Comment nous avons développé un chatbot personnalisé pour sécuriser la conformité aux politiques de confidentialité

À une époque où les données sont monnaie courante, il est plus important que jamais de comprendre comment les informations personnelles sont collectées, stockées et partagées.

Pourtant, tant pour les organisations que pour les particuliers, naviguer dans le réseau complexe des politiques de confidentialité reste une tâche ardue. Cette demande croissante de transparence et de conformité, motivée par des réglementations mondiales telles que le RGPD et le CCPA, a suscité le besoin d'outils de confidentialité plus intelligents et plus accessibles.

C'est exactement ce qui nous a amené à créer notre propre chatbot de confidentialité des données: un assistant évolutif, alimenté par l'IA, conçu pour simplifier les informations relatives à la confidentialité pour tous.

Il vous suffit de :

1. Sélectionnez un fournisseur d'IA — Choisissez les documents juridiques que vous souhaitez explorer.

2. Posez votre question : le chatbot effectue une recherche dans les politiques enregistrées. Par exemple : « Où sont stockées mes données ? »

3. Parcourez les résultats — Comprenez vos droits et l'utilisation des données. Fini le défilement interminable : juste des informations juridiques claires et concises !

‍

Les défis liés à la compréhension des politiques de confidentialité

Comprendre les politiques de confidentialité est de plus en plus vital dans le monde actuel axé sur les données. Cependant, plusieurs défis majeurs se dressent devant nous :

• Surcharge d'informations : Les utilisateurs interagissent souvent avec des dizaines de plateformes numériques, chacune ayant sa propre politique de confidentialité dense et légaliste, dont beaucoup dépassent 10 000 mots. Il est donc quasiment impossible de digérer et de comprendre les implications de leurs pratiques en matière de données.
• Réglementation en constante évolution : Les lois sur la protection de la vie privée, telles que le RGPD et le CCPA, évoluent constamment. Se tenir au courant des obligations de conformité de plusieurs fournisseurs est une tâche complexe et chronophage.
• Absence d'outils de comparaison : Les utilisateurs ont souvent besoin de comparer la manière dont les différents fournisseurs traitent les données, mais peu d'outils offrent un moyen efficace de le faire. Sans comparaisons côte à côte, il devient difficile de prendre des décisions éclairées.

Lorsque vous faites affaire avec plus de cinquante fournisseurs, ces problèmes sont amplifiés, ce qui montre clairement que les méthodes traditionnelles de gestion des informations personnelles ne sont plus viables.

‍

RAG à la rescousse

Génération augmentée de récupération (RAG) la technologie peut relever ces défis en :

• Compréhension contextuelle : Contrairement aux simples recherches par mots clés, RAG comprend la signification sémantique des questions et fournit des informations pertinentes même lorsque la terminologie de l'utilisateur diffère de celle des documents juridiques.
• Analyse de documents croisés : la possibilité d'interroger simultanément plusieurs politiques de fournisseurs permet des comparaisons directes qui seraient pratiquement impossibles manuellement.
• Transparence et confiance : en fournissant des références directes aux sources, notre politique de confidentialité (chatbot) renforce la confiance avec les utilisateurs en leur permettant de vérifier les informations de manière indépendante

De plus, du point de vue de la sécurité du client, Bot de confidentialité offres :

• Assistance en matière de due diligence : les organisations peuvent évaluer de manière plus approfondie les services tiers avant de les intégrer à leur infrastructure technologique.
• Évaluation des risques : les équipes de sécurité peuvent rapidement identifier les problèmes potentiels liés au traitement des données chez plusieurs fournisseurs sans expertise juridique spécialisée.
• Documentation de conformité : Les réponses référencées peuvent servir de documentation pour les audits de conformité, montrant que les considérations relatives à la confidentialité ont fait l'objet de recherches approfondies.
• Consentement éclairé : les utilisateurs finaux peuvent prendre des décisions réellement éclairées quant aux services à utiliser en fonction de la manière dont leurs données personnelles seront traitées. Le Bot de confidentialité représente bien plus qu'un simple outil pratique, c'est un pont entre une documentation juridique complexe et une prise de décision pratique pour les organisations et les particuliers, favorisant ainsi une plus grande transparence dans l'écosystème numérique.

‍

Comment a été construit le PrivacyBot ?

PrivacyBot fonctionne comme un agent intelligent alimenté par un système RAG (Retrieval-Augmented Generation) qui stocke et récupère les politiques de confidentialité de divers fournisseurs de services.

Les utilisateurs peuvent poser des questions telles que « Où sont stockées mes données ? » ou « Certains de ces fournisseurs stockent-ils des données personnelles ? » sur la base d'une liste de fournisseurs pris en charge.

Le bot effectue ensuite une recherche dans les documents stockés et génère une réponse contextuelle claire à l'aide des informations récupérées.

Cela réduit considérablement les risques d'hallucination. Si le bot ne trouve pas de données pertinentes sur un sujet spécifique, il ne les devinera pas, mais répondra par quelque chose comme : « Désolé, je n'ai trouvé aucune information dans les documents fournis. »

Pour en savoir plus sur le fonctionnement de RAG, consultez notre Guide 2025 de la génération augmentée par récupération (RAG) sur le blog Eden AI.

Dans les sections suivantes, nous aborderons plus en détail le processus de développement de notre PrivacyBot.

‍

2. Processus de développement

Ce projet peut être considéré comme un projet de données. Voici les étapes générales :

1. Comprenez les questions commerciales
2. Identifier les sources de données
3. Sources de données de processus
4. Données d'index
5. Création et configuration du bot

‍

2.1. Comprenez les questions commerciales

La première et la plus importante étape du projet consiste à poser les bonnes questions.

Telles sont les questions qui visent à résoudre un véritable problème commercial. Dans ce cas, l'objectif principal du projet est de disposer d'un système capable d'indexer les informations relatives aux politiques de confidentialité de différents fournisseurs et pouvant être interrogées à l'aide de requêtes sémantiques.

Le système doit être facile à utiliser et les utilisateurs doivent pouvoir sélectionner les fournisseurs auxquels ils souhaitent que le bot interroge. L'image ci-dessous montre une maquette de base de l'interface. L'idée est simplement d'avoir une interface simple avec la liste des fournisseurs et à droite une interface de type chat pour demander au bot.

L'un des aspects importants de ce projet est que les réponses du bot doivent inclure des références aux documents sources à partir desquels les informations ont été extraites.

Par exemple, si un utilisateur pose des questions sur la politique de confidentialité d'OpenAI, le bot doit non seulement fournir une réponse pertinente, mais également citer les sections spécifiques du document (ou des segments) et inclure l'URL source (celle d'OpenAI, dans ce cas).

‍

2.2. Identifier les sources de données

Une fois que la question commerciale et l'objectif global sont clairs, l'étape suivante consiste à rassembler les sources de données pertinentes. Dans ce cas, cela signifie répertorier les URL des politiques de confidentialité de chacun de nos fournisseurs. Notre propre politique de confidentialité est également incluse dans l'ensemble de données.

2.3. Sources de données de processus

Pour traiter les données, nous utiliserons notre système RAG. La première étape consiste à créer un projet RAG :

Vous pouvez ensuite configurer le projet RAG. Nous utilisons une approche de paramètres personnalisés afin de pouvoir affiner certains paramètres :

Parmi les paramètres configurables, vous pouvez choisir la base de données vectorielles à utiliser, le fournisseur d'intégration pour votre projet, le modèle LLM par défaut pour le bot, la taille des blocs, les séparateurs de blocs, ainsi que les fournisseurs OCR et TTS.

Pour notre projet, nous utilisons un bloc de 1 200 jetons. Cela permet de préserver l'intégrité contextuelle de chaque section du document, ce qui est essentiel pour générer des réponses précises et pertinentes. Il est essentiel de sélectionner la taille de segment appropriée pour garantir la qualité des réponses, en particulier par rapport à la question commerciale initiale.

Une fois le projet configuré, nous pouvons commencer à télécharger et à indexer les données.

‍

2,4. Données d'index

Nous pouvons maintenant commencer à ajouter des documents à notre système RAG. Pour ce faire, nous utilisons le point de terminaison de l'API. Vous trouverez ci-dessous un exemple en python.

import json
import requests

headers = {"Authorization": "Bearer 🔑 Your_API_Key"}
url = "<https://api.edenai.run/v2/aiproducts/askyoda/v2/{project_id}/add_url>"

payload = {
    "urls": [

        "<https://www.affinda.com/privacy-and-data-protection-policy>",

        "<https://www.ai21.com/privacy-policy>",

        "<https://aleph-alpha.com/data-privacy>",

    ],
    # Optional
    "metadata": [{
        "provider": "affinda",
        "subfeatures": [
            "invoice_parser",
            "resume_parser",
            "receipt_parser",
            "identity_parser",
            "financial_parser"
        ],
        "privacy_url": "<https://www.affinda.com/privacy-and-data-protection-policy>"
    },
    {
        "provider": "ai21labs",
        "subfeatures": [
            "generation",
            "summarize",
            "embeddings",
            "spell_check"
        ],
        "privacy_url": "<https://www.ai21.com/privacy-policy>"
    },
    {
        "provider": "alephalpha",
        "subfeatures": [
            "summarize",
            "embeddings",
            "question_answer"
        ],
        "privacy_url": "<https://aleph-alpha.com/data-privacy>"
    }]
}
response = requests.post(url, json=payload, headers=headers)
print(response.status_code)

‍

Sous le capot, le système RAG utilise un scraper pour visiter chaque site Web, récupérer le contenu HTML, le nettoyer, extraire des morceaux de texte, générer des intégrations à partir de ces morceaux et enfin les stocker dans la base de données vectorielles.

Le processus de nettoyage des données supprime les éléments inutiles tels que les styles et les scripts du code HTML. Dans notre cas, nous n'avons besoin que du contenu réel de la page. La suppression d'éléments supplémentaires rationalise les données et réduit le coût du processus d'intégration.

Une fois les intégrations créées, elles sont stockées dans la base de données vectorielles. À chaque intégration, nous joignons des métadonnées, des informations supplémentaires qui enrichissent les intégrations et aident le bot à fournir des réponses plus précises et contextuelles au cours des étapes ultérieures.

‍

2,5. Création et configuration du bot

Maintenant que nos documents sont indexés dans la base de données, nous pouvons créer un bot capable de répondre aux questions en fonction de ce contenu.

La description définie dans le profil du bot sert d'invite du système lors des conversations, guidant le ton, le comportement et l'étendue des réponses du bot.

‍

Une fois le profil du bot créé, tout est configuré et prêt à poser des questions. Pour tester le bot, nous pouvons envoyer une demande à son terminal. Par exemple, en utilisant cURL :

curl --location '<https://api.edenai.run/v2/aiproducts/askyoda/v2/d20417f4-526c-45c3-b08d-19645d6f529c/ask_llm_project>' \\
--header 'Content-Type: application/json' \\
--header 'Authorization: Bearer 🔑 Your_API_Key' \\
--data '{
    "query":"Do these providers store my personal data during training? Explain for each selected provider.",
    "llm_model":"gpt-4o",
    "k": 10,
    "max_tokens": 1000,
    "filter_documents": {
        "provider": ["openai", "xai"]
    }
}'

‍

Votre projet est maintenant prêt à être utilisé, soit en appelant directement le point de terminaison, soit en l'intégrant dans un flux de travail Eden AI, soit en l'intégrant dans une application Web distincte.

Dans notre cas, nous avons créé un nouveau composant au sein de notre application qui se connecte à notre projet RAG, comme nous l'avions envisagé lors de la phase de planification initiale :

‍

3. Défis techniques et non techniques

L'utilisation du framework RAG d'Eden AI simplifie considérablement le développement de ce type de projets. Il gère des tâches complexes et chronophages telles que le web scraping et le nettoyage des données, qui figurent souvent parmi les étapes les plus difficiles du pipeline.

Un facteur important à prendre en compte est taille du morceau. La taille de bloc idéale peut varier en fonction du type de documents et des objectifs spécifiques du projet.

Cela nécessite des expériences, des tests de différentes tailles et une évaluation de la qualité des réponses du système afin de trouver le juste équilibre entre la rétention du contexte et l'efficacité du traitement.

Un majeur défi technique nous avons constaté une structure incohérente des politiques de confidentialité des différents fournisseurs. Certaines entreprises présentent leurs politiques à l'aide de titres clairs et de sections logiques, tandis que d'autres utilisent une mise en forme moins conventionnelle, intègrent des références légales ou combinent plusieurs politiques dans un seul document. Cette variabilité structurelle nous a obligés à implémenter une logique d'analyse flexible capable de s'adapter à différentes architectures de documents, tout en préservant la cohérence sémantique au sein de chaque segment.

Dans plusieurs cas, nous avons dû revoir manuellement la façon dont les documents étaient traités pour nous assurer que le contexte clé n'était pas fragmenté ou perdu, en particulier dans les documents comportant des sections imbriquées ou une mise en forme basée sur des tableaux.

Enfin, il est également important d'expérimenter différents profils de robots. Heureusement, l'interface Eden AI RAG vous permet de créer plusieurs profils (un seul étant actif à la fois). Cela permet des tests A/B et la flexibilité de mettre à jour le profil actif même après le déploiement.

‍

5. Impacts et résultats

Les utilisateurs d'Eden AI ont désormais accès à un bot conversationnel qui fournit des réponses contextuelles immédiates sur les politiques de confidentialité de plusieurs fournisseurs. Cela transforme fondamentalement la façon dont ils interagissent avec des documents juridiques complexes :

• Efficacité du temps: Ce qui nécessitait auparavant des heures de lecture manuelle et de références croisées ne prend désormais que quelques secondes. Des tests internes montrent que les utilisateurs économisent environ 85 % du temps qu'ils consacraient auparavant à la recherche de questions relatives à la confidentialité.
• Accessibilité: Les utilisateurs techniques et non techniques peuvent désormais accéder aux informations de confidentialité et les comprendre sans avoir besoin d'expertise juridique, élargissant ainsi le public pouvant interagir avec ces informations critiques.
• Aide à la décision: les utilisateurs déclarent avoir pris des décisions plus éclairées quant aux fournisseurs à intégrer à leurs flux de travail en fonction de considérations de confidentialité spécifiques qui correspondent à leurs exigences organisationnelles.

‍

6. Réflexion et apprentissage

Le développement et le déploiement de PrivacyBot ont fourni des informations précieuses qui vont au-delà de ce projet spécifique. Ces enseignements orienteront notre approche des futures implémentations de RAG et du développement de produits.

6.1 L'alignement des activités d'abord, la technologie ensuite

Comme indiqué brièvement dans la section initiale, la compréhension de la question commerciale s'est révélée être le fondement le plus essentiel de l'ensemble du projet. Nous avons constaté que :

• Clarté de la définition du problème: Le fait de passer plus de temps en amont avec les parties prenantes pour définir précisément le problème (accès aux informations de confidentialité auprès de plusieurs fournisseurs) a permis d'éviter toute dérive de la portée et de maintenir l'attention.
• Cartographie du parcours utilisateur: L'analyse de l'expérience utilisateur avant la mise en œuvre a permis d'identifier les principaux points de friction dans la navigation dans la politique de confidentialité que le système RAG devait résoudre.
• Définition des indicateurs de réussite: L'établissement de mesures claires pour déterminer ce qui constitue une « bonne réponse » a guidé nos décisions techniques concernant l'intégration de modèles, la taille des blocs et les stratégies de récupération. La leçon à tirer est claire : RAG n'est pas simplement une solution technique, mais une solution commerciale rendue possible par la technologie. Lorsque le problème commercial est bien défini, la mise en œuvre technique suit plus naturellement.

‍

6.2 Leçons d'optimisation technique

Plusieurs informations techniques sont apparues lors de la mise en œuvre :

• Compromis entre fenêtres contextuelles: Si des fenêtres contextuelles plus étendues amélioraient la cohérence des réponses, elles augmentaient également les coûts et introduisaient parfois des informations non pertinentes. Nous avons trouvé un équilibre optimal grâce à des tests systématiques.
• Impact de la sélection du modèle: Le test de différents modèles LLM a révélé que même si les modèles les plus avancés produisaient des réponses plus nuancées, ils ne justifiaient pas toujours l'augmentation du coût des questions simples, ce qui nous a amené à mettre en œuvre une approche par étapes.
• Itération d'ingénierie rapide: Nous avons effectué plusieurs itérations des instructions du système pour le bot, et nous avons constaté que des instructions explicites concernant les formats de citation et l'analyse comparative amélioraient considérablement la qualité de sortie.
• Réglage des paramètres de récupération: Le nombre optimal de segments à récupérer (valeur k) variait en fonction de la complexité de la question, ce qui nous a amené à implémenter une sélection k dynamique basée sur les caractéristiques des requêtes.

6.3 Orientations futures

Sur la base de nos apprentissages, plusieurs pistes prometteuses peuvent être explorées :

• Raisonnement multi-documents: Améliorer le système pour établir des liens entre les sections connexes des différentes politiques des fournisseurs.
• Suivi historique: mise en œuvre d'un contrôle de version pour les politiques afin de suivre l'évolution des positions des fournisseurs en matière de confidentialité au fil du temps.
• Contextualisation spécifique à l'utilisateur: Adapter les réponses en fonction du secteur d'activité, de la géographie et des exigences réglementaires de l'utilisateur.
• Alertes proactives: Informer les utilisateurs lorsque des changements de politique peuvent affecter leurs cas d'utilisation spécifiques. Le projet PrivacyBot a confirmé que la réussite de la mise en œuvre du RAG nécessite une approche holistique couvrant la compréhension des affaires, l'expertise en traitement des données, la conception de l'expérience utilisateur et l'optimisation technique,

‍

Conclusion

Bot de confidentialité simplifie avec succès la tâche complexe de navigation dans les politiques de confidentialité, en rendant les informations critiques plus accessibles et exploitables à la fois pour les organisations et les particuliers. En tirant parti Génération augmentée de récupération (RAG), le bot fournit des réponses contextuelles rapides tout en favorisant la confiance grâce à des sources transparentes et vérifiables.

Tout en relevant des défis tels que l'incohérence des structures de documents et le réglage des paramètres, le projet a démontré la puissance de l'IA pour améliorer l'efficacité du temps et l'accessibilité pour les utilisateurs non techniques.

Pour ce qui est de l'avenir Bot de confidentialité ouvre la voie à de nouvelles innovations, notamment un raisonnement multidocument et des alertes proactives en matière de changement de politique, garantissant un paysage numérique plus transparent et informé.