La CNIL clôture son cycle de directives en dotant les équipes IA d’un cadre opérationnel pour concilier innovation algorithmique, RGPD et futur AI Act. De la base juridique à la sécurité des données, 13 fiches pilotent pas à pas chaque phase du modèle.

Data / IA

La CNIL finalise ses recommandations sur l’IA

Par La rédaction, publié le 28 juillet 2025

Dernier check-point avant l’AI Act : la CNIL lâche 13 fiches ultra-pratiques pour muscler vos modèles d’IA sans flirter avec le hors-piste RGPD. Ces dernières constituent un référentiel exhaustif pour rendre vos projets d’IA juridiquement solides et techniquement sûrs vis-à-vis du RGPD. Consentement, annotation, AIPD, sécurité – le parcours utilisateur n’est plus seulement pour vos apps, il l’est aussi pour vos modèles IA.

La Commission nationale de l’informatique et des libertés (CNIL) vient de finaliser ses recommandations à destination des développeurs et responsables de systèmes d’intelligence artificielle (IA) pour assurer la conformité au RGPD et préparer la conformité à l’AI Act européen. La Commission avait déjà publié en avril 2024 une première salve de 7 fiches de recommandations dont nous avions parlé dans nos colonnes. Elle les complète et finalise aujourd’hui en y ajoutant 6 nouvelles fiches.
Destinées notamment aux chefs de produit, développeurs, délégués à la protection des données (DPO), responsables juridiques et RSSI, ces recommandations couvrent l’ensemble du cycle de vie d’un projet d’IA, de la collecte des données jusqu’à leur intégration dans les systèmes.

La CNIL rappelle ainsi que le RGPD s’applique aux modèles entraînés sur des données personnelles, notamment en raison de leur capacité de mémorisation. Elle propose des méthodes pour analyser si un modèle est soumis au RGPD et des solutions pour éviter le traitement de données personnelles. Une nouvelle fiche pratique est ainsi rendue disponible pour guider les entreprises : IA : Analyser le statut d’un modèle d’IA au regard du RGPD | CNIL.

La CNIL insiste particulièrement sur la nécessité d’identifier clairement dès le début du projet les bases légales applicables, qu’il s’agisse du consentement ou d’un intérêt légitime. À ce titre, elle recommande une documentation précise des finalités et des modalités de recueil du consentement, en rappelant que toute réutilisation ultérieure des données collectées devra être évaluée en termes de compatibilité avec les finalités initiales.

Le principe de minimisation des données est également central dans ces recommandations. Les développeurs sont invités à privilégier systématiquement les solutions les moins intrusives. La CNIL préconise notamment de justifier explicitement la nécessité de traiter des données sensibles et de prendre des mesures renforcées de sécurité telles que la pseudonymisation et la suppression immédiate des données sensibles collectées de manière incidente.

Concernant l’intégrité et la sécurité, la CNIL exige des processus rigoureux d’annotation des données, recommandant des protocoles précis et une formation spécifique des équipes dédiées. Elle rappelle l’importance d’une gestion stricte des accès aux données d’entraînement, d’une traçabilité rigoureuse et de l’utilisation d’outils vérifiés pour le développement des systèmes d’IA.
Pour guider les entreprises, elle vient ainsi de publier une nouvelle fiche pratique « Annoter les données ».

Les droits des personnes sont également au cœur de ces recommandations. Les organismes doivent informer clairement les utilisateurs sur les risques spécifiques aux IA génératives, notamment les possibilités de régurgitation d’informations personnelles. Pour respecter ces droits, la CNIL recommande notamment un réentraînement régulier des modèles d’IA, sauf si une telle opération s’avère disproportionnée. Dans ce cas, des mesures alternatives robustes, telles que l’application de filtres stricts, sont obligatoires.

Enfin, une analyse d’impact sur la protection des données (AIPD) est systématiquement requise dès lors que le projet présente des risques élevés, en particulier en cas d’utilisation à grande échelle ou impliquant des données sensibles. La CNIL insiste sur l’intégration dans cette analyse des risques spécifiques aux systèmes d’IA, comme la discrimination automatisée ou la génération de contenus fictifs concernant des personnes réelles.

Ces recommandations, désormais finalisées, constituent un cadre clair et opérationnel pour guider les entreprises dans le développement responsable et conforme au RGPD de leurs systèmes d’IA. Elles se traduisent concrètement par une fiche de synthèse (accessible ici), par 13 fiches pratiques sur l’IA (accessibles ici) et par une liste de points à vérifier en pratique (accessible ici). Une lecture qui ne manquera pas d’occuper vos vacances.

Les 13  fiches pratiques IA de la CNIL

* Déterminer le régime juridique applicable

* Définir une finalité

* Déterminer la qualification juridique des fournisseurs de systèmes d’IA

* Assurer que le traitement est licite – Définir une base légale

* Assurer que le traitement est licite – En cas de réutilisation des données

* Réaliser une analyse d’impact si nécessaire

* Tenir compte de la protection des données dans la conception du système IA

* Tenir compte de la protection des données dans la collecte et la gestion des données IA

* Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA

* La base légale de l’intérêt légitime : fiche focus sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping)

* Informer les personnes concernées

* Respecter et faciliter l’exercice des droits des personnes concernées

* Annoter les données

* Garantir la sécurité du développement d’un système d’IA

* Analyser le statut d’un modèle d’IA au regard du RGPD



À LIRE AUSSI :

À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights