Blog Données personnelles
La CNIL publie de nouvelles recommandations relatives à la mobilisation de l’intérêt légitime pour le développement de systèmes d’IA
Le 19 juin 2025, la CNIL a publié deux nouvelles fiches pratiques détaillant ses recommandations [1] [2] relatives à l’utilisation de l’intérêt légitime dans le cadre du développement des systèmes d’intelligence artificielle (« SIA ») et ce, notamment, en cas de moissonnage de données accessibles en ligne (web scraping). Ces nouvelles fiches, qui s’inscrivent dans la continuité des travaux engagés par la CNIL concernant le développement des SIA et la constitution de bases de données utilisées pour leur apprentissage, viennent enrichir les fiches pratiques publiées en 2024 [3] .
La CNIL rappelle ainsi que l’intérêt légitime sera souvent la base légale adaptée dans le cadre du développement de SIA par un organisme privé et qu’un organisme public peut recourir à cette base « uniquement lorsque les activités visées ne sont pas strictement nécessaires à l’exercice de ses missions spécifiques mais pour d’autres activités légalement mises en œuvre (comme par exemple, les traitements de gestion des ressources humaines). »
Les recommandations de la CNIL rappellent également que la mobilisation de l’intérêt légitime suppose de satisfaire trois conditions :
- l’intérêt poursuivi par le responsable du traitement doit être légitime. En cas de développement de SIA, la réalisation de travaux de recherche scientifique ou le développement de nouveaux systèmes et fonctionnalités pour les utilisateurs d’un service seront, par exemple et à priori, considérés comme légitimes ;
- le traitement envisagé doit permettre d’atteindre l’intérêt poursuivi par le responsable du traitement (cet intérêt ne pouvant être atteint par des moyens moins intrusifs pour la vie privée). Cela implique, notamment, de s’assurer que le développement du SIA est nécessaire pour atteindre l’objectif du responsable du traitement ;
- vérifier que l’intérêt légitime poursuivi par le responsable du traitement ne porte pas une atteinte disproportionnée aux intérêts, droits et libertés des personnes concernées, et ce, en mettant en en balance les droits et intérêts des parties. A ce titre, la CNIL rappelle notamment que les bénéfices attendus du SIA, pour le responsable de traitement et pour les tiers tels que les utilisateurs finaux du SIA, ou encore l’intérêt de la société (ex : amélioration de l’accessibilité à des services essentiels ou aux soins), peuvent contribuer à justifier le traitement de données.
Des exemples concrets de mesures permettant de limiter les incidences du traitement sur les personnes sont également fournis (ex : anonymisation à bref délai, utilisation de données synthétiques ou encore droit d’opposition discrétionnaire et préalable).
Si le responsable du traitement recourt à du web scrapping afin de constituer des bases de données d’apprentissage, son intérêt légitime peut être également retenu sous réserve de respecter certaines conditions. En effet, compte tenu des risques que cette pratique présente pour les droits et intérêts des personnes concernées, lesquelles n’ont pas la maitrise de la réutilisation de leurs données accessibles en ligne, sa mise en œuvre nécessite une vigilance particulière.
La CNIL précise ainsi qu’il appartient au responsable de traitement, notamment, de :
- définir en amont des critères précis de collecte de données ;
- exclure de la collecte les catégories de données qui ne sont pas nécessaires (ex : via des filtres ou en excluant certains sites) ;
- respecter les attentes raisonnables des personnes concernées quant au traitement de leurs données en tenant compte, par exemple, du caractère publiquement accessible des données ou de la nature des sites concernés par la collecte de données ;
- exclure de la collecte les sites qui s’opposent au moissonnage de leur contenu à des fins de constitution de bases de données pour l’entrainement de SIA (ex : utilisation de protocoles d’exclusion robots.txt ou de CAPTCHA ) ;
- limiter la collecte aux données librement accessibles (i.e., visibles sans authentification ni création de compte) ;
- informer les personnes concernées, par exemple, en publiant une liste des sites concernés par le web scraping ou en faisant diffuser l’information par les éditeurs de sites concernés.
La CNIL publiera prochainement de nouvelles recommandations relatives au statut d’un modèle d’IA au regard du RGPD, à la sécurité dans le cadre du développement d’un SIA ou encore à l’annotation des données.
[2] La base légale de l’intérêt légitime : fiche focus sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping), CNIL
[3] Les fiches pratiques IA, CNIL