Sélectionner une page

Intérêt légitime et intelligence artificielle : ce qu’il faut savoir pour traiter des données sans consentement selon la CNIL

par | 27 Juin 2025 | Données personnelles

Le 19 juin 2025, la CNIL a publié des recommandations attendues sur l’usage de « l’intérêt légitime » pour entraîner et faire fonctionner les systèmes d’intelligence artificielle (IA). Bonne nouvelle : le consentement n’est pas toujours obligatoire, mais seulement si trois conditions strictes et des garanties solides sont réunies. Décryptage pratique – sans jargon – pour les entreprises qui développent ou utilisent des solutions d’IA et veulent rester dans les clous du RGPD.

Web-scraping de données sociales : rester conforme au RGPD

1. Pourquoi l’intérêt légitime revient sur le devant de la scène ?

Avec l’essor fulgurant de l’IA générative et des outils prédictifs, les responsables de traitement se retrouvent face à un dilemme : comment accéder à de larges volumes de données personnelles sans multiplier les demandes de consentement ?
Le RGPD offre six bases légales possibles ; parmi elles, l’intérêt légitime est souvent cité mais reste mal compris. L’avis du Comité européen de la protection des données (CEPD) de décembre 2024, puis les nouvelles recommandations de la CNIL, clarifient enfin les règles du jeu : l’entraînement ou l’amélioration d’un modèle d’IA peut reposer sur l’intérêt légitime, à condition de prouver que cette voie respecte les droits et libertés des personnes.

Pourquoi est-ce important ?

Conformité renforcée : sans cadre clair, le risque de sanction est élevé. La CNIL fixe désormais un cap commun pour l’ensemble des acteurs français et, plus largement, européens.

Fluidité des projets IA : ne pas dépendre du recueil systématique de consentements accélère la R&D, surtout quand les jeux de données sont hétérogènes ou proviennent de sources multiples.

2. Trois conditions incontournables pour invoquer l’intérêt légitime

La CNIL rappelle une règle d’or : les trois conditions ci-dessous sont cumulatives. Faites sauter un seul verrou et tout le montage juridique s’effondre.

  1. Un intérêt véritablement légitime
    • L’objectif poursuivi doit être licite, réel et précisément défini : par exemple, améliorer la détection de fraude ou optimiser un chatbot SAV.
    • Les formulations vagues (« mieux connaître nos utilisateurs ») sont proscrites.
  2. La nécessité du recours à des données personnelles
    • Si un but peut être atteint avec des données anonymes ou agrégées, alors l’intérêt légitime ne tient plus.
    • Une analyse comparant données personnelles vs. données anonymisées doit être documentée dans votre registre RGPD.
  3. Aucune atteinte disproportionnée aux droits des personnes
    • Nature des données (sensibles ou non), volume, durée de conservation : tout pèse dans la balance.
    • Plus le traitement est intrusif, plus les garanties doivent être renforcées (pseudonymisation, chiffrement, limitation d’accès, etc.).

Astuce pratique : pensez à formaliser cette évaluation sous la forme d’une balance test : un tableau simple listant intérêt poursuivi, bénéfices pour l’organisation, risques pour les personnes et mesures d’atténuation.

3. Quelles garanties concrètes mettre en place ?

Pour sécuriser l’usage de l’intérêt légitime, la CNIL fournit une boîte à outils ; en voici les incontournables :

  • Pseudonymiser ou anonymiser au maximum
    En masquant l’identité directe des personnes, vous réduisez la surface de risque tout en conservant la valeur analytique des données.
  • Restreindre les accès et la portée du dataset
    Seuls les profils qui en ont réellement besoin (data scientists, ingénieurs IA) doivent voir les données brutes. Loguez tous les accès.
  • Exclure certaines données « sensibles » dès la collecte
    Par exemple, la CNIL décourage d’injecter des opinions politiques ou religieuses si elles ne sont pas indispensables à l’objectif.
  • Informer clairement et simplement les personnes concernées
    Bannissez le jargon : expliquez pourquoi leurs données alimentent un algorithme, combien de temps elles sont conservées et quels droits elles peuvent exercer.
  • Faciliter l’exercice des droits, en particulier le droit d’opposition
    Prévoir un canal rapide (formulaire en ligne, adresse mail dédiée) et des délais de réponse courts rassure utilisateurs et régulateur.
  • Réaliser une analyse d’impact (AIPD) lorsqu’il y a risque élevé
    L’IA qui profile massivement ou traite des données biométriques entre clairement dans cette catégorie : anticipez, documentez, ajustez.

Ces garanties ne sont pas optionnelles ; elles constituent le socle que la CNIL examinera en cas de contrôle ou de plainte.

***

Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.

RECOMMANDÉ POUR VOUS :

ChatGPT
La France va-t-elle interdire ChatGPT ?
Le consentement RGPD : votre boussole pour traiter les données personnelles en toute légalité
Le consentement RGPD : votre boussole pour traiter…
RGPD : comment choisir la bonne base juridique
RGPD : comment choisir la bonne base juridique
Partager :
Demander un devis gratuit

Deshoulières Avocats
contact@deshoulieres-avocats.com
Tél. : +33.1.77.62.82.03
121, boulevard Sébastopol – 75002 Paris

Une question ?
Deshoulières Avocats a été classé parmi les meilleurs cabinet d’avocats en droit des nouvelles technologies par le journal Le Point.

Nous conseillons et défendons plus de 750 entreprises, en France et à l’international.

DEVIS GRATUIT

Demandez dès à présent un devis gratuit. Deshoulières Avocats s’engage à vous répondre sous 24h.

Demander un devis gratuit

UNE QUESTION ? UN BESOIN ? CONTACTEZ-NOUS

Deshoulières Avocats conseille et défend plus de 750 entreprises, en France et à l’international.

Nous contacter