intoCHAT LogointoCHAT
Retour au blog
Conformité · Allemagne 2026-05-30 9 min de lecture

RGPD et chatbots : la checklist de conformité 2026 pour les entreprises allemandes

intoCHAT Team
intoCHAT Team
9 min de lecture
Checklist de conformité RGPD pour déploiements chatbot en Allemagne

Si votre entreprise opère en Allemagne et exploite un chatbot, vous traitez des données personnelles sous le RGPD européen (DSGVO) et la loi fédérale allemande sur la protection des données (BDSG). L'Allemagne applique l'interprétation la plus stricte du RGPD dans l'UE — les autorités de contrôle (BfDI, HmbBfDI, LfDI) émettent plus de sanctions par habitant que tout autre État membre.

Ce que le RGPD exige réellement pour les chatbots

L'article 6 RGPD exige une base légale pour chaque traitement. Pour les chatbots, la base typique est l'intérêt légitime (Art. 6(1)(f)) pour le service client — mais avec un test de mise en balance documenté. Pour les usages marketing (templates WhatsApp outbound), le consentement explicite (Art. 6(1)(a)) est requis.

Données personnelles dans les conversations

Presque chaque interaction traite des données personnelles — IP, empreintes navigateur, texte libre avec noms/contacts/données santé ou financières. Chaque déploiement nécessite minimisation documentée, politique de rétention avec suppression automatique, processus pour les droits des personnes (Auskunft, Berichtigung, Löschung, portabilité, opposition), et mention transparente du chatbot dans la Datenschutzerklärung.

Résidence des données — UE vs Allemagne

Le RGPD n'exige pas que les données restent en Allemagne — elles doivent rester en UE/EEE. En pratique, les Aufsichtsbehörden allemandes préfèrent fortement l'hébergement UE (Francfort). Hébergement Allemagne disponible en Enterprise pour exigences strictes BSI. Évitez US — après Schrems II, transferts US exigent des garanties supplémentaires.

Auftragsverarbeitungsvertrag (AVV / DPA)

L'art. 28 RGPD exige un AVV écrit. Il doit spécifier : catégories de données, finalités, durée, liste des sous-traitants, TOMs, notification de violations (72h Art. 33), droits des personnes, droits d'audit, suppression à la fin du contrat. intoCHAT signe un AVV pour chaque déploiement payant en Allemagne.

Logs d'audit et rétention

Pour les industries régulées (banque/BaFin, assurance, santé, secteur public), le log d'audit de chaque conversation devient attendu. Rétention par catégorie : transcriptions 30–90 jours, logs 6 mois–7 ans, leads qualifiés durée de la relation, analytique anonymisée illimitée.

Modèles IA transfrontaliers et Schrems II

Les chatbots IA utilisent des LLMs de fournisseurs (OpenAI, Anthropic, Google, Mistral). Beaucoup routent par défaut via les US. Après Schrems II, les DPO allemands appliquent une scrutiny élevée. Mitigations : endpoints UE-hébergés (OpenAI EU, Azure Frankfurt/Paris, Mistral UE), minimisation API, opt-out training, chaîne contractuelle dans le DPA.

Checklist pratique 9 points

  1. AVV signé avec liste sous-traitants, SLA notification, droits audit, TOMs.
  2. Hébergement UE documenté au contrat (Francfort ou équivalent).
  3. Base légale documentée par activité de traitement.
  4. Datenschutzerklärung mise à jour pour divulguer le chatbot.
  5. Droits des personnes opérationnalisés — testés end-to-end.
  6. Politique de rétention par catégorie, suppression auto.
  7. Usage transfrontalier modèles IA documenté, endpoints UE pour sensible.
  8. Log d'audit activé, exportable, inviolable.
  9. Plan de réponse incident avec notification 72h (Art. 33).

Couches sectorielles

  • Banque (BaFin) : règles outsourcing (MaRisk AT 9), risque modèle, supervision humaine, accord comité gouvernance.
  • Santé (Art. 9 RGPD) : contrôles élevés pour Gesundheitsdaten — pas de stockage persistant texte libre clinique, audit obligatoire.
  • Secteur public (BSI-Grundschutz) : hébergement Bundesgebiet souvent requis.
  • Télécom (TKDSG) : règles supplémentaires sur métadonnées communication.

Pour entreprises allemandes prêtes à démarrer

intoCHAT est construit pour l'environnement de conformité allemand — hébergement UE (Francfort) avec Allemagne en Enterprise, AVV au contrat, ISO 27001, audit log dans chaque plan, endpoints modèle UE-hébergés. Voir chatbot IA pour l'Allemagne ou agent IA pour l'Allemagne.

Cet article est informatif et non un conseil juridique.