On sait que, à défaut de consentement de la personne concernée, un traitement de données personnelles peut être licite s'il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement ou par un tiers, à moins que les intérêts et les droits fondamentaux de la personne concernée ne prévalent sur les intérêts du responsable de traitement (Règl. UE 2016/679 du 27-4-2016, dit « RGPD », art. 6).

La Cnil a publié le 19 juin 2025 deux fiches pratiques sur l’intérêt légitime dans le cadre du développement des systèmes d’intelligence artificielle (SIA). Dans ces fiches, qui avaient été soumises à consultation publique et dont la dernière version publiée tient donc compte des retours du marché, la Cnil détaille les conditions devant être satisfaites et les garanties devant être apportées pour que les organismes, privés ou publics, développant des SIA puissent mobiliser cette base légale de traitement de données personnelles (Loi 78-17 du 6-1-1978 art. 5, 2° à 6° ; RGPD art. 6, 1-b à f) (fiche pratique n° 8). 

Elle précise également les mesures à prendre en cas de moissonnage de données (en anglais, « web scraping » ou « harvesting » : méthode d’extraction et de collecte automatique de données accessibles en ligne) (fiche pratique n° 8 bis).

Le caractère légitime de l’intérêt poursuivi par le traitement de données à caractère personnel peut s’entendre largement. Pour la Cnil, un intérêt est présumé légitime lorsqu’il est à la fois manifestement licite au regard du droit, déterminé de façon suffisamment claire et précise et réel et présent. 

Dans le cadre du développement des SIA, l'autorité liste des intérêts pouvant a priori être considérés comme légitimes (mener des travaux de recherche scientifique, faciliter l’accès du public à certaines informations, développer de nouvelles fonctionnalités pour les utilisateurs d’un service, détecter des contenus ou comportements frauduleux, etc.). À l’inverse, certains intérêts ne peuvent pas être considérés comme légitimes, notamment lorsque le développement de SIA est interdit par des réglementations distinctes du RGPD (par exemple, un SIA destiné à réaliser un profilage automatique de personnes mineures pour leur adresser des publicités ciblées est prohibé par l’article 28, 2 du Règl. UE 2022/2065 du 19-10-2022, dit « Digital Services Act » ou « DSA » ).

La Cnil rappelle par ailleurs que dans certains cas le consentement des personnes concernées demeure exigé au titre d’autres réglementations que le RGPD. Par exemple, lorsque le responsable de traitement est également un contrôleur d’accès, l’article 5, 2 du DSA (Règl. UE 2022/1925 du 14-9-2022) impose le recueil du consentement pour l’utilisation croisée des données personnelles provenant des services de plateformes essentiels.

La Cnil rappelle que le traitement de données personnelles est nécessaire lorsqu’il permet d’atteindre l’intérêt poursuivi et qu’il n’existe pas de moyens moins intrusifs pour la vie privée des personnes concernées que de mettre en œuvre le traitement envisagé. Pour satisfaire cette condition, les responsables de traitement doivent respecter le principe de minimisation des données, prévu par l’article 5, 1-c) du RGPD, selon lequel les données à caractère personnel doivent être adéquates, pertinentes et limitées au regard des finalités du traitement. À ce titre, la Cnil les encourage à participer au développement de modèles d’IA dont l’entraînement nécessite de traiter moins de données personnelles.

L’objectif poursuivi par le traitement de données personnelles par l’IA ne doit pas porter une atteinte disproportionnée aux intérêts, droits et libertés des personnes concernées. Les responsables de traitement doivent opérer, au cas par cas, une mise en balance des incidences positives et négatives du traitement envisagé. Cette évaluation doit tenir compte des circonstances spécifiques de chaque traitement projeté dans le cadre du développement et de l’utilisation du SIA et en particulier des attentes raisonnables des personnes concernées. Dans certains cas, des garanties additionnelles doivent être mises en œuvre.

Les avantages obtenus grâce au développement et à l’utilisation de l'IA peuvent justifier le traitement des données personnelles. Plus l’impact positif que l’on peut anticiper du traitement est important, plus l’intérêt légitime des responsables de traitement est susceptible de prévaloir sur les intérêts, droits et libertés des personnes concernées.

Pour guider les responsables de traitement dans leur analyse, la Cnil liste les critères à prendre en compte pour évaluer les incidences positives du traitement envisagé. Il convient notamment d’apprécier l’ampleur et la nature des bénéfices attendus, pour les responsables de traitement comme pour les tiers (par exemple, un système de retranscription vocale par IA peut renforcer l’autonomie de personnes en situation de handicap). L’utilité du traitement mis en œuvre pour se conformer à d’autres réglementations peut également présenter des avantages significatifs à examiner (par exemple, un système d’IA développé par un moteur de recherche pour faciliter la modération des contenus en ligne imposée par l’article 35, 1 du DSA).

Les bénéfices apportés par les SIA doivent être mis en balance avec les incidences négatives du traitement de données personnelles. Les responsables de traitement doivent identifier et évaluer toutes les conséquences négatives, potentielles ou effectives, de leurs pratiques sur les intérêts, droits et libertés des personnes concernées (vie privée, protection des données, liberté d’expression, etc.). La Cnil liste des éléments à prendre en compte comme la nature des données traitées (sensibles, hautement personnelles), le statut des personnes concernées (personnes vulnérables, mineurs, etc.) ou encore le type de SIA envisagé (avec IA réactive, avec IA limitée à la mémoire, etc.).  

Les effets négatifs des traitements de données par IA doivent être appréciés en fonction de la vraisemblance de la concrétisation des risques et de la gravité de leurs répercussions. La Cnil distingue deux catégories de risques. Certains sont liés au développement des SIA (risques de perte de confidentialité, risques liés à la difficulté de garantir l’effectivité des droits des personnes concernées ou d’assurer la transparence des traitements, etc.). D’autres sont liés à l’utilisation des SIA et doivent être anticipés dès la conception des systèmes (risques de mémorisation, d’extraction ou de régurgitation de données personnelles par les IA génératives, risques de propagation de fausses informations, etc.).

Pour évaluer les incidences des traitements de données personnelles envisagés, les attentes raisonnables des personnes concernées doivent être prises en compte. Il s’agit d’un élément de contexte essentiel pour apprécier la légitimité des traitements. Les personnes concernées ne doivent être surprises ni par les modalités du traitement ni par ses conséquences. Dès lors, l’information de ces personnes sur le traitement de leurs données est un indicateur privilégié à relever.

La Cnil détaille les éléments que les responsables de traitement peuvent retenir pour circonscrire, avec un faisceau d’indices, ces attentes raisonnables dans le cadre du développement de SIA.

Lorsque les données sont collectées directement auprès des personnes concernées, doivent par exemple être pris en compte les paramètres de confidentialité des données partagées ainsi que le contexte et la nature du service de collecte des données.

En cas de réutilisation de données librement accessibles en ligne, il convient notamment de prendre en compte le caractère publiquement accessible des données et la nature des sites web sources. La Cnil précise également que les responsables de traitement doivent respecter les mesures d’opposition au moissonnage adoptées par les éditeurs de sites, qu’il s’agisse de restrictions bloquantes (interdiction explicite dans les conditions générales du site, CAPTCHA,  protocoles d’exclusion robot.txt, etc.) et non bloquantes (utilisation de metatags telles que « noai », « noindex » ou encore « nofollow », enregistrement de leur domaine sur des registres d’opposition à la collecte de données comme les registres dits « do not train », etc.).

La Cnil recommande aux responsables de traitement de mettre en œuvre des garanties supplémentaires pour limiter les atteintes aux intérêts, droits et libertés des personnes concernées. Ces mesures s’ajoutent aux exigences dont le respect est imposé par le RGPD (minimisation des données, sécurité des données, etc.).

Il peut s’agir de mesures techniques, organisationnelles ou juridiques visant à limiter la collecte ou la conservation des données personnelles mais aussi à permettre aux personnes de conserver le contrôle de leurs données. Ces mesures additionnelles doivent être choisies en fonction notamment de l’usage des données prévu par le SIA en développement et de l’impact effectif de ce système sur les droits et libertés. La Cnil établit dans ses fiches pratiques une liste de mesures pouvant être adoptées (par exemple, mettre en place, selon la taille de la structure déployant le SIA, un comité éthique ou un référent éthique ; procéder à la pseudonymisation à bref délai des données collectées en vue de la constitution d'une base de données d'apprentissage ; fournir une information sur les risques liés à l'extraction ou à la régurgitation des données dans le cadre des IA génératives ; etc.). Concernant la protection contre les risques liés au moissonnage de données, la Cnil recommande entre autres la mise en place, au titre de garantie additionnelle, d’un droit d’opposition discrétionnaire et préalable, l'adoption de mesures prévenant tout recoupement de données à partir des identifiants des personnes ou encore l'application de procédés d’anonymisation.