Délibération n° 2025-041 du 10 avril 2025 portant adoption d’une troisième recommandation sur l’application du règlement général sur la protection des données au développement des systèmes d’intelligence artificielle

JO du 22 juin 2025

Ce texte adopte une troisième recommandation sur l’application du règlement général sur la protection des données au développement des systèmes d’intelligence artificielle (IA).
Figurant en annexe, cette recommandation comprend deux fiches pratiques :
– la première fiche vise à mobiliser la base légale de l’intérêt légitime pour développer un système d’IA. Elle explicite les contours de cette notion utilisée tant par les organismes publics que privés pour fonder le développement de dispositifs d’IA. L’utilisation de l’intérêt légitime nécessite la réunion de trois conditions cumulatives à savoir :
– l’intérêt poursuivi par l’organisme développant une solution d’IA doit être « légitime ». En ce sens, la fiche cite des intérêts devant, a priori, être considérés comme étant légitimes. Sont notamment visés les intérêts suivants : développer de nouveaux systèmes et fonctionnalités pour les utilisateurs d’un service ; améliorer un produit ou un service pour augmenter sa performance ; développer un système d’IA permettant de détecter des contenus ou comportements frauduleux ;
– le traitement envisagé doit être nécessaire pour la réalisation de l’intérêt légitime poursuivi. Il ne doit pas exister de moyens moins intrusifs pour la vie privée que le dispositif d’IA envisagé ;
– le traitement ne doit pas porter une atteinte disproportionnée aux droits et intérêts des personnes dont les données sont traitées au regard de leurs attentes raisonnables. En ce sens, une comparaison des droits et intérêts en cause doit être établie au regard des conditions concrètes de la mise en oeuvre du traitement ;
– le seconde fiche traite de la base légale de l’intérêt légitime. Elle présente les mesures à prendre en cas de collecte des données personnelles accessibles en ligne par moissonnage (web scraping). Dans la mesure où cette collecte s’effectue généralement sur la base de l’intérêt légitime, le responsable du traitement doit mettre en œuvre certaines mesures additionnelles pour restreindre ou limiter l’atteinte qu’elle peut porter aux intérêts, droits et libertés des personnes. En particulier :
– certaines mesures sont imposées au titre du principe de minimisation des données (telles que notamment la définition, en amont, des critères précis de collecte, l’exclusion de la collecte de certaines catégories de données lorsqu’elles ne sont pas nécessaires, la suppression de certaines données non pertinentes) ;
– le responsable du traitement doit limiter l’atteinte aux droits et libertés des personnes en tenant compte de leurs attentes raisonnables. A ce titre, il convient de s’assurer notamment du caractère publiquement accessible des données et de la nature des sites web sources (réseaux sociaux, forums en ligne, sites de diffusion de jeux de données…) ;
– des garanties supplémentaires doivent être assurées. En ce sens, la Commission nationale de l’informatique et des libertés (CNIL) recommande principalement :
– l’établissement d’une liste de sites dont la collecte serait exclue par défaut (sites recensant des données particulièrement intrusives compte tenu de leur sensibilité (comme les sites pornographiques, les forums de santé…)) ;
– l’exclusion de la collecte des sites qui s’opposent au moissonnage de leur contenu ou à sa réutilisation à des fins de constitution de bases de données pour l’entrainement de systèmes d’IA par l’intermédiaire de mesures techniques ou juridiques ;
– la limitation de la collecte aux données librement accessibles (c’est-à-dire aux contenus accessibles à tout utilisateur non inscrit sur le site en question et sans création d’un compte) ;
– la mise en place d’un droit d’opposition discrétionnaire et préalable pour renforcer le contrôle des personnes sur leurs données ;
– l’application des procédés d’anonymisation ou de pseudonymisation juste après la collecte des données.
D’autres fiches pratiques seront prochainement adoptées dans le cadre de cette série de recommandations.