Un cadre complet pour l'IA responsable
Le 22 juillet 2025, la CNIL a finalisé ses recommandations sur l'application du RGPD au développement des systèmes d'IA. Ce référentiel de 13 fiches pratiques accompagne les acteurs dans la conception d'une IA respectueuse des droits.
Les 13 fiches pratiques
| Fiche | Thème |
|---|---|
| 1 | Cadre juridique applicable |
| 2 | Définition de la finalité |
| 3 | Qualification des fournisseurs (responsable, sous-traitant) |
| 4 | Licéité du traitement et réutilisation |
| 5 | Analyses d'impact (AIPD) |
| 6 | Privacy by Design |
| 7 | Collecte et gestion des données |
| 8 | Base légale : intérêt légitime |
| 8 bis | Focus web scraping |
| 9 | Information des personnes |
| 10 | Exercice des droits |
| 11 | Annotation des données |
| 12 | Sécurité |
| 13 | Statut RGPD des modèles |
Points clés
Le consentement n'est pas toujours requis : la CNIL confirme que le développement d'IA peut s'appuyer sur l'intérêt légitime si des garanties sont mises en place (exclusion de données, transparence renforcée, facilitation des droits).
Les modèles IA peuvent être soumis au RGPD : en raison de leurs capacités de mémorisation, les modèles entraînés sur données personnelles restent dans le périmètre de la réglementation.
Web scraping encadré : des critères spécifiques définissent quand cette méthode peut s'appuyer sur l'intérêt légitime.
7 principes fondamentaux
- Minimisation - Données strictement nécessaires
- Finalité explicite - Objectifs clairs même pour modèles généraux
- Base légale solide - Consentement, intérêt légitime, mission publique
- Transparence - Information sur les risques de mémorisation
- Droits effectifs - Accès, rectification, suppression
- Sécurité - Chiffrement, contrôles d'accès, journalisation
- Gouvernance - AIPD obligatoire pour projets à risques
Projet PANAME
La CNIL développe avec l'ANSSI, iPoP et PEReN une bibliothèque logicielle permettant d'évaluer si un modèle traite des données personnelles.
Plan 2025-2028
Recommandations sectorielles prévues pour l'éducation, la santé et l'emploi. La responsabilité des acteurs de la chaîne de valeur (concepteurs, hébergeurs, intégrateurs) sera clarifiée au second semestre 2025.