Il est très délicat de mettre en place un système d’IA fondé sur l’intérêt légitime ; mieux vaut se fonder sur le consentement. Cependant, la CNIL vient éclaircir plusieurs points sur la base des recommandations réalisées par le CEPD en décembre dernier, notamment l’utilisation du “web scraping” pour collecter les données depuis le web.
La CNIL vient de publier des recommandations dans lesquelles elle précise les fondements de la notion d’intérêt légitime qui est complexe dans l’appréciation et dans la mise en oeuvre. Des analyses de risques doivent être menées pour prouver l’intérêt légitime. Les recommandations précisent les conditions pour recourir à l’intérêt légitime, notamment en cas de moissonnage (web scraping).
Par exemple, les données étant accessibles publiquement ne sont pas pour autant utilisables si les sites sur lesquels elles se trouvent s’y opposent, par exemple au moyen d’un fichier robots.txt ou d’un captcha. La nature des sites est également un critère (réseaux sociaux, forums…) et le type de publication est à prendre en compte. “Par exemple, un article publié sur un blog librement accessible n’a aucun caractère privé, alors qu’un post sur un réseau social publié avec des restrictions d’accès peut conserver un caractère privé dans l’esprit des internautes.” La nature de la relation entre la personne concernée et le responsable du traitement est également un critère.
La notion de nécessité
Par ailleurs, l’utilisation de données personnelles dans les IA peut constituer un intérêt légitime sur le fondement de l’intérêt commercial pour autant qu’il ne soit pas contraire à la loi et que le traitement soit nécessaire et proportionné (CJUE, 4 octobre 2024, Tennisbond, C-621/22). Reste à prouver la notion de nécessité qui n’est pas une mince affaire. De manière générale, l’intérêt légitime est approuvé pour les recherches scientifiques.
“À l’inverse, certains intérêts ne peuvent pas être considérés comme légitimes, notamment quand le système d’IA envisagé n’a aucun lien avec la mission et l’activité de l’organisme ou si celui-ci ne peut pas être déployé légalement.” La CNIL prend l’exemple d’une publicité ciblée reposant sur du profilage de personnes mineures qui a pu faire débat. La pratique est interdite par l’article 28.2 du DSA. “Un système d’IA destiné à réaliser le profilage automatique de personnes mineures en vue de leur adresser de la publicité ciblée ne peut donc pas être déployé légalement. L’intérêt de développer un tel système ne peut, par conséquent, pas être considéré comme licite.”
La CNIL préconise dans tous les cas, de prendre de nombreuses mesures qui garantissent les droits, et notamment d’appliquer des procédés d’anonymisation ou de pseudonymisation juste après la collecte des données.
La nature des bénéfices pour les utilisateurs finaux est désormais prise en compte
Un point extrêmement important, qui lève une contradiction du RGPD et des droits des personnes en situation de handicap, est précisé. La CNIL intègre les bénéfices des intérêts poursuivis. L’éclaircissement n’est pas anecdotique et lève plusieurs contradictions. A ce jour, le RGPD pouvait être un frein à l’innovation dans le secteur de la santé ou de l’innovation sociale ou inclusion et, dans certains cas pouvaient s’opposer à des droits fondamentaux. La précision de la CNIL devrait permettre l’utilisation d’IA pour réaliser des avancées conséquentes au service de publics fragiles (mise en place de solutions vocales pour faciliter l’accès et la mobilité…).
“L’ampleur et la nature des bénéfices attendus du traitement, pour le responsable de traitement mais aussi pour des tiers, tels que les utilisateurs finaux du système d’IA ou encore l’intérêt du public ou de la société. La diversité des applications mettant en œuvre des systèmes d’IA montre qu’il peut y avoir de nombreux bénéfices, comme l’amélioration des soins de santé, une meilleure accessibilité de certains services essentiels, la facilitation de l’exercice de droits fondamentaux comme l’accès à l’information, la liberté d’expression, l’accès à l’enseignement, etc. Exemple : un système de reconnaissance vocale permettant aux utilisateurs de transcrire automatiquement leurs propos et, par exemple, d’aider au remplissage de formulaires administratifs peut présenter des bénéfices significatifs pour permettre l’accessibilité de certains services pour des personnes en situation de handicap. L’importance de ces bénéfices peut être prise en compte dans la mise en balance des intérêts lors du développement d’un tel système. En général, le fait qu’un responsable du traitement agisse non seulement dans son propre intérêt mais aussi dans l’intérêt de la collectivité peut donner plus de “poids” à cet intérêt.”
Ce dernier éclaircissement devrait ouvrir l’accès à de nombreux droits jusqu’alors inaccessibles.
