L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l’intelligence artificielle. La première précise les conditions d’usage de la base légale de l’intérêt légitime pour développer un système d’IA (I) et la seconde traite plus spécifiquement de la collecte de données via « moissonnage » ou « web scraping (II)
🟠 I. L’intérêt légitime du traitement des données : une base juridique possible, mais encadrée
L’intérêt légitime est l’une des six bases légales prévues par l’article 6 du RGPD. Il est souvent mobilisé par les acteurs privés pour développer des systèmes d’IA, notamment lorsque le recueil du consentement est difficile, car il semble peu réaliste de pouvoir obtenir le consentement individuel pour chaque donnée collectée (ex. : collecte indirecte ou à grande échelle).
Toutefois, l’usage de « l’intérêt légitime » pour le traitement des données est conditionné à trois critères cumulatifs :
- L’intérêt poursuivi doit être légitime.
- Le traitement doit être nécessaire afin d’atteindre l’intérêt poursuivi et il ne doit pas exister de moyen moins intrusif pour la vie privée que de mettre en œuvre le traitement envisagé.
- Il faut veiller à maintenir un équilibre entre les intérêts légitimes poursuivis et l’atteinte disproportionnée aux intérêts, droits et libertés des personnes concernées, du fait du traitement de leurs données personnelles.
🟠 II. Zoom sur le web scraping : une vigilance renforcée
Le moissonnage se définit comme l’extraction automatisée de contenus de sites de la toile, pratiquée en vue d’un traitement spécifique. Il s’agit d’une pratique courante dans le développement des modèles d’IA. La CNIL rappelle que cette méthode n’est pas interdite, et admet qu’elle puisse reposer sur l’intérêt légitime mais qu’elle doit respecter des garanties strictes.
Le traitement doit être nécessaire, proportionné et respecter les attentes raisonnables des personnes.
Les données sensibles doivent être exclues ou protégées et une information claire aux personnes concernées doit être diffusée, y compris via une page dédiée (ex : sur le site de l’organisation qui effectue le moissonnage, expliquant pourquoi et comment les données sont utilisées).
L’exercice des droits (accès, opposition aux traitements…) doit être possible et l’usage d’outils de limitation (robots.txt…) doit être respecté.
🟠 III. Les garanties recommandées par la CNIL
La CNIL recommande la mise en œuvre de garanties concrètes afin de protéger les individus :
- Exclusion ou pseudonymisation afin de limiter les risques de ré-identification.
- Transparence du traitement des données, il faut informer clairement les personnes de l’usage de leurs données et notamment, il faut que cette information soit accessible aux personnes concernées.
- Droit d’opposition facilité : il faut permettre aux personnes concernées de s’opposer au traitement de leurs données personnelles.
– Établir une documentation rigoureuse afin de justifier le choix de la base légale et les mesures prises.
🟠 Conclusion : ces recommandations s’inscrivent dans le plan d’action de la CNIL lancé en juin 2024 pour accompagner une IA responsable. Elles offrent un cadre juridique clarifié, essentiel pour bâtir la confiance des utilisateurs et favoriser une innovation éthique.
Pour en savoir plus / sources : |
Le Comité européen de la protection des données (CEPD) a récemment tenu une réunion importante, les 2 et 3 décembre 2025, pour discuter de l’avenir du cadre juridique européen en matière de protection des données. À l’ordre du jour figuraient l’adoption de nouvelles lignes directrices sur la création de comptes en ligne ainsi que des bonnes pratiques sur son fonctionnement.
La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment prononcé une sanction de 1,5 million d’euros contre American Express Carte France. Cette décision illustre la vigilance accrue de l’autorité française en matière de protection des données personnelles et de respect du cadre légal sur les traceurs numériques.
La Commission nationale de l’informatique et des libertés (CNIL) poursuit son action de contrôle sur le respect des droits numériques des citoyens. Le 20 novembre 2025, elle a infligé une amende de 750 000 euros à la société Les Publications Condé Nast, éditrice du magazine Vanity Fair en France, pour non-conformité aux règles relatives aux cookies. Cette décision illustre la vigilance accrue de l’autorité française face aux pratiques en ligne qui menacent la transparence et la protection des données personnelles.
La cybercriminalité n’est plus un sujet réservé aux experts en informatique, elle touche désormais chacun d’entre nous. Derrière ce terme se cachent des pratiques variées tels que : vols de données, piratages de comptes, escroqueries en ligne qui peuvent avoir des conséquences bien réelles sur notre vie quotidienne.