Base légale RGPD et IA : les conditions pour invoquer l’intérêt légitime

19/06/2025

Sommaire

 

 

Dans une note publiée en juin 2025, la CNIL précise les conditions de recours à l’intérêt légitime comme base légale pour le développement de systèmes d’intelligence artificielle (IA). Une clarification bienvenue, à l’heure où le RGPD et le futur règlement sur l’IA doivent être conciliés dans les projets d’innovation.

L’intérêt légitime : une base juridique à manier avec rigueur

Contrairement à une idée reçue, le consentement n’est pas systématiquement requis pour développer une IA impliquant des données personnelles. L’intérêt légitime peut constituer une base légale valable, sous conditions strictes. La CNIL rappelle qu’il n’existe aucune hiérarchie entre les bases légales : chacune est autonome et doit être justifiée en fonction des finalités du traitement.

Le recours à l’intérêt légitime suppose toutefois :

  • un intérêt légitime clair et défendable ;
  • un traitement nécessaire à cet intérêt ;
  • et une mise en balance équitableentre cet intérêt et les droits des personnes concernées.

Quels intérêts peuvent être considérés comme légitimes pour une IA ?

La CNIL admet que les projets commerciaux, de recherche ou d’amélioration de modèles d’IA peuvent reposer sur l’intérêt légitime, à condition qu’ils ne soient pas exclusivement lucratifs. Sont notamment visés :

  • les projets de recherche et développement, y compris en entreprise ;
  • le développement de modèles d’IA à usage général (ex : traitement du langage naturel, vision par ordinateur), sous réserve de préciser leur finalité : usage interne, service public, recherche, etc. ;
  • les activités commerciales si elles s’inscrivent dans un cadre légal, proportionné, et si elles intègrent un bénéfice collectif.

💡 Un intérêt purement commercial bénéficiant à une entreprise privée ne suffira donc pas à lui seul à justifier un traitement intrusif.

Le traitement doit être nécessaire et proportionné

L’intérêt poursuivi ne suffit pas. Encore faut-il que le traitement de données personnelles soit nécessaire à cet objectif. Cela implique notamment :

  • de limiter les données traitées à ce qui est strictement utile à l’entraînement ou à l’utilisation du modèle ;
  • de privilégier les approches frugales en données personnelles, même pour les IA fondées sur de grands volumes ;
  • de justifier l’usage de techniques complexes (comme le deep learning) lorsque des solutions moins intrusives existent ;
  • de tenir compte des évolutions technologiques qui pourraient permettre de limiter l’usage des données.

Une mise en balance rigoureuse des intérêts en présence

L’une des conditions clés est la réalisation d’une analyse d’intérêt légitime (balancing test). Celle-ci doit tenir compte :

  • des bénéfices pour le responsable du traitement (entreprise, organisme public, etc.) ;
  • des risques pour les personnes concernées, y compris ceux liés à :
    • la qualité des données utilisées (risques de biais, de discrimination) ;
    • la transparence et la traçabilité du modèle ;
    • des usages ultérieurs non maîtrisés.

🔎 La CNIL rapproche cette logique de celle du Règlement sur l’intelligence artificielle (RIA), qui impose une gestion des risques dès la conception du système.

Prise en compte des attentes raisonnables des personnes

Un point essentiel : l’analyse doit intégrer les attentes raisonnables des individus. Peuvent-ils s’attendre à ce que leurs données soient utilisées dans ce cadre ? Cela dépendra :

  • du contexte de la collecte ;
  • de la nature des données ;
  • de la transparence des informations délivrées.

Exemple : pour le moissonnage de données en ligne (web scraping), la licéité dépendra d’une analyse fine des sites concernés, des informations accessibles, et des mesures de minimisation mises en œuvre.

Quelles garanties mettre en place ?

Même si elles ne constituent pas des obligations nouvelles au sens du RGPD, la CNIL recommande de prévoir des garanties fortes, telles que :

  • l’anonymisation ou pseudonymisation des données utilisées, en particulier sur de gros volumes ;
  • le recours à des données synthétiques lorsque cela est possible ;
  • la mise en place de restrictions de licence pour éviter les réutilisations malveillantes ou non contrôlées ;
  • la prévention de la mémorisation involontaire des données (notamment pour les modèles génératifs) ;
  • des mécanismes transparents d’information et de facilitation des droits (opposition, effacement, etc.).

Focus sur le web scraping : des précautions renforcées

Le moissonnage de données accessibles publiquement fait l’objet de règles spécifiques. La CNIL recommande de :

  • exclure les données sensibles (voix, image, opinions…) ;
  • filtrer les sites à risque (contenus pornographiques, piratés, sites d’enfants) ;
  • respecter les fichiers robots.txt, CAPTCHA et CGU opposables ;
  • limiter la collecte aux contenus réellement publics (pas de comptes privés, pas de données derrière un paywall) ;
  • envisager des mécanismes de liste d’exclusion proactive pour permettre aux personnes de s’opposer à la collecte.

En résumé : que retenir pour utiliser l’intérêt légitime dans l’IA ?

⚠️ À faire    

  • Démontrer un intérêt réel, légitime et proportionné
  • Documenter une analyse d’intérêt légitime solide
  • Minimiser les données personnelles utilisées
  • Intégrer des garanties fortes (anonymisation, opposition, transparence)
  • Adapter l’analyse aux cas spécifiques (notamment web scraping)

❌ À éviter

  • S’appuyer uniquement sur un objectif commercial
  • Utiliser l’intérêt légitime sans mise en balance rigoureuse
  • Collecter massivement sans filtrage
  • Négliger les droits des personnes concernées
  • Appliquer des règles génériques sans contextualisation

La CNIL ouvre la voie à l’utilisation de l’intérêt légitime pour les projets d’IA, mais en exigeant (bien sûr) une approche sur mesure, documentée et rigoureuse. Pour les acteurs du numérique, cette base juridique peut être une alternative crédible au consentement, à condition de respecter scrupuleusement les principes du RGPD et de s’aligner sur les exigences de transparence, de minimisation et de gestion des risques...

Affaires à suivre de près !

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Articles et actualités RGPD

RGPD et décès : comment les organismes doivent-ils gérer les données des défunts ?

RGPD et décès : comment les organismes doivent-ils gérer les données des défunts ?

Le RGPD ne protège que les vivants, mais la loi française prévoit un cadre pour les données post-mortem. Responsables de traitement : comment informer, anticiper et gérer les données d’une personne décédée ?En savoir plus

CNIL, RGPD et publicité ciblée : faut-il repenser le modèle économique du web ?

CNIL, RGPD et publicité ciblée : faut-il repenser le modèle économique du web ?

Entre gratuité des services et protection des données personnelles, de plus en plus d’internautes se demandent s’ils doivent payer pour éviter la publicité ciblée. Que révèle la dernière étude de la CNIL ? Quelles sont les vraies alternatives ?En savoir plus

Contrôles de la CNIL : Que faut-il savoir et comment s'y préparer ?

Contrôles de la CNIL : Que faut-il savoir et comment s'y préparer ?

Dans ce guide complet, nous vous expliquons en détail le rôle de la CNIL, les étapes d’un contrôle, les obligations des entreprises et les conséquences possibles en cas de non-conformité.En savoir plus

IA et recrutement : comment garantir une conformité RGPD sans freiner l’innovation RH

IA et recrutement : comment garantir une conformité RGPD sans freiner l’innovation RH

Découvrez comment encadrer l’usage de l’intelligence artificielle dans le recrutement tout en respectant le RGPD. Guide pratique du DPO pour une IA RH performante, éthique et conforme à la CNIL.En savoir plus

Afficher plus d'articles

Je souhaite réserver un appel !