E-commerce

Chatbot IA et RGPD : bonnes pratiques pour une boutique e-commerce

Chatbot IA et RGPD : bonnes pratiques pour une boutique e-commerce

26 juin 2026

Vous déployez un chatbot IA sur votre boutique Shopify pour répondre plus vite aux questions produit, au suivi commande et aux retours. Chaque message peut contenir un e-mail, un numéro de commande, une adresse ou une photo de produit défectueux. Autant de données personnelles soumis au RGPD, et depuis 2024, complétées par le règlement européen sur l'IA.

La tension est fréquente : le fournisseur SaaS héberge l'outil, mais c'est vous, marchand, qui restez responsable de traitement face aux clients européens. Beaucoup pensent que « le vendor gère la conformité » alors que politique de confidentialité, registre, DPA et droits des personnes relèvent de votre gouvernance.

Cet article ne remplace pas un avis juridique. Il propose une feuille de route opérationnelle pour aligner chatbot IA, confiance client et exigences RGPD et AI Act sur une boutique e-commerce en 2026.

Sommaire

Pourquoi le RGPD s'applique-t-il à votre chatbot e-commerce ?

Le RGPD s'applique dès que vous traitez des données personnelles de personnes situées dans l'Union européenne, même si votre société est enregistrée hors UE. C'est la logique de portée extra-territoriale de l'article 3 du règlement.

Une boutique américaine qui livre en France, affiche des prix en euros et cible des campagnes Meta géolocalisées doit respecter le RGPD pour ses visiteurs européens, y compris via le widget chat.

Chatbot = traitement de données

Chaque session où le client saisit son e-mail pour retrouver une commande, décrit un problème de livraison ou envoie une photo constitue un traitement. Le fait que l'IA « ne stocke pas » côté navigateur ne suffit pas : logs serveur, tickets helpdesk, analytics conversation et éventuelles copies chez le LLM comptent.

Responsable vs sous-traitant

Vous êtes en général responsable de traitement pour les données collectées via votre site. Le fournisseur de chatbot agit souvent comme sous-traitant lorsqu'il traite ces données pour votre compte. Les deux rôles doivent être documentés dans un DPA et dans le registre des traitements.

Stripe rappelle que le RGPD et l'AI Act se cumulent pour les chatbots e-commerce en France : transparence, exactitude des réponses et interdiction de décisions automatisées à impact significatif sans intervention humaine (Stripe, chatbots e-commerce France).

Consultez notre glossaire RGPD pour cadrer votre registre. Listez dès maintenant tous les points de collecte : widget site, WhatsApp, Instagram DM relayés vers le bot, formulaires pré-chat.

Quelles données personnelles votre bot traite-t-il réellement ?

Un chatbot e-commerce typique traite bien plus que « des questions anonymes ». Identifier les catégories de données permet de choisir bases légales et durées de conservation adaptées.

Identification et contact

E-mail, nom, téléphone, identifiant client Shopify, ID session chat, adresse IP et horodatage. Ces éléments identifient souvent une personne directement ou indirectement.

Commande et contenu message

Numéro de commande, statut fulfillment, montant, produits, adresse de livraison, lien tracking, historique retours. Le bot WISMO lit ces champs via API Shopify. Les questions libres, photos envoyées ou mentions de santé liées à un produit sont aussi des données personnelles lorsqu'elles sont rattachées à une personne.

Métadonnées et logs vendor

Intents détectés, scores CSAT, durée session, chemin de navigation, langue, device. Les outils d'analytics conversationnels agrègent ces signaux. Même sans affichage dans l'admin marchand, embeddings, logs d'inférence et copies synchronisées vers Gorgias ou Zendesk doivent être décrits au client.

Donneespersonnelles.fr rappelle qu'un chatbot traite des données personnelles même sans formulaire d'identification : cookies, IP et conversations suffisent (Données personnelles, chatbot RGPD).

Interdisez dans vos scripts bot la saisie de numéros de carte complets : redirigez vers le checkout sécurisé si un client tente de les partager dans le chat.

Sur quelle base légale vous appuyer : contrat, intérêt légitime, consentement ?

Chaque usage de données par le chatbot doit reposer sur une base légale au sens de l'article 6 du RGPD. Le consentement n'est pas la seule option, et souvent pas la meilleure pour le support post-achat.

Exécution du contrat

Répondre à « où est ma commande », initier un retour ou confirmer une modification liée à un achat peut relever de l'exécution du contrat lorsque la demande émane du client et est nécessaire au service.

Intérêt légitime

Améliorer la qualité du bot, détecter les intents répétitifs, réduire le temps de réponse ou prévenir l'abus du chat peut relever de l'intérêt légitime, après test de balance documenté (LIA). Heeya recommande cette base pour un chatbot de service client sans collecte active superflue (Heeya, chatbot RGPD 2026).

Consentement

Requis pour cookies non essentiels, relances marketing depuis le chat, newsletters ou partage avec des partenaires. Le consentement doit être granulaire, révocable et distinct des cases pré-cochées.

Erreur fréquente : utiliser le consentement cookie pour justifier tout le traitement support. Reliez vos choix à entraîner un chatbot avec données Shopify : séparez corpus FAQ public, données synthétiques et historique client réel. Pour le zero-party data, documentez comment la déclaration volontaire du client diffère d'un simple log serveur.

Comment informer l'utilisateur selon le RGPD et l'AI Act ?

La transparence est le socle de la confiance et une obligation RGPD (articles 12 à 14). Pour les chatbots IA, l'AI Act ajoute une obligation de signalement lorsque l'utilisateur interagit avec un système d'IA.

Politique de confidentialité et notice chat

Votre politique doit mentionner le chatbot, les données traitées, finalités, durées, sous-traitants IA, transferts hors UE et droits. Un lien visible à l'ouverture du widget (« comment nous utilisons ce chat ») réduit tickets et plaintes.

Article 50 AI Act : signalement IA

À compter du 2 août 2026, les déployeurs de systèmes conversationnels doivent informer clairement que l'utilisateur interagit avec une IA, sauf exceptions très étroites. Un message avant la première bulle suffit : « Vous échangez avec un assistant IA automatisé, pas un conseiller humain » (EU AI Act, article 50).

Pas de dark patterns

Ne simulez pas un humain avec photo stock et délais artificiels si le bot répond seul. Si un agent prend la main, indiquez le transfert. Voir handoff humain chatbot.

La CNIL insiste sur la transparence dès la conception des systèmes d'IA et sur l'information claire des personnes concernées (CNIL, recommandations IA).

Testez la notice avec un non-juriste : si votre équipe support ne peut pas résumer en deux phrases ce que le bot fait des données, le texte public est insuffisant.

Que vérifier dans le contrat de sous-traitance (DPA) ?

Le contrat de sous-traitance (DPA) avec votre fournisseur de chatbot est obligatoire lorsque le vendor traite des données personnelles pour votre compte. Sans DPA signé, vous ne devriez pas activer la production.

Clauses indispensables

  • Instructions documentées et interdiction d'usage pour le compte du vendor

  • Liste des sous-traitants ultérieurs (hébergeur, modèle LLM, observabilité)

  • Mesures de sécurité techniques et organisationnelles

  • Assistance pour droits des personnes et audits

  • Suppression ou restitution des données à la fin du contrat

Entraînement sur données clients

Par défaut, exigez que vos conversations clients ne servent pas à entraîner un modèle global sans base légale et clause explicite. Compound Law rappelle pour le retail qu'un chatbot conforme exige DPA, notice IA et rétention configurée (Compound Law, retail e-commerce).

Incident et notification

Délai de notification de violation au responsable, modèle de rapport, coopération avec votre DPO. Vérifiez aussi les scopes API Shopify : le DPA doit coller aux permissions réellement accordées dans l'admin.

Comment appliquer minimisation et rétention des conversations ?

Le RGPD exige de ne collecter que ce qui est nécessaire et de ne garder les données que le temps utile. Pour un chatbot support, des politiques de 30 à 90 jours sur les logs bruts sont courantes, avec archivage helpdesk plus long si justifié.

Minimisation par intent

  • FAQ produit sans compte : pas d'e-mail requis

  • WISMO : e-mail + numéro commande, pas l'historique complet si non nécessaire

  • Retour SAV : données strictes au dossier concerné

  • Marketing depuis le chat : collecte séparée avec consentement explicite

Rétention par couche

Séparez durée des messages chat, tickets synchronisés, analytics agrégées et backups. Documentez des jobs de purge automatique et testez-les chaque trimestre.

Sur demande d'effacement, supprimez ou anonymisez dans le bot, le helpdesk et les exports CSV que l'équipe a pu extraire. Automatiser le support ne justifie pas un stockage illimité « pour améliorer l'IA ». Voir réduire tickets avec l'IA avec des KPI, pas une rétention opaque.

Comment traiter accès, effacement et demandes RGPD via le chat ?

Les personnes dont les données transitent par le chatbot disposent des droits RGPD : accès, rectification, effacement, limitation, opposition, portabilité lorsque applicable.

Accès et effacement

Vous devez pouvoir fournir les conversations et métadonnées liées à un e-mail ou ID client, en principe sous un mois. Le droit à l'effacement n'est pas absolu : une commande en litige ou une obligation comptable peut légitimer une conservation partielle.

Process interne

  1. Routez les demandes RGPD reçues via le chat vers un workflow dédié, pas vers le bot seul

  2. Le bot peut accueillir la demande ; un humain ou un outil case management valide

  3. Synchronisez suppression chat, helpdesk et exports marketing

  4. Formez l'équipe support : « effacez mon chat » dans le widget = même qualité qu'un e-mail DPO

Lors d'un transfert vers un agent, évitez de dupliquer des données sensibles dans des notes internes non sécurisées. Tenez un log des demandes droits liées au chat : utile en audit CNIL et pour éviter double traitement entre outils.

Comment sécuriser les transferts hors UE et les flux API ?

Beaucoup de stacks chatbot IA impliquent des transferts hors UE/EEE : hébergement US, API LLM, support technique global. Le RGPD chapitre V impose des garanties appropriées.

Clauses types et hébergement EU

Les Standard Contractual Clauses 2021, complétées par une analyse de transfert (TIA), restent la voie standard avec des vendors US. Choisir un vendor avec région EU pour stockage réduit la complexité, mais vérifiez sous-traitants LLM et backups : « EU hosting » sur la page marketing ne remplace pas le contrat.

Flux Shopify

Les appels API Shopify depuis un serveur chat croisent données boutique et messages. Cartographiez le flux complet jusqu'au datacenter du modèle. Indiquez dans la politique les pays de traitement et les garanties.

Réévaluez les transferts après chaque changement de modèle ou migration cloud : un upgrade silencieux du vendor peut déplacer les logs.

Quand réaliser une analyse d'impact (AIPD) avant déploiement ?

Tous les chatbots ne nécessitent pas une AIPD (analyse d'impact relative à la protection des données), mais plusieurs scénarios e-commerce la rendent prudente ou obligatoire.

Quand lancer une AIPD

  • Traitement à grande échelle sur données clients identifiées

  • Données sensibles mentionnées spontanément (santé, grossesse, allergie)

  • Profilage ou tri automatique client (VIP, fraude, remises ciblées)

  • Combinaison chatbot + tracking agressif ou recoupement multi-canal

Ce qu'il faut documenter

Registre des traitements à jour, LIA, AIPD si réalisée, politiques de rétention, registre des incidents, preuves de formation équipe. La CNIL considère qu'une AIPD est en principe nécessaire pour les systèmes à haut risque impliquant des données personnelles (CNIL, AIPD et IA).

Un bot support standard reste en général hors risque élevé AI Act, mais documentez la classification. Chaque nouvelle skill bot (remise auto, accès compte, lecture panier) doit passer une revue privacy avant prod.

Quelles erreurs de conformité voit-on le plus souvent ?

Voici les erreurs de conformité les plus fréquentes sur les boutiques qui déploient un chatbot IA sans cadre privacy solide.

  • Activer le bot sans DPA parce que « c'est une beta »

  • Entraîner sur l'historique tickets sans anonymisation ni base légale

  • Conserver les chats indéfiniment « pour améliorer l'IA »

  • Simuler un humain avec prénom d'agent et photo stock

  • Oublier WhatsApp ou Messenger dans le registre des traitements

  • Copier une politique US sans adapter transferts et droits UE

  • Laisser le bot répondre aux demandes d'effacement sans process humain

Si votre chatbot n'apparaît pas dans la politique de confidentialité, c'est un signal de risque immédié en audit. Planifiez une revue semestrielle : les mises à jour d'app et de modèle LLM changent souvent plus vite que votre politique.

Comment Qstomy déploie un chatbot privacy-first sur Shopify ?

Qstomy aide les marchands Shopify à automatiser le support client par IA avec une approche privacy-first : données de commande pour répondre utilement, pas pour construire un modèle générique sur vos conversations.

Ce que Qstomy met en place

  • Contexte Shopify : statut commande, tracking, retours via scopes contrôlés

  • Transparence IA : assistant identifiable, handoff humain structuré

  • Minimisation : collecte adaptée à l'intent WISMO, SAV ou FAQ

  • Sous-traitance documentée : DPA et informations pour registre et politique

  • Analytics gouvernés : intents pour comprendre les questions clients, avec rétention configurable

Scénario DTC chiffré

Une marque DTC traite 4 200 commandes par mois et active Qstomy sur WISMO, retours et FAQ produit. Avant déploiement, l'équipe met à jour la politique, signe le DPA, configure rétention 60 jours sur logs chat et ajoute la mention AI Act dans le widget.

Objectif pilote 90 jours : 62 % de résolution bot sans agent sur intents couverts, zéro incident de fuite de données cartes, délai moyen de traitement demandes effacement réduit de 18 à 6 jours ouvrés grâce au routage bot vers workflow DPO. Coût agent évité estimé : 95 h sur la période, sans entraînement du modèle sur transcripts clients.

Découvrir support client IA Qstomy, intégration Shopify et demander une démo pour cadrer conformité et ROI sur votre stack.

Quels playbooks lancer cette semaine ?

Playbook 1 : cartographie des flux en 60 minutes

Dessinez le parcours : widget → serveur chatbot → API Shopify → helpdesk → LLM. Listez chaque champ lu ou écrit. C'est la base de votre registre et de votre politique mise à jour.

Playbook 2 : notice chat et AI Act

Rédigez un message d'accueil en trois lignes : nature IA, finalité support, lien politique confidentialité. Ajoutez un badge « Assistant IA » visible pendant toute la conversation. Vérifiez l'affichage mobile.

Playbook 3 : audit DPA en 30 minutes

  1. DPA signé et à jour

  2. Clause no-training sur conversations clients

  3. SCC ou hébergement EU documenté

  4. Durée rétention configurable et purge testée

  5. Process notification incident sous 72 h

Playbook 4 : test demande effacement

Simulez une demande « supprimez mes conversations » via le chat. Vérifiez que le bot oriente vers le process humain, que le ticket est créé avec tag RGPD, et que suppression chat + helpdesk est possible sous 30 jours.

Maillage utile

Cette semaine, ouvrez l'admin de votre chatbot et listez chaque scope API Shopify accordé : vous saurez immédiatement si vous collectez plus que nécessaire.

Enzo

26 juin 2026

Convertissez +2000 clients en moyenne par mois en utilisant Qstomy.

1ère IA Shopify dédiée à la conversion client au monde

200+ ecommerçants accompagnés

Abonnez-vous à la newsletter et obtennez un e-book personnalisé !

Solution no-code, sans connaissance technique requise. Une IA entrainée sur votre e-shop et non intrusive.

*Désabonnez-vous à tout moment. Nous n'envoyons pas de spam.

Abonnez-vous à la newsletter et obtennez un e-book personnalisé !

Solution no-code, sans connaissance technique requise. Une IA entrainée sur votre e-shop et non intrusive.

*Désabonnez-vous à tout moment. Nous n'envoyons pas de spam.