Guide RGPD pour votre assistant IA OpenClaw
Si vous utilisez OpenClaw dans un contexte professionnel en Europe, le RGPD s'applique. Ce n'est pas optionnel. Ce guide vous explique les obligations concrètes et comment les respecter sans y passer des semaines.
Avertissement : ce guide fournit des informations générales. Il ne remplace pas un avis juridique adapté à votre situation spécifique.
Le RGPD en 60 secondes
Le Règlement Général sur la Protection des Données s'applique dès que vous collectez, stockez ou traitez des données personnelles de résidents de l'UE. Une "donnée personnelle" est toute information permettant d'identifier directement ou indirectement une personne : nom, email, numéro de téléphone, adresse IP, et même le contenu de conversations si elles contiennent des informations identifiantes.
Quand un utilisateur interagit avec votre assistant OpenClaw, des données personnelles sont traitées. Point.
Les six questions essentielles
1. Quelle est votre base légale ?
Le RGPD exige une base légale pour chaque traitement de données. Pour un assistant IA, les bases les plus courantes sont :
- Consentement : l'utilisateur accepte explicitement que ses messages soient traités. Nécessite un mécanisme de consentement clair et la possibilité de le retirer.
- Intérêt légitime : vous avez un intérêt commercial légitime à proposer un assistant (améliorer le service client, par exemple). Nécessite une balance des intérêts documentée.
- Exécution d'un contrat : l'assistant est nécessaire pour fournir un service auquel l'utilisateur a souscrit.
Notre recommandation : pour un chatbot public, utilisez le consentement. Pour un outil interne d'entreprise, l'intérêt légitime est souvent plus approprié.
2. Quelles données collectez-vous ?
Documentez précisément les données traitées par votre instance OpenClaw :
- Contenu des conversations (messages texte, fichiers envoyés)
- Métadonnées (date, heure, canal utilisé, adresse IP)
- Données de mémoire persistante (Supermemory)
- Identifiants de l'utilisateur (nom, numéro WhatsApp, pseudo Telegram)
3. Où sont stockées les données ?
C'est un point critique. Avec OpenClaw self-hosted ou OpenClawPro, vous choisissez la localisation du serveur. Privilégiez un datacenter en Europe (Hetzner en Allemagne, OVH en France, par exemple).
Attention aux API cloud : si vous utilisez GPT-4o via OpenAI, vos messages transitent par les serveurs d'OpenAI aux États-Unis. Cela constitue un transfert hors UE et nécessite des garanties supplémentaires (clauses contractuelles types, DPA avec OpenAI).
Avec des modèles locaux via Ollama, aucune donnée ne quitte votre serveur. C'est la solution la plus simple pour la conformité RGPD.
4. Combien de temps conservez-vous les données ?
Définissez une durée de conservation proportionnelle à votre besoin :
- Conversations : 6 à 12 mois maximum pour la plupart des cas d'usage
- Mémoire persistante : durée du contrat ou de la relation client
- Logs serveur : 3 à 6 mois
Configurez une purge automatique. OpenClaw permet de configurer la rétention des conversations dans ses paramètres.
5. Comment garantir les droits des utilisateurs ?
Le RGPD accorde aux utilisateurs des droits que vous devez respecter :
- Droit d'accès : fournir une copie de toutes les données personnelles stockées
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : supprimer les données sur demande
- Droit à la portabilité : fournir les données dans un format structuré (JSON, CSV)
- Droit d'opposition : permettre de refuser le traitement
Concrètement, préparez une procédure pour répondre à ces demandes en moins de 30 jours (délai légal).
6. Avez-vous besoin d'un DPA ?
Un Data Processing Agreement (accord de sous-traitance de données) est nécessaire avec chaque sous-traitant qui traite des données pour votre compte :
- Votre hébergeur VPS (Hetzner, OVH, DigitalOcean — ils proposent tous un DPA standard)
- Votre fournisseur d'API IA (OpenAI, Anthropic, Mistral — vérifiez leurs DPA)
- OpenClawPro si vous utilisez notre service managé (notre DPA est disponible sur demande)
Checklist de conformité RGPD pour OpenClaw
Voici les actions concrètes à mettre en place :
- [ ] Choisir et documenter votre base légale
- [ ] Rédiger une politique de confidentialité mentionnant l'utilisation de l'IA
- [ ] Informer les utilisateurs avant leur première interaction avec l'assistant
- [ ] Héberger votre instance en Europe (ou documenter les transferts hors UE)
- [ ] Signer un DPA avec chaque sous-traitant
- [ ] Configurer la durée de rétention des conversations
- [ ] Mettre en place une procédure de réponse aux droits des personnes
- [ ] Tenir un registre de traitement (obligatoire pour les entreprises de 250+ salariés, recommandé pour tous)
- [ ] Utiliser des modèles locaux (Ollama) pour les données les plus sensibles
- [ ] Chiffrer les données au repos et en transit (SSL/TLS, chiffrement disque)
Le cas particulier des modèles d'IA
Les fournisseurs d'IA cloud (OpenAI, Anthropic, Google) ont des politiques différentes concernant l'utilisation de vos données pour entraîner leurs modèles :
- OpenAI (API) : les données envoyées via l'API ne sont pas utilisées pour l'entraînement (depuis mars 2023). Vérifiez les conditions actuelles.
- Anthropic (API) : même politique de non-utilisation pour l'entraînement via l'API.
- Ollama (local) : aucune donnée ne quitte votre machine. Le plus sûr.
Pour les secteurs sensibles (santé, juridique, finance), les modèles locaux sont la seule option vraiment conforme.
Ce que fait OpenClawPro pour la conformité
Nos offres managées incluent :
- Hébergement exclusif en Europe (Hetzner DE ou OVH FR)
- Chiffrement SSL/TLS en transit et chiffrement disque au repos
- Configuration de la rétention des données personnalisable
- DPA disponible sur demande
- Support pour les demandes de droits RGPD
- Option modèles locaux (Ollama) pour zéro transfert de données
La conformité RGPD n'est pas un obstacle — c'est un avantage concurrentiel. Vos clients veulent savoir que leurs données sont en sécurité. Découvrez nos offres conformes RGPD.