Comme vous avez pu le lire dans nos derniers posts, depuis quelques temps, les GAFAM et autres géants technologiques ont souvent recours à la notion d’« intérêt légitime » pour justifier de pouvoir accéder à nos données.
Le 19 juin dernier et après consultation publique, la CNIL a apporté ses recommandations ; quelles leçons en tirer ?
L’intérêt légitime dans la pratique
📱 Le cas Meta illustre parfaitement cette stratégie. Depuis mai 2025, le géant américain utilise les données publiques de ses utilisateurs européens Facebook et Instagram pour entraîner ses modèles d’IA (Meta AI, Llama) en se fondant sur l’intérêt légitime. Cette tendance a soulevé des interrogations légitimes sur l’équilibre entre innovation technologique et protection des données personnelles.
✅ Ce que dit la CNIL :
➡️ Oui, l’intérêt légitime peut être invoqué pour entraîner des systèmes d’IA, mais seulement si des garanties sérieuses sont mises en œuvre.
🔐 Parmi les exigences :
- Exclusion des données sensibles
- Transparence renforcée
- Information claire des personnes concernées
- Droit d’opposition effectif
- Pseudonymisation systématique
Cette position s’inscrit dans la continuité de l’avis adopté par le Comité européen de la protection des données (CEPD) en décembre 2024, qui avait déjà établi que le développement de l’IA ne nécessite pas systématiquement le consentement des personnes concernées.
⚖️ L’encadrement du web scraping : une problématique centrale
L’un des aspects les plus novateurs de ces recommandations concerne l’encadrement spécifique du moissonnage de données en ligne (web scraping). La CNIL fournit désormais des critères précis permettant aux acteurs d’évaluer dans quelles conditions cette pratique peut s’appuyer sur l’intérêt légitime.
Exemple : l’utilisation de conversations issues de chatbots est envisageable si et seulement si des garanties fortes sont mises en place.
🛡️Des garanties concrètes attendues
Les recommandations ne se contentent pas d’autoriser l’usage de l’intérêt légitime ; elles imposent la mise en place de garanties spécifiques adaptées aux différents types de systèmes d’IA. Ces mesures incluent notamment l’exclusion de certaines données sensibles, une transparence accrue vis-à-vis des personnes concernées, et la facilitation de l’exercice des droits.
🇪🇺 Une approche européenne coordonnée
Ces recommandations s’inscrivent dans une démarche européenne plus large, menée en coordination avec le CEPD et les autres autorités de protection des données. Cette harmonisation est cruciale pour assurer une sécurité juridique aux entreprises opérant à l’échelle européenne.
🔭 Et après ?
La CNIL annonce déjà de prochaines publications sur :
- Le statut juridique des modèles d’IA
- Les mesures de sécurité à appliquer
- L’annotation des données
Un signal fort : le droit des données personnelles est en train de s’adapter à l’IA, mais l’articulation avec le futur Règlement IA (RIA) posera de nouveaux défis, notamment sur la co-régulation entre autorités.
Source : https://cnil.fr/fr/recommandations-developpement-ia-interet-legitime
