utilisation et la conservation de ces données à caractère personnel.

La GDPR concerne toutes les entreprises qui hébergent et/ou enregistrent des données relatives à des résidents européens ou à des organisations au sein de l’UE.

Le Règlement Général sur la Protection des Données entre en vigueur en mai 2018 et le non-respect des règles peut être très conséquent, à savoir : jusqu’à 4 % du chiffre d’affaires annuel consolidé d’une entreprise qui serait en infraction et jusqu’à 20 millions d’euros maximum en cas d’infraction grave !

Comment être sûr que votre chatbot est bien conforme au cadre réglementaire de la GDPR

Respecter les trois axes de la GDPR :

  • Consentement des utilisateurs

Le consentement doit être compris comme toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement

Informer l’utilisateur que pendant la conversation, ses données personnelles vont être collectées et obtenir son accord pour continuer.

  • Utilisation des données

L’utilisateur doit connaître l’objectif de la collecte de ses données ainsi que leur durée de rétention et lieu de stockage.

Afficher dès le début de la conversation les informations légales et le but de la collecte des informations.

Prévoir un service via intention pour faire afficher ces informations à la demande de l’utilisateur.

  • Droit à l’oubli

A la demande de l’utilisateur, toute donnée collectée pourra être modifiée ou définitivement effacée dans les meilleurs délais.

Informer l’utilisateur de ses droits et procédures correspondantes.

Prévoir un service via intention pour faire afficher ces informations/procédure et enregistrer sa demande de modification ou suppression.

Des données encore plus sensibles

Attention aux données sensibles comme l’origine ethnique, les opinions politiques et religieuses, les informations sur la vie sexuelle ou la santé de l’utilisateur. Ce type de données impose des obligations supplémentaires, notamment en termes d’hébergement. Par exemple, les données de santé doivent être stockées chez un hébergeur agréé.

Des règles identiques aux applications informatiques

Les chatbots sont construits sur la même infrastructure Internet sécurisée et utilisent les mêmes technologies que les sites Web et les applications; ils fournissent simplement une expérience utilisateur différente : le langage naturel. Il donc primordial de vérifier que les exigences en matière de sécurité soient les mêmes que pour les applications plus classiques :

  • Vérifier que les données sont stockées légalement et de façon sécurisée
    • Pour les solutions « Cloud », cela implique des data center sécurisés labellisés « EU Approved ».
    • Pour des solutions « on Premise », vérifier que les services sont sécurisés : données encryptées, mot de passe complexe, firewall, permissions d’accès, tests d’intrusions, serveurs à jour, …
  • Vérifier que les conversations entre le bot et les différents services sont bien chiffrées (https).
  • Mettre en place des procédures de surveillance de failles de sécurité.
  • Mettre en place des procédures pour gérer les durées de rétention légales ?
  • Anonymiser au maximum le stockage des transactions (supprimer les infos de géolocalisation, adresse ip par exemple).
  • Supprimer les messages quand il n’est pas nécessaire de les conserver.
  • Renforcer l’authentification via des mécanismes plus sécurisés : authentification double facteur (2FA), analyses de comportement, jetons avec durée de vie, données biométriques (fingerprint or retina scan), …

Conclusion

Il ne faut pas voir la GDPR comme une contrainte technique et légale difficile à mettre en place ; c’est au contraire une étape importante vers un marché unique numérique et, pour une société, un moyen de renforcer la confiance de ses utilisateurs. ilem group est à même de proposer à ses clients une équipe d’experts pour les accompagner dans la mise en place du processus de sécurisation des données et de respect des normes GDPR.

La GDPR doit être vue comme une étape importante vers un marché unique numérique et, pour une société, un moyen de renforcer la confiance de ses utilisateurs. ilem group est à même de proposer à ses clients une équipe d’experts pour les accompagner dans la mise en place du processus de sécurisation des données et de respect des normes GDPR.

 

WEB / ECOMMERCE / E-MARKETING / SOLUTIONS IT & LOGICIELS / DIGITAL / TECHNOLOGIE RETAIL / INSTORE

<< Retour

# Sponsors 2018

Gold Sponsors

Silver Sponsors

Bronze Sponsors