Upster Logo

Conformité RGPD · Mai 2026

RGPD et chatbot commercial : le guide complet pour ton agence en 2026

Publié le 16 mai 2026Mis à jour le 26 mai 202611 min de lecturePar Mickael Garcia

Ce qu'il faut retenir

  • Dès qu'un prospect échange en DM avec ton chatbot, tu fais du traitement de données personnelles.
  • Tu es responsable de traitement, ton fournisseur de bot est sous-traitant, d'où l'obligation d'un DPA signé (article 28 RGPD).
  • Tes trois obligations principales : informer le prospect, choisir une base légale claire, respecter ses droits (accès, effacement, opposition).
  • Au-delà de quelques centaines de prospects traités, une AIPD devient probablement obligatoire.
  • Sanctions jusqu'à 20 M€ ou 4 % du CA mondial, plus l'impact réputationnel d'une publication CNIL.

Tu déploies un chatbot ou un setter IA pour qualifier tes prospects sur Instagram ou WhatsApp ? Tu es probablement en infraction au RGPD sans le savoir. Pas par mauvaise foi — juste parce que la documentation officielle est dense, que les prestataires éludent souvent le sujet, et que la CNIL n'a commencé à publier des recommandations spécifiques aux bots conversationnels qu'à partir de 2023.

Ce guide te donne la lecture exhaustive de tes obligations en 2026, sans jargon, avec les bons réflexes à mettre en place cette semaine. Il s'adresse aux agences, infopreneurs et coachs qui font tourner un bot DM en production, ou qui s'apprêtent à le faire.

Le RGPD appliqué aux chatbots en 3 minutes

Le Règlement général sur la protection des données (RGPD, règlement UE 2016/679) encadre tout traitement de données personnelles dans l'Union européenne depuis mai 2018. Il repose sur six grands principes, et chacun s'applique à ton chatbot dès le premier message reçu :

  • Licéité, loyauté, transparence : tu ne peux pas collecter en douce. Le prospect doit savoir qui tu es, pourquoi tu lui parles, et ce que tu vas faire de ses réponses.
  • Limitation des finalités : tu collectes pour qualifier un prospect, pas pour lui revendre du retargeting six mois plus tard sans son accord.
  • Minimisation : tu demandes uniquement les données utiles à la qualification, rien de plus. Pas d'adresse postale si tu fais du coaching en visio.
  • Exactitude : si un prospect te dit qu'il s'est trompé, tu corriges sa fiche.
  • Conservation limitée : tu ne gardes pas les données dix ans « au cas où ». Tu fixes une durée et tu la respectes.
  • Intégrité et confidentialité : tu sécurises ce que tu stockes (chiffrement, accès restreints, mots de passe forts).

Ces principes ne sont pas une checklist déclarative : la CNIL les contrôle en pratique, et chaque manquement est un motif indépendant de sanction.

Ton statut : responsable ou sous-traitant ?

Le RGPD distingue deux rôles, et la confusion entre les deux est la première cause de non-conformité dans les agences.

Responsable du traitement : c'est celui qui décide pourquoi et comment les données sont traitées. C'est toi, l'agence, le coach, l'infopreneur. C'est ton compte Instagram, c'est ta stratégie de qualification, c'est ton offre derrière — tu portes la responsabilité juridique.

Sous-traitant : c'est celui qui traite les données pour le compte du responsable. C'est l'éditeur de ton chatbot (Upster ou un autre). Il n'agit que sur tes instructions et son rôle est encadré par l'article 28 du RGPD.

Cette relation se contractualise par un DPA (accord de sous-traitance, article 28). Upster en signe un avec chaque client : il fixe noir sur blanc ce qu'on traite, pourquoi, combien de temps et comment c'est sécurisé. Il te couvre côté sous-traitant. La base légale et l'information du prospect, elles, restent ta responsabilité.

Pourquoi cette distinction compte : la CNIL ne va pas se retourner contre ton fournisseur de bot si tu n'as pas informé tes prospects. Elle se retourne contre toi. Le sous-traitant est solidaire mais jamais à ta place.

Les 3 obligations qui te tombent dessus

1. Informer le prospect, dès le premier contact

L'article 13 du RGPD impose une information claire et concise à toute personne dont tu collectes des données. Pour un chatbot DM, voici les éléments à transmettre :

  • Qui collecte (l'identité de ton agence, ton mail de contact).
  • Pourquoi (qualifier un prospect en vue d'un échange commercial).
  • Combien de temps tu gardes les données.
  • Les droits du prospect (accès, rectification, effacement, opposition, portabilité).

En pratique, tu ne peux pas balancer un mur de texte dans le premier message. La bonne approche : une mention courte dans le premier message du bot (« Tes infos servent à voir si on peut bosser ensemble. Détails et droits → [lien] »), couplée à une page dédiée sur ton site, et idéalement une mention dans la bio Instagram. Cette page doit être accessible avant que le prospect ne lâche ses infos sensibles.

2. Choisir une base légale claire

Le RGPD impose une base légale pour chaque traitement. Pour un chatbot commercial, deux bases sont recevables :

  • Intérêt légitime (art. 6.1.f) : recommandé pour la qualification d'un prospect qui t'a écrit spontanément. Tu dois pouvoir démontrer que ton intérêt commercial ne porte pas atteinte à ses droits.
  • Consentement (art. 6.1.a) : nécessaire pour tout ce qui dépasse la qualification : newsletter, retargeting publicitaire, scoring marketing, transfert à un partenaire.

Le piège classique : se croire couvert par l'intérêt légitime pour tout. Si tu réutilises les données pour une campagne email après la conversation, il te faut un consentement explicite recueilli pendant l'échange DM.

3. Respecter les droits, en pratique

Tout prospect peut, à tout moment, demander :

  • L'accès à ses données (qu'est-ce que tu as sur lui ?).
  • La rectification de ce qui est inexact.
  • L'effacement, le fameux « droit à l'oubli ».
  • L'opposition au traitement.
  • La portabilité (récupérer ses données dans un format réutilisable).

Tu as un mois pour répondre, gratuitement. Concrètement : prévois une adresse mail dédiée (souvent rgpd@tonagence.com), un process interne pour aller chercher les données dans le bot, le CRM et les outils annexes, et un modèle de réponse. Sans ce process, une demande tombe le mauvais jour et tu n'arrives pas à tenir le délai. C'est exactement le type de manquement qui déclenche un contrôle.

Le DPA avec ton fournisseur de chatbot

L'article 28 du RGPD est limpide : tout recours à un sous-traitant doit être encadré par un contrat écrit, communément appelé Data Processing Agreement (DPA) ou accord de sous-traitance.

Ce contrat doit préciser :

  • L'objet et la durée du traitement.
  • La nature et la finalité du traitement.
  • Le type de données et les catégories de personnes concernées.
  • Les obligations du sous-traitant : confidentialité, sécurité, suppression en fin de contrat, assistance pour répondre aux droits, notification en cas de violation.
  • Le recours éventuel à des sous-traitants ultérieurs (les sub-processors, comme les hébergeurs ou les fournisseurs de modèles d'IA).

Si ton prestataire chatbot ne te fournit pas spontanément un DPA, c'est un signal d'alerte. Soit il ne maîtrise pas le sujet, soit il te laisse porter seul le risque. Dans les deux cas, c'est rédhibitoire pour un usage sérieux.

À l'inverse, un DPA fourni de base, rédigé en français et à jour des références au RGPD et au cadre européen 2024-2026, est un standard de marché pour un SaaS qui se respecte. Upster fournit ce DPA dès l'onboarding, sans demande spécifique à formuler.

L'AIPD : quand elle devient obligatoire

L'Analyse d'Impact relative à la Protection des Données (AIPD, ou DPIA en anglais) est imposée par l'article 35 du RGPD pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes.

La CNIL fournit une liste de 9 critères pour évaluer ce risque. Si ton traitement coche au moins deux critères, l'AIPD est obligatoire. Pour un setter IA en DM, les critères pertinents sont :

  • Évaluation ou notation (le scoring de qualification d'un prospect en fait partie).
  • Décision automatisée avec effet juridique ou similaire significatif (orienter un prospect vers un commercial ou non).
  • Traitement à grande échelle (au-delà de quelques centaines de personnes concernées par mois).
  • Usage innovant ou application de nouvelles solutions technologiques (l'IA conversationnelle entre dans cette catégorie).

En clair : si tu fais tourner un setter IA sur plusieurs centaines ou milliers de prospects par mois, l'AIPD est quasi systématiquement obligatoire. Elle prend la forme d'un document interne qui décrit le traitement, les risques identifiés et les mesures mises en place pour les limiter. La CNIL met à disposition un outil gratuit (PIA) pour la rédiger.

Ne pas faire l'AIPD quand elle est obligatoire est un manquement direct, sanctionné en tant que tel, indépendamment du fait que le traitement soit, au fond, conforme ou non.

Durées de conservation : ce qui s'applique

Le RGPD ne fixe pas de durée universelle : tu dois définir, documenter et justifier les durées que tu retiens, en cohérence avec ta finalité. Voici les standards retenus par la CNIL et la pratique B2B en 2026 :

CatégorieDurée recommandéeBase
Prospects qualifiés actifs (en cours de relation commerciale)Durée de la relation + 3 ansRecommandation CNIL prospection B2B
Prospects refusés ou non aboutis3 ans à compter du dernier contactRecommandation CNIL prospection B2B
Conversations DM brutes (logs)1 à 3 ans selon finalitéPrincipe de minimisation
Données d'analyse anonymisées (KPI agrégés)Sans limite (si réellement anonymisées)Hors champ RGPD

Ces durées doivent figurer dans ton registre des traitements et dans ta politique de confidentialité. Programmer une suppression automatique dans ton outil (et celui de ton sous-traitant) est la meilleure façon de tenir l'engagement sans y penser.

Que dit la CNIL sur les chatbots commerciaux

La CNIL a publié en février 2024 un guide spécifique consacré à l'usage des chatbots et assistants conversationnels, prolongé par une série de fiches pratiques sur l'IA générative (2024-2025). Les points-clés à retenir :

  • Information claire en début de conversation : l'utilisateur doit comprendre qu'il échange avec un système automatisé et savoir ce qu'il advient de ses données, une obligation que l'AI Act article 50 rend juridiquement contraignante à partir d'août 2026.
  • Limitation des données collectées : un bot ne doit pas pousser à divulguer des informations sensibles par effet d'entonnoir conversationnel.
  • Encadrement de la réutilisation des conversations pour entraîner des modèles d'IA : une finalité distincte qui demande une base légale propre, généralement un consentement explicite.
  • Vigilance sur les sous-traitants hors UE : si ton outil ou ses modèles passent par des serveurs aux États-Unis, tu dois encadrer le transfert (clauses contractuelles types, certification adéquation).

La CNIL a sanctionné plusieurs entreprises ces deux dernières années pour des manquements liés à des bots ou systèmes automatisés : défaut d'information, durée de conservation excessive, absence d'AIPD. Les montants vont de quelques dizaines de milliers à plusieurs millions d'euros, selon la taille et la gravité.

Sanctions : ce que tu risques vraiment

L'article 83 du RGPD plafonne les sanctions administratives à deux niveaux :

Type de manquementSanction maximale
Manquements aux obligations du responsable et du sous-traitant (registre, AIPD, sécurité, notification…)10 M€ ou 2 % du CA mondial (montant le plus élevé)
Violations des principes, des droits des personnes, des transferts hors UE20 M€ ou 4 % du CA mondial

Mais la sanction administrative n'est qu'une partie du risque. La CNIL utilise de plus en plus la publication de ses décisions : une simple mise en demeure publique, sans amende, peut suffire à détruire la crédibilité B2B d'une agence. À cela s'ajoutent les recours possibles des personnes concernées (dommages-intérêts) et l'effet de signal sur les partenaires, qui exigent désormais des garanties RGPD contractuelles avant de signer.

Checklist conformité agence

Sept points à valider, à imprimer mentalement, à reprendre chaque trimestre :

  • DPA signé avec ton outil de chatbot, à jour des références au RGPD et aux sous-traitants ultérieurs.
  • Mention RGPD visible dans la bio Instagram et sur ton profil WhatsApp Business, renvoyant vers ta page de politique de confidentialité, en cohérence avec les règles DM Instagram de Meta.
  • Premier message du bot qui mentionne la collecte et renvoie vers les informations complètes.
  • Registre des traitements à jour, listant le traitement « setting IA », les catégories de données, les durées, les destinataires.
  • AIPD rédigée si tu dépasses quelques centaines de prospects par mois ou si tu coches deux critères CNIL.
  • Process documenté pour répondre aux demandes RGPD (adresse dédiée, délai, modèles de réponse).
  • Audit annuel de tes traitements, idéalement couplé à une revue de tes sous-traitants et de leurs certifications.

L'approche Upster

Upster a été pensé pour rendre la conformité RGPD by design, et non comme une couche à ajouter après coup.

Concrètement, tu reçois dès l'onboarding :

  • Un DPA prêt à signer, rédigé en français, à jour des références au RGPD et au cadre européen 2024-2026.
  • Un registre simplifié des traitements, pré-rempli pour la partie setter IA, qu'il te suffit d'intégrer à ton registre global.
  • Un modèle de mention d'information à insérer dans le premier message du bot et dans ta bio.
  • Une procédure de suppression sur demande, qui purge l'ensemble des traces (conversation, fiche, logs) en quelques clics.
  • Une durée de conservation paramétrable, avec suppression automatique des conversations passé le seuil fixé.

La logique est simple : si la conformité prend une après-midi de paperasse à chaque agence cliente, personne ne la fait. En la posant comme un standard du produit, on retire un frein au déploiement et on protège durablement la marque de nos clients.

Questions fréquentes

Mon agence a moins de 250 salariés, suis-je vraiment concerné par le RGPD ?

Oui. Le RGPD s'applique dès le premier prospect dont tu traites les données, peu importe ta taille. Le seuil des 250 salariés ne dispense que partiellement du registre des traitements, et l'exemption tombe dès que le traitement est régulier, ce qui est le cas d'un chatbot qui tourne en continu sur ton Instagram.

Faut-il un consentement explicite pour qu'un setter IA réponde à un DM entrant ?

Pas forcément. Quand le prospect t'envoie un DM, il initie lui-même la conversation : tu peux te baser sur l'intérêt légitime pour la qualification commerciale, à condition d'informer clairement. Le consentement explicite redevient nécessaire pour des usages annexes comme l'ajout à une newsletter ou la réutilisation des données à des fins de scoring marketing.

Que faire si un prospect demande la suppression de toutes ses données ?

Tu as un mois pour répondre. Concrètement, tu dois supprimer la conversation DM, les notes internes, la fiche CRM associée et toute trace dans tes outils d'analyse. Garde une trace de la demande et de son traitement. C'est ce qui te protège en cas de contrôle CNIL.

Le DPA fourni par mon prestataire chatbot suffit-il à me couvrir ?

Il est obligatoire (art. 28 RGPD) mais il ne te couvre pas tout seul. Le DPA encadre la relation avec ton sous-traitant ; tu restes responsable de la collecte, de l'information et de la base légale côté prospect. Le DPA est une brique, pas un parapluie complet.

Une AIPD est-elle obligatoire pour un setter IA qui traite quelques centaines de prospects par mois ?

Probablement, oui. La CNIL considère qu'au-delà de quelques centaines de personnes concernées, combiné à un traitement automatisé et à un profilage commercial, deux critères sur trois sont remplis, ce qui déclenche l'obligation d'AIPD. Mieux vaut la formaliser plutôt que d'attendre un contrôle.

Que risque concrètement une agence qui ignore le RGPD sur son chatbot ?

Au maximum, une amende de 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel. En pratique, la CNIL frappe d'abord par des mises en demeure publiques, puis par des sanctions proportionnelles, souvent quelques dizaines de milliers d'euros pour une PME, accompagnées d'une publication qui détruit la réputation B2B.

Tu veux un setter IA conforme RGPD dès le premier message ?

Upster fournit DPA, registre et mentions d'information de base. Réserve un appel de 30 minutes. On regarde ensemble si c'est adapté à ton activité et à ton volume.

Réserver un appel

L'IA parle vraiment comme je le souhaite. La qualification est très pertinente.

Margaux

Margaux

Founder OXI Agency

Je recevais 40 à 50 messages par semaine. Maintenant je les gère sans y penser.

Charles

Charles

Créateur de contenu

Mon agenda est plein mais je ne touche presque plus aux DMs.

Simon

Simon

Coach Sportif

Personne n'a remarqué la différence. Juste la rapidité.

Adelaïde

Adelaïde

Coach Fitness

La mise en place a pris moins d'une heure. Le lendemain, tout tournait déjà.

Mathilde

Mathilde

Coach Fitness

L'IA s'adapte mieux que certains humains que j'avais embauchés.

Vincent

Vincent

Créateur de contenu

Cet article est fourni à titre informatif et ne constitue pas un avis juridique. Pour une mise en conformité spécifique à ton activité, consulte un avocat spécialisé en droit du numérique ou un DPO certifié. Sources principales : Règlement (UE) 2016/679 (RGPD) sur eur-lex.europa.eu, guides et recommandations de la CNIL sur les chatbots et l'IA générative sur cnil.fr.