Base légale RGPD et IA : les conditions pour invoquer l’intérêt légitime
19/06/2025
Sommaire
- L’intérêt légitime : une base juridique à manier avec rigueur
- Quels intérêts peuvent être considérés comme légitimes pour une IA ?
- Le traitement doit être nécessaire et proportionné
- Une mise en balance rigoureuse des intérêts en présence
- Prise en compte des attentes raisonnables des personnes
- Quelles garanties mettre en place ?
- Focus sur le web scraping : des précautions renforcées
- En résumé : que retenir pour utiliser l’intérêt légitime dans l’IA ?
Dans une note publiée en juin 2025, la CNIL précise les conditions de recours à l’intérêt légitime comme base légale pour le développement de systèmes d’intelligence artificielle (IA). Une clarification bienvenue, à l’heure où le RGPD et le futur règlement sur l’IA doivent être conciliés dans les projets d’innovation.
L’intérêt légitime : une base juridique à manier avec rigueur
Contrairement à une idée reçue, le consentement n’est pas systématiquement requis pour développer une IA impliquant des données personnelles. L’intérêt légitime peut constituer une base légale valable, sous conditions strictes. La CNIL rappelle qu’il n’existe aucune hiérarchie entre les bases légales : chacune est autonome et doit être justifiée en fonction des finalités du traitement.
Le recours à l’intérêt légitime suppose toutefois :
- un intérêt légitime clair et défendable ;
- un traitement nécessaire à cet intérêt ;
- et une mise en balance équitableentre cet intérêt et les droits des personnes concernées.
Quels intérêts peuvent être considérés comme légitimes pour une IA ?
La CNIL admet que les projets commerciaux, de recherche ou d’amélioration de modèles d’IA peuvent reposer sur l’intérêt légitime, à condition qu’ils ne soient pas exclusivement lucratifs. Sont notamment visés :
- les projets de recherche et développement, y compris en entreprise ;
- le développement de modèles d’IA à usage général (ex : traitement du langage naturel, vision par ordinateur), sous réserve de préciser leur finalité : usage interne, service public, recherche, etc. ;
- les activités commerciales si elles s’inscrivent dans un cadre légal, proportionné, et si elles intègrent un bénéfice collectif.
💡 Un intérêt purement commercial bénéficiant à une entreprise privée ne suffira donc pas à lui seul à justifier un traitement intrusif.
Le traitement doit être nécessaire et proportionné
L’intérêt poursuivi ne suffit pas. Encore faut-il que le traitement de données personnelles soit nécessaire à cet objectif. Cela implique notamment :
- de limiter les données traitées à ce qui est strictement utile à l’entraînement ou à l’utilisation du modèle ;
- de privilégier les approches frugales en données personnelles, même pour les IA fondées sur de grands volumes ;
- de justifier l’usage de techniques complexes (comme le deep learning) lorsque des solutions moins intrusives existent ;
- de tenir compte des évolutions technologiques qui pourraient permettre de limiter l’usage des données.
Une mise en balance rigoureuse des intérêts en présence
L’une des conditions clés est la réalisation d’une analyse d’intérêt légitime (balancing test). Celle-ci doit tenir compte :
- des bénéfices pour le responsable du traitement (entreprise, organisme public, etc.) ;
- des risques pour les personnes concernées, y compris ceux liés à :
- la qualité des données utilisées (risques de biais, de discrimination) ;
- la transparence et la traçabilité du modèle ;
- des usages ultérieurs non maîtrisés.
🔎 La CNIL rapproche cette logique de celle du Règlement sur l’intelligence artificielle (RIA), qui impose une gestion des risques dès la conception du système.
Prise en compte des attentes raisonnables des personnes
Un point essentiel : l’analyse doit intégrer les attentes raisonnables des individus. Peuvent-ils s’attendre à ce que leurs données soient utilisées dans ce cadre ? Cela dépendra :
- du contexte de la collecte ;
- de la nature des données ;
- de la transparence des informations délivrées.
Exemple : pour le moissonnage de données en ligne (web scraping), la licéité dépendra d’une analyse fine des sites concernés, des informations accessibles, et des mesures de minimisation mises en œuvre.
Quelles garanties mettre en place ?
Même si elles ne constituent pas des obligations nouvelles au sens du RGPD, la CNIL recommande de prévoir des garanties fortes, telles que :
- l’anonymisation ou pseudonymisation des données utilisées, en particulier sur de gros volumes ;
- le recours à des données synthétiques lorsque cela est possible ;
- la mise en place de restrictions de licence pour éviter les réutilisations malveillantes ou non contrôlées ;
- la prévention de la mémorisation involontaire des données (notamment pour les modèles génératifs) ;
- des mécanismes transparents d’information et de facilitation des droits (opposition, effacement, etc.).
Focus sur le web scraping : des précautions renforcées
Le moissonnage de données accessibles publiquement fait l’objet de règles spécifiques. La CNIL recommande de :
- exclure les données sensibles (voix, image, opinions…) ;
- filtrer les sites à risque (contenus pornographiques, piratés, sites d’enfants) ;
- respecter les fichiers robots.txt, CAPTCHA et CGU opposables ;
- limiter la collecte aux contenus réellement publics (pas de comptes privés, pas de données derrière un paywall) ;
- envisager des mécanismes de liste d’exclusion proactive pour permettre aux personnes de s’opposer à la collecte.
En résumé : que retenir pour utiliser l’intérêt légitime dans l’IA ?
⚠️ À faire
- Démontrer un intérêt réel, légitime et proportionné
- Documenter une analyse d’intérêt légitime solide
- Minimiser les données personnelles utilisées
- Intégrer des garanties fortes (anonymisation, opposition, transparence)
- Adapter l’analyse aux cas spécifiques (notamment web scraping)
❌ À éviter
- S’appuyer uniquement sur un objectif commercial
- Utiliser l’intérêt légitime sans mise en balance rigoureuse
- Collecter massivement sans filtrage
- Négliger les droits des personnes concernées
- Appliquer des règles génériques sans contextualisation
La CNIL ouvre la voie à l’utilisation de l’intérêt légitime pour les projets d’IA, mais en exigeant (bien sûr) une approche sur mesure, documentée et rigoureuse. Pour les acteurs du numérique, cette base juridique peut être une alternative crédible au consentement, à condition de respecter scrupuleusement les principes du RGPD et de s’aligner sur les exigences de transparence, de minimisation et de gestion des risques...
Affaires à suivre de près !
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
Articles et actualités RGPD
Base légale RGPD et IA : les conditions pour invoquer l’intérêt légitime
Peut-on fonder un traitement IA sur l’intérêt légitime ? La CNIL précise les conditions et garanties à respecter. Décryptage pratique et recommandations.En savoir plus
Le RGPD peut-il encore nous protéger face à l’expansion des vidéosurveillances algorithmiques ?
Peut-on encore compter sur le RGPD face à l’essor de la vidéosurveillance algorithmique ? Décryptage des risques pour les libertés, des limites juridiques et du rôle de la CNIL face à ces dispositifs de surveillance.En savoir plus
Pixels espions dans les e-mails : que prévoit la CNIL dans son projet de recommandation ?
La CNIL publie un projet de recommandation sur les pixels espions dans les emails. Consentement, usages autorisés : on vous explique tout.En savoir plus
Cybersécurité et économie : le RGPD, un investissement rentable pour les entreprises
Découvrez comment le RGPD améliore concrètement la cybersécurité des entreprises et génère des bénéfices économiques significatifs selon le dernier rapport de la CNIL.En savoir plus
