La Cnil publie deux fiches sur l’application du RGPD aux systèmes d’IA

Ce texte de la Cnil (Commission nationale de l’informatique et des libertés), publié au Journal officiel le 22 juin 2025, adopte une troisième recommandation sur l’application du règlement général sur la protection des données (RGPD) au développement des systèmes d’intelligence artificielle (IA).

Figurant en annexe, cette recommandation comprend deux fiches pratiques.

La première fiche de la Cnil vise à mobiliser la base légale de l’intérêt légitime pour développer un système d’intelligence artificielle (IA).

Elle explicite les contours de cette notion utilisée tant par les organismes publics que privés pour fonder le développement de dispositifs d’IA. L’utilisation de l’intérêt légitime nécessite la réunion de trois conditions cumulatives à savoir :

• l’intérêt poursuivi par l’organisme développant une solution d’IA doit être « légitime ».

En ce sens, la fiche cite des intérêts devant, a priori, être considérés comme étant légitimes. Sont notamment visés les intérêts suivants :

1. développer de nouveaux systèmes et fonctionnalités pour les utilisateurs d’un service ;

2. améliorer un produit ou un service pour augmenter sa performance ;

3. développer un système d’IA permettant de détecter des contenus ou comportements frauduleux ;

• le traitement envisagé doit être nécessaire pour la réalisation de l’intérêt légitime poursuivi. Il ne doit pas exister de moyens moins intrusifs pour la vie privée que le dispositif d’IA envisagé ;

• le traitement ne doit pas porter une atteinte disproportionnée aux droits et intérêts des personnes dont les données sont traitées au regard de leurs attentes raisonnables. En ce sens, une comparaison des droits et intérêts en cause doit être établie au regard des conditions concrètes de la mise en œuvre du traitement.