Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Chatbase est un constructeur de chatbots IA permettant aux entreprises de créer des assistants conversationnels entraînés sur leurs propres données et de les intégrer à leurs sites web. Lorsqu'il est déployé, le widget Chatbase collecte les données de conversation des visiteurs et les transmet aux serveurs de l'API OpenAI aux États-Unis pour le traitement IA. Son utilisation sur des sites européens nécessite un consentement préalable au titre du RGPD et de la directive ePrivacy.
Chatbase est une plateforme de chatbot IA sans code permettant aux entreprises et développeurs de créer des chatbots personnalisés entraînés sur leurs propres documents, sites web et sources de données. Une fois entraîné, le chatbot peut être intégré à n''importe quel site sous forme de widget ou accessible via API. Chatbase repose sur des grands modèles de langage, principalement la famille GPT d''OpenAI, ce qui signifie que chaque conversation d''un visiteur avec le chatbot est traitée par l''infrastructure API d''OpenAI aux États-Unis. Cette architecture crée une double chaîne de traitement impliquant Chatbase comme sous-traitant principal et OpenAI comme sous-traitant ultérieur.
Chatbase collecte et stocke le contenu intégral de chaque conversation menée via le widget, y compris tous les messages envoyés par le visiteur. Il collecte également les adresses IP, les informations sur le navigateur et l''appareil, les identifiants de session et les métadonnées sur le timing et la durée des conversations. Si le propriétaire du site configure Chatbase pour capturer l''identité de l''utilisateur (nom, e-mail) dans le flux de chat, ces données sont également stockées dans le tableau de bord Chatbase. Toutes les données de conversation sont transmises à l''API OpenAI pour traitement à chaque message.
Chatbase soulève des défis RGPD spécifiques allant au-delà de la conformité standard des widgets tiers. La nature imprévisible des conversations IA signifie que les visiteurs peuvent partager volontairement des données sensibles (informations de santé, données financières, situations personnelles) que l''opérateur du site n''anticipait pas collecter. La transmission du contenu des conversations à OpenAI crée une relation de sous-traitance à divulguer et à couvrir par une chaîne d''accords de traitement. Il n''existe actuellement aucune option d''hébergement européen pour Chatbase. De plus, selon les politiques de rétention d''OpenAI, le contenu des conversations pourrait être utilisé pour l''amélioration du modèle sauf opt-out spécifique.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Le widget Chatbase ne doit pas se charger sans consentement explicite et éclairé. La notice de consentement doit expliquer qu''un chatbot IA est utilisé, que les données de conversation sont traitées par Chatbase aux États-Unis et que les messages sont transmis à OpenAI pour la génération de réponses IA. Les visiteurs doivent comprendre que tout ce qu''ils tapent dans le chat peut être traité par un fournisseur d''IA américain. Un opt-out clair doit être disponible et le widget doit être entièrement supprimé pour les utilisateurs qui refusent ou retirent leur consentement.
Chatbase opère exclusivement sur une infrastructure américaine sans option d''hébergement en Europe. Chaque conversation est transférée deux fois vers les États-Unis : une fois vers les serveurs de Chatbase et une fois vers l''API d''OpenAI. Les deux transferts constituent des transferts vers des pays tiers au titre du Chapitre V du RGPD. Les clauses contractuelles types s''appliquent au transfert Chatbase. Pour la chaîne de sous-traitance OpenAI, les organisations doivent vérifier que Chatbase dispose de protections contractuelles appropriées avec OpenAI et divulguer les deux entités dans leur politique de confidentialité et leur liste de sous-traitants ultérieurs.
Pour déployer Chatbase en conformité en Europe : bloquez le widget jusqu''à l''obtention du consentement ; mettez à jour votre politique de confidentialité pour mentionner Chatbase et OpenAI comme sous-traitants avec une description des données transférées et du mécanisme de transfert ; signez un accord de traitement des données avec Chatbase ; vérifiez le sous-DPA de Chatbase avec OpenAI et incluez OpenAI dans votre liste de sous-traitants ; configurez Chatbase pour minimiser la collecte de données ; activez l''option de rétention zéro des données d''OpenAI si disponible pour votre niveau API ; et documentez tous les transferts vers les États-Unis dans votre registre des activités de traitement.
Les sites web utilisant Chatbase doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est fortement recommandée pour les déploiements de Chatbase car les données de conversation sont transmises à un fournisseur d'IA tiers (OpenAI) aux États-Unis, créant une chaîne de sous-traitance difficile à contrôler. Les risques principaux incluent la nature imprévisible des conversations, l'absence d'hébergement européen, les implications liées à l'entraînement des modèles d'IA et le double transfert vers Chatbase et OpenAI.
Exemple de texte de consentement
Nous utilisons Chatbase pour alimenter l'assistant de chat IA sur ce site. Lorsque vous utilisez le chat, vos messages et données de session sont traités par Chatbase et transmis aux serveurs OpenAI aux États-Unis pour générer des réponses. Veuillez accepter pour activer l'assistant de chat.
Domaines tiers contactes
www.chatbase.coapi.chatbase.coapi.openai.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| chatbase-session | session | Session | Session identifier used to maintain the active chat conversation state |
| chatbase-widget | persistent | 30 days | Widget state token used to persist chat preferences and conversation context across page visits |
Chatbase utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Chatbase dépose des cookies de session et fonctionnels pour gérer l'état du widget de chat et identifier les sessions. Il utilise également le stockage local pour conserver le contexte de conversation entre les navigations. Les cookies spécifiques varient selon la méthode d'intégration, mais incluent généralement un identifiant de session et un jeton d'état du widget. Des cookies tiers peuvent également être déposés selon les paramètres du navigateur.
Oui. Chatbase collecte le contenu des conversations, les adresses IP et les identifiants de session, et transmet ces données aux serveurs de l'API OpenAI aux États-Unis dès le premier message. Au titre du RGPD et de la directive ePrivacy, le consentement doit être obtenu avant le chargement du widget. La notice de consentement doit mentionner explicitement Chatbase et OpenAI comme sous-traitants et divulguer le transfert vers les États-Unis.
Le consentement (Art. 6(1)(a) RGPD) est la base légale principale pour déployer un widget Chatbase sur un site public. Lorsque le chatbot est utilisé pour remplir un service explicitement demandé par l'utilisateur, l'exécution d'un contrat (Art. 6(1)(b)) peut également s'appliquer, mais cela ne supprime pas l'obligation ePrivacy d'obtenir un consentement avant le chargement du widget.
Oui. Toutes les données de conversation Chatbase sont traitées aux États-Unis. De plus, chaque message envoyé via le chatbot est transmis à l'API d'OpenAI, également hébergée aux États-Unis, pour la génération de réponses IA. Les deux transferts sont soumis aux exigences du Chapitre V du RGPD. Les clauses contractuelles types s'appliquent au transfert Chatbase. Les organisations doivent vérifier la chaîne contractuelle couvrant le sous-traitement OpenAI.
Une AIPD est fortement recommandée. La combinaison du traitement IA des conversations, de l'exposition imprévisible à des données sensibles, du double transfert vers les États-Unis (Chatbase et OpenAI), de l'absence d'hébergement européen et des implications potentielles liées à l'entraînement des modèles d'IA crée un profil de traitement à risque élevé. L'AIPD doit évaluer le risque que des visiteurs partagent des données de catégorie spéciale dans le chat.
Bloquez le script du widget Chatbase jusqu'à l'obtention du consentement explicite via votre CMP. Mettez à jour votre politique de confidentialité en nommant Chatbase et OpenAI comme sous-traitants. Signez un accord de traitement avec Chatbase et vérifiez qu'ils ont un accord avec OpenAI. Activez la rétention zéro des données d'OpenAI si disponible. Minimisez la collecte de données dans le flux de chat. Ajoutez une notice visible dans l'interface de chat rappelant aux utilisateurs de ne pas partager de données personnelles sensibles.
Oui. Botpress peut être auto-hébergé sur une infrastructure européenne et prend en charge l'intégration avec des fournisseurs LLM européens. Flowise est un autre constructeur de chatbots open-source déployable sur vos propres serveurs. Pour les organisations souhaitant éviter entièrement OpenAI, les modèles auto-hébergés via Ollama ou Mistral AI (entreprise française avec hébergement européen) peuvent alimenter des chatbots sans aucun transfert de données vers les États-Unis.
Ajoutez une entrée pour Chatbase dans votre politique de cookies couvrant les cookies de session et d'état du widget, leur durée et leur finalité. Notez que les données de conversation sont transmises aux serveurs de Chatbase et d'OpenAI aux États-Unis au-delà de ce qui est stocké dans les cookies. Référencez Chatbase comme sous-traitant IA tiers dans votre politique de confidentialité et divulguez les deux transferts vers les États-Unis avec leurs garanties applicables (clauses contractuelles types).