La Cnil publie deux fiches sur l’application du RGPD aux systèmes d’IA
La délibération n° 2025-041 du 10 avril 2025 de la Cnil porte une troisième recommandation sur l’application du règlement général sur la protection des données (RGPD) au développement des systèmes d’intelligence artificielle (IA).
Ce texte de la Cnil (Commission nationale de l’informatique et des libertés), publié au Journal officiel le 22 juin 2025, adopte une troisième recommandation sur l’application du règlement général sur la protection des données (RGPD) au développement des systèmes d’intelligence artificielle (IA).
Figurant en annexe, cette recommandation comprend deux fiches pratiques.
Une fiche de la Cnil pour développer un système d’IA
La première fiche de la Cnil vise à mobiliser la base légale de l’intérêt légitime pour développer un système d’intelligence artificielle (IA).
Elle explicite les contours de cette notion utilisée tant par les organismes publics que privés pour fonder le développement de dispositifs d’IA. L’utilisation de l’intérêt légitime nécessite la réunion de trois conditions cumulatives à savoir :
- l’intérêt poursuivi par l’organisme développant une solution d’IA doit être « légitime ».
En ce sens, la fiche cite des intérêts devant, a priori, être considérés comme étant légitimes. Sont notamment visés les intérêts suivants :
- développer de nouveaux systèmes et fonctionnalités pour les utilisateurs d’un service ;
- améliorer un produit ou un service pour augmenter sa performance ;
- développer un système d’IA permettant de détecter des contenus ou comportements frauduleux ;
- le traitement envisagé doit être nécessaire pour la réalisation de l’intérêt légitime poursuivi. Il ne doit pas exister de moyens moins intrusifs pour la vie privée que le dispositif d’IA envisagé ;
- le traitement ne doit pas porter une atteinte disproportionnée aux droits et intérêts des personnes dont les données sont traitées au regard de leurs attentes raisonnables. En ce sens, une comparaison des droits et intérêts en cause doit être établie au regard des conditions concrètes de la mise en œuvre du traitement.
En savoir plus
Consultez la fiche de la Cnil “IA : mobiliser la base légale de l’intérêt légitime pour développer un système d’IA“.
Une deuxième fiche Cnil sur la collecte des données personnelles accessibles en ligne
La seconde fiche de la Cnil traite de la base légale de l’intérêt légitime. Elle présente les mesures à prendre en cas de collecte des données personnelles accessibles en ligne par moissonnage (web scraping).
Dans la mesure où cette collecte s’effectue généralement sur la base de l’intérêt légitime, le responsable du traitement doit mettre en œuvre certaines mesures additionnelles pour restreindre ou limiter l’atteinte qu’elle peut porter aux intérêts, droits et libertés des personnes. En particulier :
- certaines mesures sont imposées au titre du principe de minimisation des données (telles que notamment la définition, en amont, des critères précis de collecte, l’exclusion de la collecte de certaines catégories de données lorsqu’elles ne sont pas nécessaires, la suppression de certaines données non pertinentes) ;
- le responsable du traitement doit limiter l’atteinte aux droits et libertés des personnes en tenant compte de leurs attentes raisonnables.
À ce titre, il convient de s’assurer notamment du caractère publiquement accessible des données et de la nature des sites web sources (réseaux sociaux, forums en ligne, sites de diffusion de jeux de données…) ;
- des garanties supplémentaires doivent être assurées. En ce sens, la Commission nationale de l’informatique et des libertés (Cnil) recommande principalement :
-
- l’établissement d’une liste de sites dont la collecte serait exclue par défaut (sites recensant des données particulièrement intrusives compte tenu de leur sensibilité (comme les sites pornographiques, les forums de santé…)) ;
- l’exclusion de la collecte des sites qui s’opposent au moissonnage de leur contenu ou à sa réutilisation à des fins de constitution de bases de données pour l’entrainement de systèmes d’IA par l’intermédiaire de mesures techniques ou juridiques ;
- la limitation de la collecte aux données librement accessibles (c’est-à-dire aux contenus accessibles à tout utilisateur non inscrit sur le site en question et sans création d’un compte) ;
- la mise en place d’un droit d’opposition discrétionnaire et préalable pour renforcer le contrôle des personnes sur leurs données ;
- l’application des procédés d’anonymisation ou de pseudonymisation juste après la collecte des données.
D’autres fiches pratiques seront prochainement adoptées dans le cadre de cette série de recommandations.
En savoir plus
Consultez la fiche de la Cnil “La base légale de l’intérêt légitime : les mesures à prendre en cas de collecte des données par moissonnage (web scraping)“.
Retrouvez par ailleurs en version intégrale la “Délibération n° 2025-041 du 10 avril 2025 portant adoption d’une troisième recommandation sur l’application du règlement général sur la protection des données au développement des systèmes d’intelligence artificielle“.
Manon Janvier
Consultante au service Assistance réglementaire de CNPP Conseil & Formation
Les plus lus…
Par une décision rendue le 22 juillet 2025, le Conseil d’État a suspendu la sanction prononcée le 30 janvier…
Depuis 2022, les périodes de sécheresse se sont multipliées et durcies en France. Face à ce constat, le gouvernement a…
-
Face au Risque consacre un nouveau dossier à la vidéosurveillance algorithmique et à l’usage de l’intelligence artificielle dans la…
-
Pour faire face à l’évolution de la cybercriminalité et assister le gendarme dans ses tâches quotidiennes, la Gendarmerie nationale se…
-
L’Association nationale de la vidéoprotection (AN2V) travaille depuis 2020 sur le sujet de l’intelligence artificielle. Elle a recensé plus de…
-
La vidéosurveillance algorithmique est probablement la technologie la plus évoquée à l’heure actuelle lorsqu’il est question d’intelligence artificielle dans des…
