Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
XGen AI est une plateforme américaine de contenu et d'automatisation par IA qui propose des assistants conversationnels intégrables, construits sur les modèles OpenAI et Anthropic. Les conversations saisies dans un widget XGen AI sont traitées aux États Unis et peuvent contenir des données personnelles, parfois des catégories particulières au sens de l'Art. 9 RGPD (santé, opinions politiques). Charger ce widget sur un site visant l'UE dépose des identifiants, déclenche l'Art. 5(3) ePrivacy et soulève la problématique des transferts hors UE après Schrems II.
XGen AI est une plateforme américaine qui permet aux équipes produit, marketing et support de générer du contenu et de déployer des assistants conversationnels intégrables, bâtis sur les modèles fondation OpenAI et Anthropic. Les clients conçoivent leurs assistants dans un espace de travail hébergé puis injectent un script JavaScript sur leur site pour afficher un widget de chat. Le widget exécute des scripts de première partie, charge des ressources distantes et transmet chaque message à XGen AI aux États Unis, où une chaîne RAG orchestre les appels aux fournisseurs de modèles et renvoie la réponse au navigateur.
Chaque conversation capture l''invite complète saisie par le visiteur, la réponse générée, un identifiant de session, l''URL de la page, le referrer, le user agent et l''adresse IP. La plupart des déploiements ajoutent un identifiant d''assistant dans le local storage et un cookie de session. L''utilisateur pouvant écrire n''importe quoi, les transcriptions contiennent souvent des données personnelles et parfois des catégories particulières de l''Art. 9 RGPD (santé, opinions politiques, orientation sexuelle), notamment sur des sites de santé, juridiques ou RH. XGen AI peut également conserver des journaux pour le filtrage de sécurité et la qualité.
L''éditeur du site est responsable de traitement, XGen AI est sous traitant et les fournisseurs de modèles fondation sont des sous traitants ultérieurs. Le chargement du widget écrit des identifiants sur l''appareil et déclenche l''Art. 5(3) ePrivacy. Le règlement européen sur l''IA (2024/1689) qualifie l''assistant a minima de système à risque limité, soumis aux obligations de transparence de l''Art. 50 : l''utilisateur doit savoir qu''il dialogue avec une IA. Pour des usages RH, scoring crédit ou inférence biométrique, le régime à haut risque impose documentation, journalisation et supervision humaine.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Embarquer un assistant XGen AI sur une page visant l''UE exige un consentement Art. 6(1)(a) RGPD, à la fois pour les cookies et le local storage déposés et pour le traitement substantiel de la conversation. Lorsque l''utilisateur peut partager des données de l''Art. 9, la base légale est le consentement explicite de l''Art. 9(2)(a) RGPD. La barrière de consentement doit bloquer entièrement le script tant que l''utilisateur n''a pas opté in, et la mention de transparence AI Act doit apparaître dans l''interface de chat elle même.
XGen AI tourne sur des régions AWS aux États Unis et route les invites vers OpenAI (US) et Anthropic (US). Les transferts s''appuient sur le Data Privacy Framework UE États Unis pour les opérateurs certifiés, sinon sur des Clauses Contractuelles Types et des mesures supplémentaires. Une analyse d''impact des transferts au sens de Schrems II est obligatoire et doit en particulier évaluer le risque FISA 702 pour les contenus textuels. Les éditeurs doivent désactiver l''entraînement sur les données client chez chaque fournisseur en amont et figer la région d''inférence lorsque c''est possible.
Placez le loader XGen AI derrière une CMP et n''injectez le script qu''après consentement explicite. Désactivez l''entraînement sur les données client, fixez une rétention courte des transcriptions (30 à 90 jours) et configurez une rédaction d''invite pour masquer adresses e mail, numéros et identifiants avant l''inférence. Publiez une mention de confidentialité IA qui liste XGen AI, OpenAI et Anthropic comme sous traitants. Réalisez des tests d''injection de prompt, documentez la classification AI Act et offrez à l''utilisateur la suppression et l''export de ses transcriptions en un clic.
Les sites web utilisant XGen AI doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est requise pour XGen AI sur trafic européen car le service traite des invites en texte libre pouvant contenir des données personnelles et, dans de nombreux cas, des données sensibles au sens de l'Art. 9 RGPD (santé, religion, opinions politiques, orientation sexuelle). L'analyse doit couvrir les fournisseurs de modèles en amont (OpenAI, Anthropic, États Unis), la rétention des journaux, l'isolement des données d'entraînement, le risque d'injection de prompt et d'exfiltration, la classification au regard de l'AI Act (transparence minimale, haut risque en RH, crédit ou biométrie) et l'analyse d'impact des transferts au sens de Schrems II pour les flux sortants vers les États Unis.
Exemple de texte de consentement
Cette page propose un assistant IA fourni par XGen AI. Avec votre consentement, vos messages seront envoyés à XGen AI aux États Unis ainsi qu'aux fournisseurs de modèles en amont (OpenAI, Anthropic) afin de générer une réponse. Évitez de communiquer des informations de santé, d'identification ou autres données sensibles. Vous pouvez accepter, refuser ou fermer l'assistant à tout moment. Les transcriptions sont conservées pour le fonctionnement du service et peuvent être supprimées sur demande.
Domaines tiers contactes
xgen.aiapp.xgen.aicdn.xgen.aiapi.openai.comapi.anthropic.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| xgen_session | Session | Session | Maintains the visitor conversation session with the embedded XGen AI assistant so that turns are linked and the model has short term context. Requires consent before the widget loads. |
| xgen_cid | Persistent | 12 months | Persistent identifier that lets XGen AI recognise the same visitor across visits for memory and usage analytics. Requires explicit opt in consent. |
| xgen_assistant_id | Local Storage | 12 months | Stores the active assistant configuration ID in browser local storage so the widget can resume conversations. Triggers Art. 5(3) ePrivacy. |
| xgen_csrf | Session | Session | CSRF protection token for API calls made by the chat widget. Strictly necessary once the visitor has consented to use the assistant. |
XGen AI utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Le widget capture chaque message saisi par le visiteur, la réponse de l'assistant, un identifiant de conversation, l'URL de la page, le referrer, l'adresse IP et le user agent. Il écrit en général un cookie de session et un identifiant d'assistant dans le local storage. Les invites étant en texte libre, les transcriptions peuvent contenir des données personnelles, des coordonnées, des numéros de compte et fréquemment des catégories particulières de l'Art. 9 RGPD (santé, religion, opinions politiques). XGen AI peut conserver les transcriptions pour le filtrage de sécurité, le débogage et le suivi qualité, et les transmettre à OpenAI ou Anthropic pour l'inférence.
Oui. Le loader XGen AI écrit des identifiants sur l'appareil, ce qui déclenche l'Art. 5(3) ePrivacy, et il envoie le contenu de la conversation à des sous traitants aux États Unis, ce qui exige le consentement Art. 6(1)(a) RGPD. Si l'utilisateur peut partager des données de l'Art. 9, la base légale doit être le consentement explicite de l'Art. 9(2)(a). Le widget doit être bloqué derrière une Consent Management Platform jusqu'à l'opt in, et la mention de transparence Art. 50 AI Act doit être visible dans l'interface de chat.
Pour la plupart des cas d'usage, la base légale est le consentement Art. 6(1)(a) RGPD plus l'Art. 5(3) ePrivacy pour le stockage sur l'appareil. L'espace de travail XGen AI côté éditeur traite les données de l'entreprise sous contrat (Art. 6(1)(b) RGPD) et peut s'appuyer sur l'intérêt légitime (Art. 6(1)(f)) pour la sécurité et la détection d'abus. Si l'assistant traite des données de l'Art. 9, l'opérateur doit invoquer le consentement explicite (Art. 9(2)(a)) ou une autre dérogation. L'AI Act ajoute des obligations de transparence indépendantes du RGPD.
Oui. Les serveurs XGen AI sont aux États Unis et les invites sont transmises à OpenAI et Anthropic, également américains. Les transferts s'appuient soit sur le Data Privacy Framework UE États Unis, si l'opérateur est certifié, soit sur des Clauses Contractuelles Types et des mesures supplémentaires. Une analyse d'impact des transferts au sens de Schrems II est obligatoire et doit traiter spécifiquement le risque FISA 702 pour les contenus textuels. Les opérateurs doivent figer la région d'inférence, désactiver l'entraînement sur les données client et documenter le chiffrement entre l'UE et le point d'entrée US.
Presque toujours oui. Combiner génération de contenu automatisée, invites en texte libre pouvant contenir des données de l'Art. 9, transferts vers un pays tiers non adéquat et déploiement à grande échelle sur un site satisfait plusieurs critères du CEPD. L'AIPD doit décrire le cas d'usage, les flux, la durée de conservation, les sous traitants (OpenAI, Anthropic), le risque d'hallucination et de ré identification, la classification AI Act (risque limité ou haut risque) et les mesures de mitigation (rédaction d'invite, opt out d'entraînement, rétention courte, revue humaine).
Bloquez le loader XGen AI derrière la CMP et ne l'injectez qu'après consentement. Désactivez l'entraînement sur les données client chez OpenAI et Anthropic, appliquez une rédaction d'invite ou une détection PII avant l'inférence, fixez une rétention courte des transcriptions et limitez l'accès au strict nécessaire. Publiez une mention de confidentialité IA qui nomme XGen AI et les fournisseurs en amont comme sous traitants, placez la mention de transparence AI Act dans l'interface de chat et offrez à l'utilisateur un moyen clair de télécharger ou supprimer son historique.
Pour des déploiements strictement UE, envisagez des assistants open source auto hébergés (Mistral, Llama, Falcon) sur infrastructure européenne (OVH, Scaleway, Hetzner, IONOS). Les alternatives managées avec résidence UE incluent Mistral La Plateforme (Paris), Aleph Alpha (Heidelberg) et Azure OpenAI Région Europe de l'Ouest avec contrats de résidence. Ces options conservent l'orchestration et l'inférence dans l'EEE, simplifient la posture Schrems II et suppriment l'exposition FISA 702, au prix d'une parité fonctionnelle parfois inférieure.
Réexaminez la politique de confidentialité IA et la documentation technique AI Act au moins tous les six mois et chaque fois que vous changez le prompt système, échangez le modèle sous jacent, ajoutez une nouvelle source de données, modifiez un sous traitant ou ouvrez le chatbot à une nouvelle catégorie d'utilisateurs. Reconduisez les tests d'injection de prompt et de biais, mettez à jour l'inventaire de cookies si la configuration du widget change et redemandez le consentement quand les finalités évoluent, par exemple en activant la mémoire entre sessions.