Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD

22 juillet 2025

La CNIL a publié ses premières recommandations sur l’application du RGPD au développement des systèmes d’intelligence artificielle pour aider les professionnels à concilier innovation et respect des droits des personnes. Voici ce qu’il faut en retenir.

Les concepteurs et développeurs de systèmes d’intelligence artificielle font souvent remonter à la CNIL que l’application du RGPD leur pose des difficultés, notamment pour l’entraînement des modèles.

L’idée reçue selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle en Europe est fausse. En revanche, il faut avoir conscience que les bases d’entraînement comprennent parfois des « données personnelles », des informations sur des personnes réelles. L’utilisation de ces données fait courir des risques aux personnes, qu’il faut prendre en compte, afin de développer des systèmes d’IA dans des conditions qui respectent les droits et libertés des personnes, et notamment leur droit à la vie privée.

En complément de cette fiche, la CNIL met à la disposition des professionnels concernés un document contenant une liste des points à vérifier.

Consulter la liste

Périmètre des recommandations

Quels sont les systèmes d’IA concernés ?

Ces recommandations concernent le développement de systèmes d’IA impliquant un traitement de données personnelles (pour plus d’informations sur le cadre juridique, voir la fiche n°1). En effet, l’entraînement des systèmes d’IA nécessite régulièrement l’utilisation d’importants volumes d’informations sur des personnes physiques, qu’on nomme « données personnelles ».

Sont concernés :

  • les systèmes fondés sur l’apprentissage automatique (machine learning) ;
     
  • les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (« general purpose AI »).
     
  • Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en utilisant des données d’utilisation pour son amélioration.

Quelles sont les étapes concernées ?

Ces recommandations concernent la phase de développement de systèmes d’IA, et non celle de déploiement.

La phase de développement comprend toutes les étapes préalables au déploiement du système d’IA à savoir : la conception du système, la constitution de la base de données et l'apprentissage.

Phase de déploiement : conception du système, constitution de la base de données, apprentissage

Consulter la version PDF

Comment ces recommandations s’articulent-elles avec le règlement européen sur l’IA ?

Les recommandations formulées prennent en considération le nouveau règlement européen sur l’intelligence artificielle adopté à l’été 2024. En effet, lorsque des données personnelles sont utilisées pour le développement d’un système d’IA, le RGPD et le règlement sur l’IA s’appliquent tous les deux. Les recommandations de la CNIL ont donc été élaborées pour compléter ces dernières de manière cohérente sur le volet relatif à la protection des données.  

1ère étape : Définir un objectif (finalité) pour le système d’IA


2e étape : Déterminer vos responsabilités


3e étape : Définir la « base légale » qui vous autorise à traiter des données personnelles


3ème étape (bis) : Adapter les garanties au moissonnage des données


4e étape : Vérifier si je peux réutiliser certaines données personnelles


5e étape : minimiser les données personnelles que j’utilise


6e étape : Définir une durée de conservation


7e étape : Informer les personnes


8e étape : Assurer l’exercice des droits


9e étape : Sécuriser son système d’IA


10e étape : Analyser le statut d’un modèle d’IA


11e étape : respecter les principes du RGPD lors de la phase d’annotation


Focus : Réaliser une analyse d’impact sur la protection des données (AIPD)


Document reference

Liste de vérification