Nouvelles recommandations de la CNIL sur l’intérêt légitime dans le développement des systèmes d’IA

Article rédigé le 16 juillet 2025 par Me Raphaël Cavan

La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment publié de nouvelles recommandations concernant le développement des systèmes d’intelligence artificielle (SIA) sur son site Internet .

Ces recommandations, qui complètent celles déjà publiées par la CNIL, visent à clarifier l’utilisation de l’intérêt légitime comme base légale pour le développement de ces SIA, tout en assurant le respect des droits fondamentaux des individus.

Ces recommandations font suite à l’avis adopté par le CEPD en décembre 2024. Elles ont été élaborées après une consultation publique organisée par la CNIL, qui a permis de recueillir les avis de diverses parties prenantes, notamment des entreprises, des chercheurs, des universitaires, des associations, des conseils juridiques et techniques, ainsi que des syndicats et fédérations.

La CNIL considère que le développement des SIA ne nécessite pas systématiquement le recours au consentement des personnes concernées. L’intérêt légitime peut ainsi être utilisé comme base légale, à condition de mettre en place des garanties fortes pour protéger les droits des individus.

Parmi ces garanties, nous retrouvons l’exclusion de certaines données de la collecte, une transparence accrue, et la facilitation de l’exercice des droits des personnes.

À titre d’illustration, la réutilisation des conversations futures des utilisateurs d’un agent conversationnel pour l’amélioration du modèle d’IA peut se fonder sur l’intérêt légitime, à condition de mettre en place certaines garanties telles que l’information des personnes, le droit d’opposition discrétionnaire, et la limitation du traitement à certaines données pseudonymisées ou anonymisées.

Dans les mois à venir, la CNIL a annoncé la publication de prochains livrables couvrant plusieurs aspects du développement des systèmes d’IA, notamment :

1. Recommandations relatives au statut d’un modèle d’IA au regard du RGPD visant à apporter des clarifications sur les obligations et les droits liés à l’utilisation des modèles d’IA dans le respect des exigences posées par le RGPD ;
2. Finalisation des recommandations relatives à la sécurité du développement d’un SIA visant à garantir la sécurité des données tout au long du cycle de vie du développement d’un système d’IA (fiche 12 à venir), et sur l’annotation des données utilisées pour l’entraînement des modèles d’IA (fiche 11 à venir).Ces fiches déjà présentes sur le site de la CNIL sont indiquées comme étant « en cours de finalisation ». Des ajustements et/ou ajouts sont donc à prévoir.
3. Annonce de son programme de travail à venir, qui détaillera les priorités et les actions spécifiques pour les prochains mois. Ce programme visera à renforcer la conformité au RGPD et à promouvoir des pratiques responsables en matière d’IA.

En parallèle, la CNIL poursuit au niveau européen ses travaux au sein du Comité européen de la protection des données (CEPD) sur plusieurs fronts :

1. Articulation entre le RGPD et le Règlement sur l’IA (RIA)
2. Moissonnage de Données dans le Contexte de l’IA Générative : Étude des implications du moissonnage de données (web scraping) pour l’entraînement des modèles d’IA générative, en veillant à ce que ces pratiques respectent les principes du RGPD. Cette fiche est également déjà publiée sur le site de la CNIL ;
3. Suivi des travaux du bureau de l’IA de la Commission européenne pour l’élaboration d’un code de bonnes pratiques sur l’IA à usage général. Ce code vise à établir des normes et des lignes directrices pour le développement et l’utilisation éthique et sécurisée de l’IA