Un chatbot SaaS est-il conforme RGPD pour une PME française ?
La plupart des solutions du marché transmettent les conversations de vos visiteurs à des éditeurs américains soumis au Cloud Act. Un nouveau cadre juridique (Data Privacy Framework, juillet 2023) encadre ces transferts, mais ses deux prédécesseurs ont été invalidés par la CJUE. En tant que responsable de traitement, c'est votre PME qui porte le risque juridique, pas l'éditeur du logiciel. Coût réel d'une alternative souveraine : moins de 1 €/mois en tokens IA pour un usage PME typique.
Quand un visiteur tape une question dans le chatbot de votre site, cette conversation part quelque part. La question est : où exactement, et qui la lit ?
La plupart des dirigeants de PME ne se la posent pas. Le chatbot était gratuit ou peu coûteux à installer, il répond correctement, les choses semblent fonctionner. Mais derrière cette interface propre se cache un détail juridique qui mérite quelques minutes de votre attention.
Ce que font réellement les solutions SaaS grand public
Les plateformes de chatbot les plus répandues sur le marché sont des services américains. Quand votre visiteur pose une question (son secteur d'activité, son problème technique, sa recherche de prestataire), cette conversation est envoyée vers des serveurs américains pour être traitée par leur modèle d'intelligence artificielle, puis stockée dans leur infrastructure pour améliorer leurs systèmes.
Ce n'est pas une accusation. C'est le modèle économique normal d'un service SaaS gratuit ou à faible coût : vous payez en données.
Le problème juridique est structurel. Les entreprises américaines sont soumises au Cloud Act, une loi qui autorise les autorités américaines à accéder aux données qu'elles hébergent, y compris celles de citoyens européens, indépendamment du territoire où se trouvent les serveurs. Installer un chatbot Intercom, Drift ou HubSpot, c'est confier les conversations de vos prospects à une entité juridique américaine soumise à cette loi.
Un cadre juridique instable depuis 2020
La question des transferts de données vers les États-Unis est en suspens depuis l'arrêt Schrems II de la Cour de Justice de l'Union Européenne en juillet 2020, qui a invalidé le Privacy Shield, l'accord censé encadrer ces échanges. Un nouveau cadre, le Data Privacy Framework, a été adopté par la Commission européenne en juillet 2023. Les transferts vers les entreprises américaines certifiées sont à nouveau légalement encadrés.
Mais ce troisième accord transatlantique est déjà contesté. L'association NOYB de Max Schrems, celle-là même qui a fait invalider les deux précédents, a annoncé un recours devant la CJUE. Safe Harbor a tenu 15 ans avant d'être invalidé. Privacy Shield n'a duré que 4 ans. La question n'est pas réglée, elle est suspendue.
Si le DPF est invalidé demain, les transferts vers vos prestataires SaaS américains redeviennent illicites du jour au lendemain, et c'est vous, responsable de traitement, qui portez le risque. Pas l'éditeur du logiciel basé à San Francisco.
Qui est responsable ? Vous, pas l'éditeur du logiciel.
C'est le point que beaucoup de dirigeants PME ignorent. Le RGPD distingue le responsable de traitement, votre entreprise qui collecte les données de vos prospects sur votre site, du sous-traitant, qui traite ces données pour votre compte. L'éditeur du chatbot est un sous-traitant. Vous êtes le responsable de traitement.
Ce que ça signifie concrètement : si la CNIL contrôle votre site et constate un problème de conformité sur les transferts, c'est vous qui recevez la mise en demeure. La CNIL a déjà mis en demeure des gestionnaires de sites français pour l'utilisation de Google Analytics : même logique juridique, même responsabilité.
En février 2022, la CNIL a mis en demeure plusieurs gestionnaires de sites français pour transfert illicite de données via Google Analytics vers les États-Unis. Les organismes concernés disposaient d'un mois pour se mettre en conformité. Même mécanisme, même responsabilité pour un chatbot SaaS américain.
Ce que nous avons choisi de faire
Quand nous avons développé notre propre chatbot pour sudimedia.fr, nous avons posé la question différemment. Pas "quel outil chatbot installer ?" mais "comment construire quelque chose dont nous contrôlons entièrement la chaîne de données ?"
Le résultat repose sur trois choix techniques assumés.
Mistral AI, société française. Le modèle d'intelligence artificielle utilisé est opéré par Mistral AI SAS, société française soumise au droit européen. L'inférence, c'est-à-dire le traitement de chaque question posée, se fait sur une infrastructure hébergée en Europe, sans entité juridique américaine dans la chaîne. Pas de Cloud Act applicable.
Stockage OVH en France. Les données que nous stockons (logs d'usage, historiques de session) sont hébergées sur nos serveurs OVH en France. Ces deux couches sont distinctes : le traitement IA passe par Mistral, le stockage reste chez nous. Les conversations ne sont pas utilisées pour entraîner un modèle tiers, et ne sont accessibles qu'à nous.
Minimisation et purge automatique. Les adresses IP des visiteurs sont systématiquement hashées de manière non réversible avant tout stockage. Les conversations sont purgées automatiquement au bout de 90 jours. Notre politique de confidentialité mentionne explicitement ces traitements et leur base légale.
Ce n'est pas une posture marketing. C'est la conséquence logique d'un choix de développement sur mesure plutôt que d'intégration d'un outil clé en main.
La question du coût
L'objection habituelle aux solutions sur mesure, c'est le coût. Elle est légitime et mérite une réponse honnête.
Un chatbot SaaS "gratuit" n'est pas gratuit. Il se finance par vos données ou par un abonnement mensuel qui démarre souvent entre 50 et 200 euros par mois pour les fonctionnalités un peu avancées, auxquels s'ajoutent les coûts de configuration, d'intégration à votre site, et de maintenance quand l'éditeur change son API.
Notre chatbot sur mesure consomme des tokens Mistral AI à chaque conversation. Pour un usage PME typique de 500 messages par mois, cela représente moins de 1 euro en coûts d'API. Pour un usage intensif de 2 000 messages mensuels, environ 3 euros. Le développement initial s'amortit dans le temps, et vous ne dépendez d'aucun abonnement tiers dont les tarifs ou les conditions peuvent changer.
Ce n'est pas applicable à toutes les situations. Si vous avez besoin d'un chatbot e-commerce avec intégration CRM, gestion de tickets et équipe de support de 20 personnes, une solution SaaS spécialisée a du sens. Mais pour une PME qui veut qualifier des prospects entrants et répondre aux questions courantes sur ses services, la balance coût/contrôle penche clairement vers le sur mesure.
Ce que ça change pour vos prospects
Un visiteur qui pose une question sur votre chatbot vous fait confiance implicitement. Il suppose que cette conversation reste dans le cadre de votre relation commerciale naissante, pas qu'elle alimente la base de données d'un éditeur américain.
Respecter cette confiance, c'est une question d'honnêteté autant que de conformité juridique. C'est aussi, concrètement, une démonstration de la façon dont vous gérez les données en général, ce qui devient un critère d'achat B2B de plus en plus explicite.
Si vous avez un chatbot sur votre site et que vous n'avez jamais vérifié où vont les conversations de vos visiteurs, c'est probablement le bon moment. Regardez les conditions d'utilisation de votre éditeur, localisez l'entité juridique contractante, et comparez avec ce que dit votre politique de confidentialité. L'écart entre les deux est souvent révélateur.
Pour comprendre comment la même logique de souveraineté s'applique à vos formulaires de contact, notre article sur le coût réel des formulaires gratuits pour votre PME complète utilement cette analyse.
Votre chatbot expose-t-il vos prospects ?
Nous auditons votre situation actuelle : éditeur utilisé, entité juridique contractante, conformité avec votre politique de confidentialité. Et nous discutons ensemble d'une alternative adaptée à votre contexte.
Demander un entretien gratuit