La CNIL a finalisé le 5 mai 2026 ses recommandations sur l’utilisation de l’intérêt légitime comme base légale pour entraîner des systèmes d’intelligence artificielle. Ce n’est pas un document de plus à ranger dans un tiroir : c’est le cadre qui va conditionner la légalité de dizaines de projets IA en cours dans les organisations françaises. Voici ce que DSI et DPO doivent retenir et faire maintenant.
Pourquoi l’intérêt légitime était au cœur du débat IA
Depuis l’émergence des grands modèles de langage et des systèmes IA génératifs, les organisations se retrouvent face à une question concrète : sur quelle base légale peut-on utiliser des données personnelles pour entraîner ou affiner un modèle ? Le consentement est souvent impraticable à grande échelle. L’exécution du contrat ne couvre pas les usages internes. L’intérêt légitime restait la voie la plus souple, mais aussi la plus incertaine.
La CNIL avait publié une première version de ses recommandations en 2024. Le texte finalisé de mai 2026 tire les enseignements des contributions reçues et apporte des précisions que les équipes conformité attendaient. Il s’articule autour de trois questions : l’intérêt légitime est-il une base valide pour l’entraînement IA, dans quelles conditions, et avec quelles garanties ?
Les trois conditions de la CNIL pour utiliser l’intérêt légitime en IA
La CNIL confirme que l’intérêt légitime peut servir de base légale pour des traitements liés au développement de systèmes IA, sous réserve que trois conditions soient toutes réunies.
Condition 1 : l’intérêt doit être réel et documenté.
Il ne suffit pas d’écrire « amélioration de nos services » dans le registre. L’organisation doit identifier précisément l’objectif poursuivi, son utilité pour l’activité, et pourquoi cet objectif ne peut pas être atteint avec des données anonymisées ou synthétiques.
Condition 2 : la nécessité du traitement doit être démontrée.
Les données utilisées pour l’entraînement doivent être limitées à ce qui est strictement nécessaire. La CNIL insiste sur la minimisation : si un modèle peut être entraîné avec moins de données personnelles, ou avec des données pseudonymisées, c’est ce chemin qu’il faut emprunter.
Condition 3 : le test de mise en balance doit être formalisé.
C’est la condition la plus souvent négligée. L’organisation doit documenter qu’elle a pesé ses intérêts contre les droits et attentes raisonnables des personnes concernées. Ce test n’est pas une formalité : la CNIL précise qu’elle examinera sa qualité en cas de contrôle, et que l’absence de documentation formelle sera considérée comme une non-conformité en soi.
Les cas où l’intérêt légitime ne suffira pas
La CNIL est claire sur les situations où l’intérêt légitime ne peut pas être invoqué pour l’entraînement IA, même s’il est par ailleurs valide pour d’autres traitements.
Les données sensibles (santé, opinions politiques, origine ethnique, données biométriques) sont exclues du périmètre de l’intérêt légitime pour l’entraînement IA, sauf exception explicite prévue à l’article 9 du RGPD. Une organisation qui entraîne un modèle de détection de pathologies sur des données patients ne peut donc pas s’appuyer sur cette base légale.
Les situations où les personnes concernées n’auraient raisonnablement pas anticipé ce type d’usage posent également problème. Un client dont les échanges avec un service client ont été collectés dans le cadre d’un contrat ne s’attend pas nécessairement à ce que ces données servent à entraîner un LLM interne. La CNIL invite à s’interroger sur ce qu’une personne « raisonnablement informée » aurait pu anticiper au moment de la collecte.
Enfin, les traitements à finalité de profilage individuel ou de prise de décision automatisée à effet significatif ne relèvent pas de l’intérêt légitime : ils nécessitent soit un consentement explicite, soit une disposition légale spécifique.
Quelles actions les DPO doivent mettre en place dès maintenant ?
Les recommandations de la CNIL ne sont pas rétroactives, mais elles constituent désormais la référence que l’autorité utilisera lors de ses contrôles. Un projet IA déjà en production qui ne satisfait pas aux trois conditions cumulatives expose l’organisation à un risque réel.
Passer les projets IA en revue.
Pour chaque traitement de données personnelles lié à un système IA (entraînement, fine-tuning, évaluation, amélioration continue), vérifier quelle base légale a été retenue et si elle est documentée. Si c’est l’intérêt légitime, le test de mise en balance doit exister et être formalisé.
Mettre à jour le registre des traitements.
La finalité « développement IA » doit apparaître explicitement, avec la base légale, les catégories de données concernées, la durée de conservation, et le test de mise en balance en pièce jointe ou en référence.
Informer les personnes concernées.
Si des données collectées pour une finalité initiale sont réutilisées pour l’entraînement IA sur la base de l’intérêt légitime, une information complémentaire est en général nécessaire. La CNIL rappelle que le droit d’opposition doit être effectif : une personne qui s’oppose à ce que ses données servent à entraîner un modèle doit pouvoir l’exercer facilement.
Anticiper les questions des sous-traitants.
Si l’organisation utilise un prestataire IA externe, la question de qui est responsable de traitement et qui est sous-traitant doit être clarifiée. Un fournisseur qui entraîne son propre modèle avec les données de ses clients sans base légale identifiée est en infraction, et l’organisation cliente peut être co-responsable.
En résumé :
L’intérêt légitime reste une base légale utilisable pour l’entraînement IA, mais sous conditions strictes et avec une exigence de documentation que beaucoup d’organisations n’ont pas encore atteinte. Le signal est clair : la CNIL considère que la maturité des acteurs sur ce sujet doit progresser rapidement, et ses contrôles en 2026 en tiendront compte.
Si vous avez des projets IA en cours et que la question de la base légale n’a pas encore été tranchée formellement, c’est le bon moment pour faire le point.
Vous souhaitez évaluer la conformité de vos projets IA au regard des nouvelles recommandations CNIL ? Contactez MDP-Data pour un rendez-vous de diagnostic !
FAQ – CNIL et Intérêt légitime IA
L’intérêt légitime peut-il être utilisé pour entraîner une IA ?
Oui, la CNIL confirme que l’intérêt légitime peut être utilisé comme base légale pour certains traitements liés à l’entraînement IA, sous réserve de respecter des conditions strictes de nécessité, de minimisation et de mise en balance des intérêts.
Le consentement est-il obligatoire pour les projets IA ?
Pas systématiquement. Tout dépend de la finalité du traitement, des données utilisées et du niveau d’impact pour les personnes concernées. Certains traitements IA nécessitent toutefois un consentement explicite, notamment en présence de données sensibles.
Les données sensibles peuvent-elles être utilisées pour entraîner une IA ?
En principe non, sauf exception prévue par l’article 9 du RGPD. Les données de santé, biométriques ou relatives aux opinions politiques nécessitent des garanties renforcées et des bases légales spécifiques.
Une personne peut-elle s’opposer à l’utilisation de ses données pour l’IA ?
Oui. Lorsque le traitement repose sur l’intérêt légitime, les personnes concernées disposent d’un droit d’opposition qui doit pouvoir être exercé facilement et efficacement.
🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.
Pour aller plus loin
- CNIL – Nouvelle édition : Guide 2024 de la sécurité des données personnelles
- MDP Data Protection – Logiciel RGPD : comment choisir la solution idéale pour votre entreprise
Les solutions MDP Data Protection
MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act…), avec une approche opérationnelle et évolutive.
- SimplyRGPD : Pilotage de votre conformité au quotidien.
- MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
- MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.
Notre Livre Blanc RGPD
Besoin d’un support clair pour comprendre et appliquer le RGPD au quotidien ?
À propos de l’auteur
Christophe SAINT-PIERRE – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.
