Entraîner une IA avec des données personnelles : consentement ou intérêt légitime ?

Depuis le 27 mai 2025, Meta a commencé à entraîner ses modèles d’intelligence artificielle, dont Meta AI, à partir des données publiques des utilisateurs européens des réseaux sociaux Facebook, Instagram et Threads. Ce traitement s’effectue sans consentement préalable, mais avec la possibilité pour les utilisateurs de s’y opposer via un mécanisme d’opt-out.

Dans un communiqué, Meta justifie ce traitement de données personnelles par son intérêt légitime notamment de permettre aux modèles d’IA générative de « comprendre les nuances et les complexités incroyables et diverses qui composent les communautés européennes » et notamment les « façons distinctes dont les différents pays utilisent l’humour et le sarcasme sur nos produits ».  

Cette annonce a conduit plusieurs organisations dont l’ONG NOYB à déposer des plaintes auprès de 11 autorités de protection des données personnelles, dont la DPC en Irlande. L’argument principal étant que Meta devrait mettre en place un opt-in pour recueillir le consentement des personnes et non un simple opt-out.  

L’intérêt légitime peut-il, au regard du RGPD, suffire à justifier l’entraînement d’une IA avec des données personnelles, sans le consentement préalable ?

La question a fait l’objet d’un examen approfondi par le Comité européen de la protection des données (CEPD), dans un avis rendu le 17 décembre 2024. La CNIL a ensuite précisé cette position en actualisant sa fiche pratique relative à l’usage de la base légale de l’intérêt légitime pour les systèmes d’intelligence artificielle. L’ensemble de ces documents nous offre un cadre d’analyse utile pour mieux comprendre les conditions de licéité de tels traitements.

Le test en 3 étapes pour vérifier l’intérêt légitime du traitement

Avant de se fonder sur cette base légale pour entraîner une IA à partir de données personnelles, la CNIL et le CEPD recommandent une analyse en trois temps et de la documenter en interne.  

1. Identifier l’intérêt légitime, réel et clair du traitement

La première étape consiste à identifier un intérêt légitime, c’est-à-dire un réel, licite, clairement défini et suffisamment concret. L’enjeu n’est pas ici d’invoquer une intention hypothétique, mais de démontrer un but précis, en lien avec l’activité de l’entreprise. Par exemple, développer une IA conversationnelle ou améliorer un service existant peuvent ainsi constituer des objectifs recevables. À l’inverse, vouloir entraîner une IA sur des finalités interdites (profilage de mineurs, surveillance automatisée, etc.) est incompatible d’emblée avec cette base légale de l’intérêt légitime.

2. Vérifier la nécessité du traitement

La deuxième étape vise à apprécier la nécessité du traitement envisagé. Il ne suffit pas qu’un traitement soit utile : encore faut-il qu’il n’existe aucune alternative moins intrusive pour atteindre le même résultat. Cela suppose une vraie réflexion : est-il possible de limiter les données utilisées ? de se passer de données identifiantes ? de mobiliser des données synthétiques ou agrégées ? En matière d’IA, cette étape est souvent négligée, alors qu’elle est déterminante.

3. Mettre en balance les intérêts

La troisième étape, enfin, est la plus délicate : il s’agit de procéder à une mise en balance entre l’intérêt poursuivi par le responsable de traitement et les droits et libertés des personnes concernées. C’est ici que les autorités de contrôle demandent de peser les risques en s’interrogeant notamment sur l’ampleur des données utilisées, la sensibilité des données, le nombre de personnes concernées, les risques d’atteinte à la vie privée, à la réputation, l’opacité du traitement, etc.  

A savoir que plus le traitement présente un bénéfice collectif (ex. amélioration des soins, innovation utile), plus il peut être justifié. En revanche, si l’objectif du traitement est purement commercial, il sera nécessaire de prévoir des mesures de protection renforcées pour protéger les personnes concernées.

A cette étape, il est également nécessaire de s’interroger sur les aspects suivants:  

  • Quels sont les risques réels et vraisemblables pour les personnes concernées, compte tenu notamment du volume de données, de la sensibilité des données, des atteintes potentielles (vie privée, liberté d’expression, réputation…) ?  
  • Les personnes concernées pouvaient-elles raisonnablement s’attendre à une telle réutilisation de leurs données ? Pour répondre à cette question, il est nécessaire d’adopter une approche « au cas par cas » tenant compte des attentes raisonnables des personnes vis-à-vis des services concernés et de leur niveau technologique.  
  • Quelles sont les mesures supplémentaires mises en place pour limiter ces risques ? Il peut s’agir de mesures techniques, juridiques ou organisationnelles, telles l’anonymisation ou pseudonymisation des données, une claire volonté d’être transparent ou la création d’un comité éthique par le responsable de traitement

Et maintenant, appliquons ce test en 3 étapes pour évaluer le recours à l’intérêt légitime de Meta IA

Attention : Contrairement à ce que Meta affirme, l’avis du CEPD est général et ne confirme absolument pas que le raisonnement et l’approche de Meta est conforme au RGPD. Il est nécessaire de réellement appliquer le test à Méta.  

1. Intérêt légitime identifié : Meta invoque un objectif clair : entraîner ses IA pour offrir des fonctionnalités de discussion adaptées aux spécificités culturelles et linguistiques européennes. Il s’agit bien d’un intérêt réel, licite et suffisamment déterminé.

2. Nécessité du traitement : La question se pose toutefois de savoir si des moyens moins intrusifs auraient pu être mobilisés. Selon NOYB, l’entraînement d’un modèle d’IA peut reposer sur des sources ouvertes accessibles en ligne, sans recourir aux données personnelles issues des réseaux sociaux. À ce stade, la démonstration de nécessité apparaît donc moins fondée.

3. Mise en balance des intérêts : C’est sans doute l’étape la plus délicate. Les risques pour les personnes concernées sont réels : atteinte à la vie privée, réputation, perte de contrôle sur leurs données. Les utilisateurs s’attendent-ils raisonnablement à ce que leurs publications — parfois éphémères ou privées — soient réutilisées à des fins d'entraînement d'IA ? Nous pouvons en douter, même si les profils sont « publics ».

Meta met en avant les garanties suivantes :

  • seules les données publiques sont utilisées,
  • les messages privés et les données des mineurs sont exclus,
  • un formulaire permet aux personnes, y compris celles sans compte sur ces réseaux sociaux, de s’opposer,
  • un nouveau dispositif d’opt-out a été intégré dans les applications.

Cependant, plusieurs mesures complémentaires auraient pu renforcer la conformité et la transparence du traitement, tels que notamment :

  • documenter publiquement l’analyse d’intérêt légitime et la publier,
  • privilégier la base légale du consentement,
  • pseudonymiser ou anonymiser les données,
  • limiter la période d’utilisation des données (ex. : ne pas remonter au-delà de 2 ans),
  • offrir des options d’opposition différenciées (passé/futur),
  • améliorer la communication préalable à l’entrée en vigueur du traitement, notamment sur la date butoir du 27 mai pour exercer son droit d’opposition.

Autant d’éléments qui montrent que, même si l’intérêt poursuivi par Meta est légitime, l’équilibre avec les droits des personnes reste fragile et pourrait être contesté.

NOYB a adressé à Meta le 17 mai une lettre de mise en demeure lui demandant l’arrêt immédiat de l’utilisation des données personnelles des utilisateurs européens pour l’entraînement de ses IA. NOYB dénonce un manque d’information et craint que les droits des utilisateurs soient compromis une fois les données intégrées aux modèles. Une action collective européenne est envisagée, avec des dommages potentiellement chiffrés en milliards d’euros.

Ce cas emblématique pourrait bien servir de matrice pour les futurs projets d’IA déployés à grande échelle. Il illustrera, dans les mois à venir, les lignes rouges à ne pas franchir et celles qui restent encore à tracer.

***

Pour en savoir plus sur les obligations liées au lancement d’un modèle d’intelligence artificielle et les exigences du RGPD, nous vous invitons à consulter notre article : « Les étapes clés pour mettre vos outils en conformité IA & RGPD », disponible sur notre blog.

L’équipe IT/Data du cabinet vous accompagne pour sécuriser vos pratiques et intégrer ces exigences dans vos projets. Contactez-nous dès aujourd’hui pour anticiper les évolutions réglementaires et mettre vos outils en conformité.

Clémentine Beaussier, avocate associée chez Squair

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
3 juin 2025
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité