Chatbot et sécurité : une protection des données assurée

Avatar Thomas Maitre
4 février 2019

Une des premières questions que nos prospects qui souhaitent digitaliser leur DSI nous posent en RDV est la suivante : comment assurer la sécurité des données personnelles ?

Une autre question, également à la mode : respectez-vous les règles RGPD ?

Du coup j’ai décidé d’écrire un article sur le sujet pour bien étudier les contours du sujets et vous donner les clés pour ne pas avoir de trous dans la raquette. 

Voici les 5 questions à se poser pour assurer la sécurité des données.

Sommaire

  1. Où le bot est-il accessible ?
  2. Qui gère la NLU ?
  3. Hébergement SaaS ou On Premise ?
  4. Connecté au SI ou pas ?
  5. RGPD ou pas ?
  6. Conclusion


1. Où le bot est-il accessible ?


Vous ou vos équipes métiers allez décider de partager le chatbot sur un ou plusieurs canaux (Facebook Messenger, Skype, Web, etc…).

Dès qu’un chatbot est mis en production sur l’une de ses plateformes, il faut partir du principe que cette même plateforme intercepte et stocke l’ensemble des interactions entre le bot et l’utilisateur. 

En résumé, si vous faites un chatbot disponible sur Facebook Messenger, les données de conversations seront stockées par votre logiciel de création de chatbot (ex: nous) ET par Facebook.

Et dans certains cas (en vérité beaucoup de cas…), vous n’avez pas envie de laisser ces données à Facebook.


2. Qui gère la NLU ?


Le deuxième truc à regarder, c’est de savoir où sont hébergées l’ensemble des briques composant la solution de création de chatbot. Est-ce que tout est basé sur les serveurs de la solution, ou cette solution fait-elle appel à des services externes (API NLU, API connector, bot connector,…).

Attention particulièrement à la NLU utilisée. Si elle est basée sur un outil du marché (Luis.ai, Watson, Recast.ai,…) alors toutes les requêtes qui passent par le chatbot seront stockées sur leurs serveurs. 

Les DSI sont frileux sur le fait de laisser leurs données à des services américains, même avec des serveurs basés en France.

Certains de ces fournisseurs de NLU n’ont même pas de datacenters en Europe, ce qui peut être problématique (et non RGPD-compliant).


3. Hébergement SaaS ou On Premise ?


Beaucoup de solutions de création de chatbots (quelle que soit celle que vous choisissez) sont des solutions SaaS, c’est à dire hébergées sur des serveurs cloud (donc pas sur vos serveurs). 

Les DSI sont souvent un peu frileux sur ce genre de solutions. Ils ont raisons. Mais il faut bien distinguer les différentes options possibles. 

Si toutes les briques techniques du produit son gérées par l’application, et que cette application est hébergée sur des serveurs SaaS, c’est déjà un bon point (chez nous c’est comme ça 😍).

Ensuite, il faut voir si le choix du prestataire cloud de l’application est compliant avec vos pré-requis internes. Certaines entreprises mettent un véto sur des applications cloud hébergées sur AWS. D’autres non. Chez nous, c’est chez OVH en France avec une structure validée par BNP Paribas et le Ministère de l’Intérieur (ceinture et bretelle 😅).

Mais du coup certaines application (comme nous encore une fois) comprennent ces problématiques et permettent aux clients d’installer notre application sur leurs serveurs cloud ou interne. On se base sur les technologies Docker et Kubernetes pour simplifier l’installation sur les serveurs et la mise à jour à distance de l’application (1 à 2 mises à jours par semaine, on chôme pas).


4. Connecté au SI ou pas ?


Autre élément à savoir, qui va guider la réponse à la question 3 d’ailleurs : est-ce que le bot envoie ou récupère des données de votre SI ?

Outre le fait qu’il faut que votre SI soit compatible au notre (via des API REST), vous devrez auditer plus en détail la solution que vous choisissez pour s’assurer qu’aucune faille de sécurité ne soit possible.

Si le bot n’est pas connecté au SI, dans ce cas pas de problème et le chatbot n’a pas d’impact sur votre SI.


5. RGPD ou pas ?


L’avantage d’un chatbot, c’est qu’il collecte toutes les interactions entre l’utilisateur et le robot. 

On sait donc exactement qui est venu parler quand, pourquoi, ce qu’il a demandé, à quelle heure, etc…

Si un utilisateur vient vous voir pour savoir quelles données vous avez collectées sur lui : vous pourrez lui dire en 2 minutes.

S’il souhaite supprimer ses données : super facile aussi !

Donc Vizir vous permet d’être RGDP compliant. 

Après, charge à vous d’expliquer à l’utilisateur, dans l’interface de conversation, que vous allez collecter des données, pour telle ou telle raison, et que s’il souhaite supprimer ses données ou autre il peut vous contacter ou poser directement la question au robot. 


Conclusion


Avant de vous lancer, posez-vous ces 5 questions et surtout, posez ces 5 questions aux fournisseurs que vous interrogez.

Bon il se trouve que Vizir remplit toutes les cases 😇

Donc si vous voulez gagner du temps, vous pouvez prendre RDV avec Thomas qui vous en dira un peu plus sur notre produit.



Tu peux aussi télécharger cet article en PDF ici.

À la pointe de l'actu

Notre blog