Ce qu'il faut retenir
- Le 7 juillet 2026, le CEPD a adopté deux lignes directrices distinctes : l'une sur l'anonymisation, l'autre sur le moissonnage de données dans le contexte de l'IA générative, toutes deux en consultation publique jusqu'au 30 octobre 2026.
- Le moissonnage pour l'entraînement d'IA reste soumis au RGPD : base légale documentée (souvent l'intérêt légitime), minimisation, précision des données et interdiction de principe des catégories particulières de données sauf exception étroite.
- Le CEPD propose un test en trois critères (individualisation, corrélation, inférence) pour vérifier qu'un jeu de données est réellement anonyme et sort donc du champ du RGPD.
Résumé généré par IA
Le 7 juillet 2026, le Comité européen de la protection des données (CEPD) a adopté deux nouvelles séries de lignes directrices : l'une sur l'anonymisation, l'autre spécifiquement consacrée au moissonnage de données dans le contexte de l'IA générative. La CNIL a relayé l'annonce le jour même sur son site. Pour toute entreprise qui entraîne, affine ou enrichit un modèle d'IA générative avec des données collectées sur le web, ce texte n'est pas une lecture optionnelle : il pose noir sur blanc les conditions dans lesquelles le moissonnage reste conforme au RGPD.
Le moissonnage (web scraping) désigne l'extraction automatisée de données à grande échelle, un processus qui fonctionne souvent sans que les personnes concernées en aient conscience. Dès lors que ces données incluent des informations personnelles, le RGPD s'applique à chaque étape du traitement : collecte, stockage, organisation, extraction. Le CEPD le rappelle explicitement dans ses nouvelles lignes directrices, qui visent en priorité les organisations qui construisent ou entraînent des modèles d'IA générative sur des corpus glanés sur internet.
Ce que le CEPD clarifie sur le moissonnage pour l'IA
Le texte du comité s'articule autour de plusieurs principes du RGPD, appliqués concrètement au cas du scraping massif pour l'entraînement de modèles :
- Finalité et transparence. Le principe de limitation de la finalité doit être respecté dès la collecte. Sur la transparence, le CEPD admet une nuance pratique : selon la conception précise du traitement, le responsable pourrait ne pas avoir à informer individuellement chaque personne concernée si cela s'avère impossible ou exige des efforts disproportionnés.
- Précision des données. Le comité recommande de n'extraire les données qu'à partir de sources fiables, d'enregistrer un horodatage et de valider les données avant de les injecter dans un pipeline d'entraînement.
- Minimisation. Des mesures concrètes sont attendues pour éviter la collecte de données superflues au regard de l'objectif d'entraînement poursuivi.
- Intérêt légitime. En s'appuyant sur son avis précédent relatif aux modèles d'IA, le CEPD affine les conditions d'usage de la base légale de l'intérêt légitime pour justifier un moissonnage destiné à l'entraînement d'un modèle génératif.
- Données sensibles. Le traitement de catégories particulières de données reste interdit par principe. Si le moissonnage en collecte malgré tout, une base légale au titre de l'article 6 du RGPD et une exception au titre de l'article 9, paragraphe 2, sont toutes deux nécessaires.
Sur ce dernier point, le CEPD ouvre une porte étroite : il évoque la jurisprudence de la Cour de justice de l'Union européenne dans l'affaire GC e.a. (C-136/17), qui pourrait s'appliquer à une collecte accessoire ou résiduelle de données sensibles, à condition que le responsable du traitement agisse dans le cadre de ses responsabilités, pouvoirs et capacités, et mette en œuvre des mesures techniques et organisationnelles pour empêcher la collecte et la diffusion de ces données. Le comité insiste toutefois : il n'existe aucune exemption générale à l'article 9, et chaque cas doit être évalué individuellement.
Le test en trois critères pour sortir du champ du RGPD
Publiées le même jour, les lignes directrices sur l'anonymisation intéressent directement les équipes IA : des données réellement anonymes échappent au RGPD. Le CEPD, qui tient compte de l'arrêt de la CJUE dans l'affaire C-413/23 P (CEPD/CRU, 4 septembre 2025), propose un cadre pratique reposant sur trois critères cumulatifs :
- Pas d'individualisation : impossible d'isoler un enregistrement relatif à une personne précise.
- Pas de corrélation : impossible de relier entre eux des enregistrements concernant la même personne.
- Pas d'inférence : impossible de déduire des informations sur une personne avec une probabilité significative.
Si les trois critères sont remplis, les données peuvent être considérées comme anonymes en toute sécurité. Le comité propose deux façons d'appliquer ce cadre : une approche contextuelle, qui tient compte des capacités réelles de chaque entité susceptible de ré-identifier les données, et une approche simplifiée, plus prudente et plus simple à documenter, qui ignore ces différences de capacités.
La check-list à suivre avant de lancer un pipeline de moissonnage
Concrètement, si vous pilotez un projet IA qui s'appuie, même partiellement, sur des données collectées automatiquement sur le web, voici les points à vérifier avant de lancer ou de poursuivre un pipeline :
- Cartographiez vos sources de moissonnage et documentez leur fiabilité, avec horodatage de chaque extraction.
- Identifiez, pour chaque flux de collecte, la base légale retenue au titre de l'article 6 du RGPD, avec un test de mise en balance documenté si vous invoquez l'intérêt légitime.
- Mettez en place un filtrage technique pour détecter et exclure les catégories particulières de données avant l'entraînement.
- Si vous n'informez pas individuellement les personnes concernées, documentez précisément pourquoi, en gardant à l'esprit qu'il n'y a pas d'exemption automatique.
- Appliquez des mesures de minimisation en amont de la collecte, pas seulement en aval.
- Si vous comptez sur l'anonymisation pour sortir du champ du RGPD, testez vos jeux de données sur les trois critères et choisissez explicitement votre approche, contextuelle ou simplifiée.
- Suivez la consultation publique du CEPD, ouverte jusqu'au 30 octobre 2026 sur les deux textes : c'est votre fenêtre pour anticiper la version définitive.
Ce que ça change pour les PME françaises qui développent de l'IA
Beaucoup d'équipes produit et de studios français intègrent aujourd'hui des briques d'IA générative sans avoir constitué elles-mêmes leurs jeux de données : scraping de sites concurrents pour du benchmarking, constitution de corpus pour un RAG interne, réutilisation de datasets glanés sur le web pour du fine-tuning. Ces lignes directrices ne créent pas de nouvelle obligation à proprement parler, elles précisent comment le RGPD, déjà en vigueur, s'applique à ces pratiques. La différence, c'est qu'elles donnent enfin une grille de lecture opposable, avec des critères concrets plutôt qu'une notion floue de conformité.
Pour une PME, l'enjeu n'est pas seulement le risque de sanction. C'est aussi la capacité à démontrer sa conformité face à un client, un investisseur ou un partenaire qui posera de plus en plus systématiquement la question de la provenance des données d'entraînement. Documenter maintenant, avec les critères du CEPD, coûte largement moins cher que de reconstituer cette traçabilité a posteriori sous la pression d'un contrôle.
Notre lecture chez CZSyn
Ce que nous retenons de ce texte, c'est qu'il referme une zone grise qui arrangeait beaucoup d'acteurs de l'IA générative : celle du moissonnage sans base légale clairement assumée. Le CEPD ne ferme pas la porte au scraping pour l'entraînement de modèles, mais il en encadre précisément les conditions, avec un niveau de détail qui ne laisse plus beaucoup de place à l'à-peu-près. Le test en trois critères pour l'anonymisation, en particulier, va devenir une référence technique incontournable pour toute équipe qui cherche à sortir légitimement du champ du RGPD plutôt que de se contenter d'un pseudonymat de façade.
Notre conseil aux équipes techniques que nous accompagnons : ne pas attendre la fin de la consultation publique, le 30 octobre 2026, pour s'y mettre. Les principes de minimisation, de précision, de base légale documentée et de filtrage des données sensibles sont déjà solidement établis dans le RGPD lui-même, ces lignes directrices ne font qu'en préciser l'application à l'IA générative. Les entreprises qui commencent dès maintenant à documenter leurs pipelines de données auront une longueur d'avance, que ce soit face à la CNIL ou face à leurs propres clients.
Votre pipeline IA est-il vraiment conforme au RGPD ?
Nous auditons vos flux de données et vos bases légales, et développons vos outils IA sur-mesure en conformité avec les lignes directrices du CEPD. Audit gratuit sous 24h.
29 AVIS 5/5 · +200 PROJETS LIVRÉS · RÉPONSE EXPRESS
Sources primaires
- CNIL, « Le CEPD met en lumière l'anonymisation et le moissonnage pour l'IA générative et adopte la version finale des lignes directrices sur la chaîne de blocs », 9 juillet 2026.
- Comité européen de la protection des données (CEPD/EDPB), edpb.europa.eu, site officiel.
