Se connecter
  1. 1 - Pourquoi l’intérêt légitime ? 
    1. 2 - Trois conditions pour que ça passe 
      1. 3 - Ce que dit la CNIL 
        1. 4 - Les garanties attendues (exemples concrets) 
          1. 5 - En résumé : ce n’est pas non plus mission impossible 

            Quand mobiliser (ou pas) l’intérêt légitime pour développer votre IA ? 

            IAJuly 18, 2025

            Développer un système d’IA en s’appuyant sur la base légale de l’intérêt légitime ? C’est tentant. C’est même souvent la voie la plus “pratique” pour les acteurs privés. Mais c’est aussi un terrain miné si on ne coche pas les bonnes cases. 

            La CNIL l’a rappelé très clairement dans ses nouvelles recommandations sur le développement des systèmes d’IA publié fin juin 2025 : l’intérêt légitime n’est pas un joker. Il faut le manier avec rigueur, tact… et quelques garanties béton. 

            Voici ce qu’il faut retenir. 

            Pourquoi l’intérêt légitime ? 

            Parce que demander un consentement à chaque étape du développement d’un modèle, ce n’est pas toujours réaliste. Surtout quand les données sont collectées à grande échelle, ou indirectement. 

            C’est là que l’intérêt légitime entre en scène. Il permet, sous certaines conditions, de traiter des données personnelles sans demander l’accord préalable de la personne concernée. 

            Mais ce n’est pas un passe-droit. C’est un équilibre à trouver, entre les besoins du responsable de traitement… et les droits des personnes

            Trois conditions pour que ça passe 

            Un intérêt… vraiment légitime 

            L’intérêt poursuivi doit être : 

            • Licite (on évite les usages borderline), 

            • Défini de façon claire

            • Et réel, pas hypothétique. 

            Par exemple : 

            • Détecter des comportements frauduleux 

            • Développer un agent conversationnel 

            • Améliorer un service existant 

            • Mener des travaux de recherche 

            À noter : un intérêt purement commercial peut être recevable… s’il ne va pas à l’encontre de la loi, et qu’il est bien cadré. 

            En revanche, on oublie les projets flous (“offrir de nouveaux services”) ou les usages illégaux (profilage publicitaire de mineurs, collecte sauvage de contenus protégés...). 

            Un traitement nécessaire 

            Pas de raccourci ici non plus : le traitement doit être strictement nécessaire à l’objectif poursuivi. Il faut démontrer qu’il n’y a pas d’alternative moins intrusive

            Et on évite de collecter des données “au cas où”. L’IA ne doit pas devenir un prétexte à l’aspiration massive. 

            Par exemple : 

            • Si des données synthétiques suffisent → on les privilégie. 

            • Si les données peuvent être anonymisées rapidement → on le fait. 

            • Si on peut atteindre l’objectif avec moins de données → on réduit la voilure. 

            Une mise en balance qui tient la route 

            C’est le cœur du sujet. 

            Même si l’intérêt est légitime et que le traitement est nécessaire, encore faut-il s’assurer que les droits des personnes ne sont pas trop impactés

            Il faut donc : 

            • Identifier les bénéfices réels du projet (pour soi, mais aussi pour la société, les utilisateurs…) 

            • Identifier les risques concrets pour les personnes (atteintes à la vie privée, biais, manque de transparence, etc.) 

            • Mettre en place des garanties solides pour compenser 

            Testez la conformité RGPD de votre IA

            Téléchargez cette grille d'auto-évaluation, basée sur les bonnes pratiques de la CNIL, pour mesurer la maturité de vos systèmes d'IA au regard du RGPD.

            Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

            Ce que dit la CNIL 

            Voici, en substance, les lignes rouges à ne pas franchir : 

            Ce qui coince : 

            • Collecte “indiscriminée” de données (ex : scraping sans filtrage) 

            • Données sensibles aspirées sans garde-fous 

            • Finalité floue ou non déclarée 

            • Aucune information aux personnes 

            • Pas de droit d’opposition possible 

            • Absence totale de contrôle ou de documentation 

            Ce qui peut passer : 

            • Données manifestement publiques, issues de sources autorisées 

            • Objectif clair, licite, documenté 

            • Mesures techniques de réduction des risques (pseudonymisation, filtrage…) 

            • Information claire + possibilité de s’opposer facilement 

            • Démarche éthique documentée 

            Les garanties attendues (exemples concrets) 

            Pour convaincre, il faut prouver qu’on a pensé à tout. Et surtout aux personnes concernées. 

            La CNIL attend notamment : 

            • Filtrage des sources de données (respect des robots.txt, CGU, etc.) 

            • Documentation de la finalité, des données, des traitements 

            • Limitation des risques de mémorisation (surtout pour l’IA générative) 

            • Transparence sur les usages, les risques, les sources 

            • Re-publication de l’AIPD (au moins partiellement) 

            • Gestion éthique du projet (comité, référent, auditabilité…) 

            En résumé : ce n’est pas non plus mission impossible 

            S’appuyer sur l’intérêt légitime n’est pas interdit, ni risqué en soi. 

            Mais ça exige : 

            • Une vraie intention éthique, 

            • Un cadre rigoureux, 

            • Et un bon niveau de maturité RGPD

            Le bon réflexe ? Traiter l’intérêt légitime comme une promesse d’équilibre, pas comme une dispense de règles. 

            Et surtout : documenter, documenter, documenter. 

            Vous voulez aller plus loin ? N’hésitez pas à consulter les fiches de la CNIL.

            Maya MoghraniWitik - Experte RGPD & Head of CSM
            Inscrivez-vous à notre newsletter pour ne rien louper de l'actualité.

            Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

            • All rights reserved ©Witik 2026