L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l’intelligence artificielle. La première précise les conditions d’usage de la base légale de l’intérêt légitime pour développer un système d’IA (I) et la seconde traite plus spécifiquement de la collecte de données via « moissonnage » ou « web scraping (II)
🟠 I. L’intérêt légitime du traitement des données : une base juridique possible, mais encadrée
L’intérêt légitime est l’une des six bases légales prévues par l’article 6 du RGPD. Il est souvent mobilisé par les acteurs privés pour développer des systèmes d’IA, notamment lorsque le recueil du consentement est difficile, car il semble peu réaliste de pouvoir obtenir le consentement individuel pour chaque donnée collectée (ex. : collecte indirecte ou à grande échelle).
Toutefois, l’usage de « l’intérêt légitime » pour le traitement des données est conditionné à trois critères cumulatifs :
- L’intérêt poursuivi doit être légitime.
- Le traitement doit être nécessaire afin d’atteindre l’intérêt poursuivi et il ne doit pas exister de moyen moins intrusif pour la vie privée que de mettre en œuvre le traitement envisagé.
- Il faut veiller à maintenir un équilibre entre les intérêts légitimes poursuivis et l’atteinte disproportionnée aux intérêts, droits et libertés des personnes concernées, du fait du traitement de leurs données personnelles.
🟠 II. Zoom sur le web scraping : une vigilance renforcée
Le moissonnage se définit comme l’extraction automatisée de contenus de sites de la toile, pratiquée en vue d’un traitement spécifique. Il s’agit d’une pratique courante dans le développement des modèles d’IA. La CNIL rappelle que cette méthode n’est pas interdite, et admet qu’elle puisse reposer sur l’intérêt légitime mais qu’elle doit respecter des garanties strictes.
Le traitement doit être nécessaire, proportionné et respecter les attentes raisonnables des personnes.
Les données sensibles doivent être exclues ou protégées et une information claire aux personnes concernées doit être diffusée, y compris via une page dédiée (ex : sur le site de l’organisation qui effectue le moissonnage, expliquant pourquoi et comment les données sont utilisées).
L’exercice des droits (accès, opposition aux traitements…) doit être possible et l’usage d’outils de limitation (robots.txt…) doit être respecté.
🟠 III. Les garanties recommandées par la CNIL
La CNIL recommande la mise en œuvre de garanties concrètes afin de protéger les individus :
- Exclusion ou pseudonymisation afin de limiter les risques de ré-identification.
- Transparence du traitement des données, il faut informer clairement les personnes de l’usage de leurs données et notamment, il faut que cette information soit accessible aux personnes concernées.
- Droit d’opposition facilité : il faut permettre aux personnes concernées de s’opposer au traitement de leurs données personnelles.
– Établir une documentation rigoureuse afin de justifier le choix de la base légale et les mesures prises.
🟠 Conclusion : ces recommandations s’inscrivent dans le plan d’action de la CNIL lancé en juin 2024 pour accompagner une IA responsable. Elles offrent un cadre juridique clarifié, essentiel pour bâtir la confiance des utilisateurs et favoriser une innovation éthique.
Pour en savoir plus / sources : |
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.
Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.
La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD. Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.