Intérêt légitime dans le développement de systèmes d'IA : Orientation de la CNIL

Intérêt légitime lors du développement de systèmes d'IA : La Commission nationale de l'informatique et des libertés (CNIL) a publié une note d'orientation à ce sujet.
Catégories :

La Commission nationale de l'informatique et des libertés (CNIL) a publié en juin 2025 une note d'orientation sur l'application de l'article 6, paragraphe 1, point f). RGPD (intérêt légitime) comme base juridique pour la Développement de systèmes d'IA a été précisé. Cette aide s'adresse aux entreprises et aux organisations qui se trouvent dans la phase de développement ou d'innovation de systèmes informatiques, de logiciels ou d'applications d'IA.

Objectif du guide de la CNIL

La question centrale de l'orientation de la CNIL est la suivante : dans quelles conditions peut-on données à caractère personnel être traitées dès la phase de développement d'un système d'IA, sans qu'il soit nécessaire de recourir à une Consentement ou d'une autre base juridique spécifique ?

La CNIL souligne que le développement de systèmes peut se faire sur d'autres Bases juridiques notamment sur :

  • le Consentement de la personne concernée (art. 6, al. 1, let. a RGPD),
  • Exécution du contrat (art. 6, paragraphe 1, point b)) RGPD).


Toutefois, l'intérêt légitime est particulièrement pertinent lorsqu'aucune de ces alternatives n'est réalisable.

Définition : "Développement d'un système

Il s'agit de toute activité de conception, de développement, de test et d'amélioration de systèmes qui seront ensuite données à caractère personnel doivent traiter. Exemples :

  • Développement de systèmes de recommandation
  • Mise en place d'algorithmes de détection des fraudes
  • Entraînement de chatbots ou de modèles linguistiques d'IA.
  • Test de nouveaux modules CRM ou ERP.


Important : il s'agit exclusivement de la phase de pré-production, c'est-à-dire de la période précédant le live.

Intérêt légitime conformément à l'article 6, paragraphe 1, point f) RGPD

La CNIL confirme que les Traitement des données à caractère personnel à des fins de développement peut en principe être fondée sur l'intérêt légitime du responsable du traitement. La condition préalable est toutefois un examen minutieux et structuré, qui s'appuie sur les prescriptions de l'article 6, paragraphe 1, point f). RGPD orienté.

Tout d'abord, le Responsable démontrer un intérêt légitime. Celui-ci peut être, par exemple, l'amélioration des services, l'augmentation de la Sécurité informatique ou le développement de nouvelles fonctionnalités conviviales. Les intérêts économiques ou l'optimisation des processus internes peuvent également être reconnus comme des intérêts légitimes.

Il convient ensuite de vérifier si le projet de Traitement est nécessaire. Cela signifie qu'il ne doit pas y avoir d'autres alternatives plus respectueuses de la vie privée qui permettraient d'atteindre le même objectif de développement. Il convient d'analyser si l'utilisation de données anonymisées ou synthétiques est suffisante ou si l'accès à des données à caractère personnel est vraiment nécessaire.

La troisième étape consiste à mettre en balance les intérêts légitimes du responsable du traitement et les droits fondamentaux et libertés des personnes concernées. Les facteurs suivants doivent notamment être pris en compte à cet égard :

  • le type de données traitées (par exemple, si des données sensibles sont concernées)
  • Portée de la Traitement
  • Durée de conservation
  • Transparence vis-à-vis des personnes concernées
  • Mise en œuvre de mesures de protection telles que Pseudonymisation, Cryptage ou des restrictions d'accès


L'objectif de cette mise en balance est de garantir que les intérêts ou les droits fondamentaux des personnes concernées ne prévalent pas sur les intérêts du responsable du traitement.

Catégories particulières de données à caractère personnel

La CNIL précise que Traitement de ces données n'est autorisée que dans des conditions très strictes. Ces catégories particulières comprennent par exemple Données de santéLes données à caractère personnel peuvent inclure : les données personnelles, les données biométriques permettant une identification unique, les données génétiques, les données relatives à l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale et les données relatives à l'orientation sexuelle.

Pour la phase de développement d'un système, cela signifie concrètement qu'une Traitement de telles données est en principe interdite. Sauf si l'une des conditions énoncées à l'article 9, paragraphe 2, s'applique. RGPD les dispositions dérogatoires mentionnées ci-dessus. Il s'agit notamment

  • Le site explicite Consentement de la personne concernée conformément à l'art. 9, al. 2, let. a RGPD.
  • Une Traitementqui pour des raisons d'intérêt public majeur est nécessaire (art. 9, al. 2, let. g RGPD), pour autant qu'elle repose sur une base légale.
  • Autres exceptions spécifiquement réglementées, telles que la constatation, l'exercice ou la défense de droits en justice.


La CNIL souligne que, même en cas d'exception, les principes généraux de protection des données énoncés dans la directive sur la protection des données doivent être respectés. Art. 5 RGPD doivent être respectées, notamment


De plus, la CNIL recommande d'empêcher l'utilisation de telles données dès la phase de développement par des mesures de protection techniques telles que Pseudonymisation, Cryptage ou l'utilisation de données de test synthétiques de se couvrir. Dans les cas où les Traitement catégories particulières de données à caractère personnel, il convient d'établir une liste de contrôle. Analyse d'impact sur la protection des données (DSFA) être obligatoirement contrôlés et documentés.

intérêt légitime et Analyse d'impact sur la protection des données (DSFA)

La CNIL souligne l'importance d'une Analyse d'impact sur la protection des données (DSFA) comme un outil important pour évaluer et minimiser les risques lorsque les projets de développement présentent un risque élevé pour les droits et les libertés des personnes concernées. La base juridique est constituée par Art. 35 RGPDLa Commission européenne a adopté une proposition de directive du Parlement européen et du Conseil relative à la protection des données à caractère personnel, qui prévoit l'obligation d'effectuer une analyse des données à caractère personnel pour les opérations de traitement à risque.

Typique Indicateurs d'une obligation de DSFA sont entre autres

  • Vaste Traitement des données à caractère personnelLa protection des données est une tâche difficile, en particulier lorsque de grandes quantités de données ou un grand nombre de personnes sont concernées.
  • Le site Utilisation de technologies nouvelles ou innovantespar exemple dans le développement de systèmes d'IA, d'applications d'apprentissage automatique ou de Big Data Solutions.
  • Le site Traitement de données à haut risqueLa Commission a décidé de ne pas appliquer le principe de la protection des données à caractère personnel, par exemple lorsque des données sensibles ou des catégories particulières de données à caractère personnel sont traitées (art. 9 RGPD) sont concernés.
  • la prise de décision automatisée ou Profilagequi ont un impact important sur concernés personnes peuvent avoir.


Le DSFA comprend, selon les directives de la RGPD les étapes suivantes :

  1. Description systématique des activités de traitement envisagéesLa présente directive s'applique aux données à caractère personnel, à leurs finalités et aux catégories de données concernées.
  2. Évaluation de la nécessité et de la proportionnalité le Traitement par rapport à l'objectif poursuivi.
  3. Identification et évaluation des risques pour les droits et libertés des personnes concernées.
  4. Définition et Documentation de mesures correctivesLes mesures visant à réduire ou à éliminer les risques identifiés (par ex. mesures techniques et organisationnelles, Pseudonymisation, contrôles d'accès).


La CNIL recommande que la DSFA très tôt dans la phase de développement afin d'identifier les risques dès la conception du système et de mettre en œuvre des contre-mesures appropriées. En outre, la DSFA devrait régulièrement mis à jour notamment en cas de modifications importantes du système ou de la finalité du traitement.

Conseil de lecture : Quand une Analyse d'impact sur la protection des données se fait-elle ?

Mesures concrètes de protection des données ("safeguards")

La CNIL attache une importance particulière à la mise en œuvre de des dispositions favorables à la protection des données (safeguards) dès la phase de développement d'un système. L'objectif de ces mesures est de minimiser autant que possible les risques pour les droits et libertés des personnes concernées, même si le traitement des données n'est pas encore effectué en mode productif.

Parmi les garde-fous recommandés par la CNIL, on trouve notamment

  • PseudonymisationLorsque cela est techniquement possible et réalisable, il faut données à caractère personnel sont traitées de manière pseudonymisée. Cela signifie que l'identité des personnes concernées n'est pas directement reconnaissable sans informations supplémentaires. La séparation des identifiants et des données de contenu ainsi que la sécurité Rangement des listes d'attribution sont essentiels à cet égard.
  • Minimisation des donnéesSeules les données absolument nécessaires à l'objectif de développement concerné doivent être traitées. La CNIL recommande expressément de procéder à un examen critique pour déterminer si les champs de données utilisés sont vraiment nécessaires ou s'il est possible de les réduire au minimum.
  • Restrictions d'accès et gestion des rôlesL'accès aux données personnelles doit être strictement limité aux employés ou développeurs directement impliqués dans le projet de développement et pour lesquels la connaissance des données est indispensable. Pour ce faire, il convient d'utiliser des systèmes de contrôle d'accès techniques (par exemple, le contrôle d'accès basé sur le rôle) ainsi que des mesures organisationnelles telles que des engagements de confidentialité.
  • Utilisation de données de test synthétiques ou anonymesDans la mesure du possible, il convient d'utiliser des données entièrement anonymes ou synthétiques à des fins de test et de développement afin d'obtenir des résultats réels. données à caractère personnel d'éviter. Données synthétiques présentent l'avantage de reproduire des structures de données réalistes sans recourir à de véritables informations personnelles.
  • Cryptage et autres mesures techniques de protectionEn complément de ce qui précède, la CNIL exige également l'utilisation de mesures techniques de protection telles que Cryptage en cas de stockage et de transmission, Journalisation des accès, ainsi que les contrôle régulier de la sécurité de l'environnement de développement.


Responsable devraient en outre avoir une détaillé Documentation de toutes les mesures de protection prises afin de pouvoir démontrer, en cas d'audit par les autorités de surveillance, que les exigences de la RGPD ont été largement prises en compte dès la phase de développement.

Transparence et Obligations d'information

La CNIL souligne que, même pendant la phase de développement d'un système, les Transparence et Obligations d'information conformément aux articles 13 et 14 RGPD s'appliquent pleinement. Cela signifie que concernés les personnes doivent être informées du fait que leurs données à caractère personnel sont traitées à des fins de développement, même si le développement n'est pas encore passé en production

Les personnes concernées doivent notamment être informées des points suivants :

  • But de la Traitement: Il convient d'indiquer concrètement que les Traitement des données pour développer, tester ou améliorer un système.
  • Base juridique de la Traitement: Il convient ici de se référer à l'intérêt légitime selon l'article 6, paragraphe 1, point f). RGPD en précisant brièvement leur intérêt.
  • Destinataires ou catégories de destinatairesSi des prestataires de services externes ou d'autres organismes ont accès aux données, ils doivent être désignés.
  • Durée de conservation ou critères de détermination de la durée: il convient de préciser la durée de conservation des données pendant la phase de développement ou les critères utilisés pour déterminer la durée de conservation.
  • Droits des personnes concernéesLes personnes concernées sont informées de leurs droits, tels que l'accès, Rectification, Suppression, limitation de la Traitement, Opposition et Plainte pour une Autorité de surveillanceLe but est d'informer le public de l'évolution de la situation.
  • Origine des donnéesSi les données à caractère personnel n'ont pas été collectées directement auprès des personnes concernées, la source des données doit également être divulguée.

De plus, la CNIL recommande d'utiliser les informations dans un langage clair et simple de formuler et, si possible dans les mêmes canauxLes données personnelles sont traitées dans le cadre de la politique de confidentialité de l'entreprise, par le biais de laquelle les personnes concernées communiquent avec l'entreprise (par exemple, les politiques de confidentialité sur le site web, les lettres de notification séparées ou les avis sur les portails clients).

L'accomplissement de ces Obligations d'information devrait en outre documenté par écrit Les autorités de contrôle doivent être en mesure de prouver la bonne mise en œuvre de la directive.

Intérêt légitime : Exemples de scénarios autorisés et non autorisés

Admissible :

  • Développement d'un outil de détection des fraudes avec des données réelles pseudonymisées provenant d'un portefeuille de clients existant.

  • Test d'un algorithme de recommandation avec une quantité minimale de données et une définition claire de l'algorithme. Contrôle d’accès aux données.

Inadmissible :

  • Utilisation de profils clients complets sans Anonymisation ou analyse des risques.

  • Traitement des catégories particulières de données à caractère personnel sans base juridique ou exception correspondante.

Risques de responsabilité et de sanction

Violations des exigences en matière de protection des données énoncées dans la note d'orientation peuvent être considérables conséquences juridiques et financières de l'entreprise. Le site RGPD prévoit, en cas de violation d'obligations centrales, telles que les principes de la Traitement (Art. 5 RGPD), les Bases juridiques (Art. 6 RGPD) ou la Droits des personnes concernées (Art. 12 ff. RGPD), Amendes allant jusqu'à 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial d'une entreprise selon le montant le plus élevé (art. 83, al. 5, de la loi sur la protection des données). RGPD).

Concrètement, les infractions commises pendant la phase de développement peuvent entraîner les risques de responsabilité suivants :

  • Amendes infligées par les autorités de contrôlenotamment en cas d'absence ou d'insuffisance de la mise en balance des intérêts, de non Analyse d'impact sur la protection des données ou des mesures de protection techniques et organisationnelles insuffisantes.

  • Ordres des autorités de surveillanceL'interdiction du traitement des données ou l'injonction de les traiter peuvent faire partie de ces mesures. Suppression de données traitées illégalement.

  • Demandes de dommages et intérêts par Personnes concernéesConformément à l'art. 82 RGPD ont concernés personnes ont droit à la réparation du préjudice matériel ou moral qu'elles ont subi.

  • Dommages à la réputation: les violations de la protection des données peuvent entraîner une perte de confiance considérable chez les clients, les partenaires et le public.

La CNIL recommande donc expressément, dès la phase de développement mettre en place des structures internes de conformité et documenter de manière exhaustive tous les processus de protection des données pertinents. Il s'agit entre autres de

Ces mesures préventives permettent non seulement aux entreprises d'éviter les sanctions, mais aussi de réduire leurs Conformité à la protection des données dans le sens d'une obligation de rendre des comptes (Responsabilité éthiqueArt. 5, par. 2 RGPD) prouver.

Conclusion : protection des données dès la conception et par défaut pendant le développement

Avec ce guide, la CNIL donne aux entreprises et aux développeurs un repère. Guide pour un développement de système conforme à la protection des données à la main. Le site intérêt légitime comme base juridique offre des avantages pratiques. Cependant, il nécessite également une Évaluation des risques, Transparence, la mise en œuvre de DPIALe cas échéant, la mise en œuvre systématique de des mesures techniques et organisationnelles (TOM).

Pour les entreprises, cela signifie Protection des données by design et by default s'applique déjà pendant le développement et pas seulement en mode productif.

Source : "IA : Mobiliser la base légale de l'intérêt légitime pour développer un système d'IA"

Prendre contact
Les tags :
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages