Sécurité et RGPD d'un chatbot IA tourisme : guide hébergeur 2026

L’IA conversationnelle traite des données personnelles par nature : prénom, langue, intentions, parfois numéro de chambre ou réservation. La conformité RGPD n’est pas optionnelle, et les exigences sont plus subtiles qu’on ne le croit. Ce guide approfondi va plus loin que notre article court sur le sujet : sous-traitance LLM, registre, cookies, checklist signature. Pour les hébergeurs qui veulent du sérieux.

À retenir

• Le RGPD pour un chatbot IA tourisme va au-delà du simple “hébergement France”
• La sous-traitance LLM (OpenAI, Anthropic, Mistral) doit être encadrée contractuellement
• Le registre des traitements doit recevoir une ligne dédiée “chatbot IA”
• Les cookies du widget exigent une analyse au cas par cas
• Une checklist 10 points permet d’éviter les éditeurs douteux

Pourquoi le RGPD est plus exigeant qu’on ne le pense pour un chatbot tourisme

Le RGPD (règlement européen 2016/679) impose 6 principes structurants : licéité, finalité, minimisation, exactitude, durée, sécurité. Sur un chatbot IA, chacun mérite une vigilance spécifique.

Le piège classique : croire qu’on est conforme parce que le chatbot est “hébergé en France”. L’hébergement de l’application, c’est seulement une partie de l’équation. Il faut aussi auditer :

• Où vont les requêtes vers le LLM (OpenAI, Anthropic, Mistral) ?
• Quelles données sont effectivement envoyées dans le prompt ?
• Combien de temps les conversations sont stockées ?
• Qui a accès au dashboard côté éditeur ?
• Que se passe-t-il si un client exerce son droit d’effacement ?

Et un point spécifique au tourisme : les conversations peuvent contenir des données sensibles (santé pour les demandes d’accessibilité PMR, données concernant des mineurs pour les chambres familiales, données de paiement si mal canalisées). Le niveau d’exigence monte.

Sur ces sujets, l’article court RGPD et IA dans l’hospitality pose les bases. Cet article-ci va plus loin.

Hébergement des données : France, UE, hors UE - les vraies différences

Trois cas de figure structurent le marché.

Hébergement France

Idéal sur le papier : aucun transfert hors UE, juridiction française, conformité Schrems II automatique. Hébergeurs typiques : OVHcloud (Roubaix, Strasbourg, Gravelines), Scaleway (Paris), Outscale, Bleu, S3NS.

C’est la position de Groomy : hébergement OVHcloud Roubaix, données qui ne quittent pas le territoire.

Hébergement UE (autre pays)

Acceptable. Mêmes garanties juridiques RGPD. Vigilance sur l’Allemagne (Hetzner, IONOS) et l’Irlande (problématique car siège des big tech US, exposition juridique plus forte).

Hébergement hors UE

Compliqué depuis l’arrêt Schrems II (2020) et le Data Privacy Framework (2023, fragile). Si votre éditeur héberge aux USA (AWS US, GCP US, Azure US), exigez :

• DPF actif et à jour (vérifiez sur dataprivacyframework.gov)
• Clauses contractuelles types (CCT) en complément
• Analyse d’impact (AIPD) si données sensibles
• Plan B documenté en cas d’invalidation du DPF

En 2026, beaucoup d’éditeurs US continuent à pousser le DPF. Notre conseil : préférez de l’UE strict pour un chatbot tourisme, surtout si vous traitez des publics européens.

Anonymisation, pseudonymisation, conservation : les bonnes pratiques

Trois mécanismes complémentaires.

Anonymisation

Suppression de toute donnée permettant d’identifier la personne. Une fois anonymisé, le RGPD ne s’applique plus à la donnée. Méthodes : suppression des identifiants, hash irréversible, agrégation. C’est rarement réversible.

Pseudonymisation

Remplacement des identifiants par des pseudonymes (token, hash réversible). Le RGPD continue à s’appliquer, mais le risque est réduit. C’est la pratique standard pour les conversations conservées au-delà de 30 jours.

Durée de conservation

Aucune règle absolue. Le principe : proportionné à la finalité. Pour un chatbot tourisme :

• 0 à 30 jours : conservation complète des conversations (qualité de service, escalade, suivi).
• 30 à 90 jours : pseudonymisation recommandée. Toujours utile pour amélioration continue et résolution de litige.
• 90 jours et plus : justification spécifique requise (contentieux, comptabilité, sécurité). Au-delà d’1 an, c’est très exposé.

Une option d’anonymisation automatique configurable est une bonne pratique. Côté Groomy, le réglage par défaut est 90 jours puis anonymisation, avec possibilité d’ajuster.

Pratique chez Groomy : la durée de conservation est paramétrable au niveau de l’établissement, avec un défaut conforme aux recommandations CNIL. L’export et la suppression complète sont disponibles en 1 clic. Voyez le détail de notre fonctionnalité sécurité.

Sous-traitance LLM : ce qu’il faut savoir sur OpenAI, Anthropic, Mistral

Votre éditeur de chatbot IA n’opère pas le LLM lui-même (sauf si modèle open source auto-hébergé). Il fait appel à un sous-traitant : OpenAI, Anthropic, Mistral, Google, Cohere. Cela vous concerne directement, parce que vous êtes le responsable de traitement, l’éditeur est sous-traitant, et le LLM est sous-traitant ultérieur.

Points à vérifier :

1. Contrat sous-traitance article 28 RGPD entre l’éditeur et le LLM. Doit être disponible sur demande.
2. Pas d’entraînement sur vos conversations. C’est garanti par défaut en B2B avec OpenAI, Anthropic, Mistral, à condition que l’éditeur ait souscrit aux bonnes conditions.
3. Localisation des serveurs LLM. Privilégier les options Europe (Azure OpenAI Europe, Anthropic via AWS Europe, Mistral natif). Refuser le hors-UE sans CCT.
4. Logs côté LLM. Combien de temps OpenAI conserve les prompts ? La réponse standard est 30 jours à des fins de sécurité, puis suppression. À vérifier.
5. Plan B : si OpenAI durcit ses CGU, votre éditeur peut-il basculer sur Mistral ou Llama en 48h ? La portabilité multi-LLM est un atout de souveraineté.

Pour le débat de fond sur les modèles, voyez LLM, GPT, RAG, fine-tuning pour le tourisme.

Le registre des traitements : que doit contenir la ligne ‘chatbot IA’

Le registre est obligatoire (article 30 RGPD) pour toute entreprise traitant des données personnelles. Voici un exemple de ligne pour un chatbot IA tourisme :

• Nom du traitement : Relation client conversationnelle par chatbot IA
• Responsable de traitement : [Nom de votre établissement], [Adresse], [SIRET]
• DPO ou référent : [Coordonnées, même si pas de DPO formellement désigné]
• Finalité : Répondre aux questions des visiteurs et clients en pré-séjour, séjour, post-séjour. Améliorer le service. Qualifier les leads.
• Base légale : Intérêt légitime (information du client) + consentement éventuel pour cookies analytics
• Catégories de personnes : Visiteurs du site, clients en séjour, prospects
• Catégories de données : Identifiants techniques (cookie, IP), prénom (si fourni), contenu de la conversation, langue, horodatage
• Destinataires : Équipes internes accueil et direction, sous-traitant éditeur chatbot, sous-traitant LLM
• Transferts hors UE : [Préciser si applicable, avec garanties]
• Durée de conservation : 90 jours puis anonymisation
• Mesures de sécurité : Chiffrement TLS en transit, chiffrement au repos, accès par identifiant, journalisation, sauvegardes

Si vous n’avez pas le temps de tout structurer, votre éditeur doit pouvoir vous fournir un modèle pré-rempli adapté à sa plateforme.

Cookies du widget chatbot : ce qui est obligatoire

Le widget chatbot dépose au minimum un cookie technique pour suivre l’état de la conversation (utilisateur revenant 30 minutes plus tard, etc.). Trois cas :

Cookie strictement nécessaire (état de conversation)

Pas de consentement requis (exception ePrivacy). Doit être documenté dans votre politique cookies.

Cookies analytics (mesure d’usage)

Consentement requis via votre CMP (Axeptio, Didomi, Cookiebot…). Le widget doit pouvoir s’initialiser sans tracking si le consentement est refusé.

Cookies tiers (publicité, A/B testing)

Consentement requis, opt-in strict. À éviter sur un widget chatbot, c’est rarement utile et c’est risqué côté image.

Recommandation : exigez de votre éditeur la liste exhaustive des cookies déposés, avec finalité et durée. C’est un livrable contractuel standard. Sur Groomy, c’est documenté dans la fiche sécurité de la plateforme.

Checklist 10 points avant de signer avec un éditeur

Voici la grille à appliquer avant de signer :

1. Hébergement applicatif : France ou UE, identifié (OVH, Scaleway, AWS Europe, GCP Europe).
2. Localisation LLM : Azure OpenAI Europe, Anthropic AWS Europe, Mistral. Pas d’US sans CCT.
3. DPA prêt à signer : article 28 RGPD, en français, disponible à la demande.
4. Pas d’entraînement tiers : engagement écrit que vos conversations ne servent pas à entraîner les modèles publics.
5. Durée de conservation paramétrable : vous devez pouvoir descendre à 30 jours si vous le souhaitez.
6. Anonymisation automatique : option configurable au niveau du tenant.
7. Export et suppression en 1 clic : pour répondre aux droits d’accès et d’effacement.
8. Disclaimer multilingue : information IA au premier message, dans la langue du client.
9. Logs d’accès et journalisation : qui a consulté quelle conversation, traçable.
10. DPO ou référent identifié côté éditeur : un humain joignable, pas un email générique.

Si un éditeur bute sur 3 de ces 10 points, fuyez.

Questions fréquentes

Mes données clients sont-elles protégées avec un chatbot IA ?

Oui, à condition de choisir un éditeur conforme RGPD. Les critères : hébergement UE (idéalement France), DPA signé, anonymisation automatique configurable, durée de conservation limitée, pas d’entraînement des modèles publics sur vos conversations. Exigez ces points par écrit avant de signer.

Le chatbot doit-il prévenir le client qu’il parle à une IA ?

Oui, c’est une obligation RGPD (information préalable) et une bonne pratique éthique. Le disclaimer doit apparaître dès le premier message, dans la langue du client, et indiquer clairement la nature IA de l’interlocuteur ainsi que le traitement des données.

OpenAI peut-il utiliser mes conversations pour entraîner GPT ?

Non, si votre éditeur a souscrit aux conditions B2B/API d’OpenAI qui excluent l’entraînement. C’est un point contractuel à vérifier. Pour Anthropic (Claude) et Mistral, la garantie est similaire en B2B. Le DPA de votre éditeur doit le mentionner explicitement.

Combien de temps faut-il conserver les conversations ?

Le principe RGPD est la minimisation. En pratique, 30 à 90 jours est une durée raisonnable pour la qualité de service et l’amélioration continue. Au-delà, justifier la conservation (litige, comptabilité). Une option d’anonymisation auto au bout de X jours est une bonne pratique.

Le widget chatbot nécessite-t-il un consentement cookies ?

Cela dépend des cookies déposés. Un widget qui ne dépose qu’un cookie technique de session (strictement nécessaire) n’a pas besoin de consentement. S’il y a tracking analytics, A/B testing ou cookies tiers : consentement obligatoire via votre CMP, sur le même standard que vos autres outils.

Que doit contenir la ligne ‘chatbot IA’ du registre des traitements ?

Finalité (relation client conversationnelle), catégories de personnes (visiteurs/clients), catégories de données (identifiants, contenu conversation), destinataires (équipes internes, sous-traitant LLM), durée de conservation, mesures de sécurité, transferts hors UE éventuels avec garanties associées.

Pour aller plus loin

• Pour la version courte du sujet, lisez RGPD et IA dans l’hospitality.
• Sur le fonctionnement technique, voyez comment fonctionne un chatbot IA conversationnel.
• Pour comprendre les fournisseurs LLM : LLM, GPT, RAG décryptés pour le tourisme.
• Verticale indépendants et fédérations : hôteliers indépendants face au chatbot IA.
• Verticale escalade : transfert humain et chatbot IA tourisme.

Faire auditer votre conformité

Si vous voulez vérifier rapidement où vous en êtes côté RGPD chatbot, prenez 10 minutes pour examiner notre page sécurité de la plateforme : hébergement OVHcloud Roubaix, DPO interne, DPA signable, options d’anonymisation. Toutes les briques exigées par la checklist ci-dessus sont documentées.