Définir une finalité

11 octobre 2023

La constitution d’une base de données contenant des données personnelles pour l’apprentissage d’un système d’IA est  un traitement de données personnelles qui, en application du RGPD, doit poursuivre une finalité (ou objectif) qui soit « déterminée, légitime et explicite ». La CNIL vous aide à définir la ou les finalités en tenant compte des spécificités du développement de systèmes d’IA.

Le principe

La finalité du traitement est l’objectif poursuivi par l’utilisation des données personnelles. Cet objectif doit être déterminé, c’est-à-dire établi en amont, dès la définition du projet et figurer dans le registre des activités de traitement . Il doit également être explicite, c’est-à-dire connu et compréhensible. Il doit enfin être légitime, c’est-à-dire compatible avec les missions de l’organisme.

Les données étant collectées pour un but déterminé et légitime, elles ne doivent pas être traitées ultérieurement de façon incompatible avec cet objectif initial. Le principe de finalité limite la manière dont le responsable du traitement peut utiliser ou réutiliser ces données dans le futur.

L’exigence d’une finalité déterminée, explicite et légitime est particulièrement importante, car elle conditionne l’application d’autres principes du RGPD, dont notamment :

  • le principe de transparence : l’objectif du traitement doit être porté à la connaissance des personnes concernées afin qu’elles soient en mesure de connaître la raison de la collecte des différentes données les concernant et de comprendre l’utilisation qui en sera faite ;
  • le principe de minimisation : les données sélectionnées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des objectifs pour lesquels elles sont traitées ;
  • le principe de limitation des durées de conservation : les données ne peuvent être conservée que pour une durée limitée qui doit être définie selon l’objectif pour lesquelles elles ont été collectées.
En savoir plus : Définir une finalité

En pratique

Deux hypothèses sont à distinguer en fonction du régime juridique selon que l’usage opérationnel du système d’IA en phase de déploiement est identifié ou non lors de la phase de développement :

Cas n°1 : l’usage opérationnel du système d’IA en phase de déploiement est identifié dès la phase de développement


Cas n°2 : l’usage opérationnel du système d’IA en phase de déploiement n’est pas clairement défini dès la phase de développement (systèmes d’IA à usage général)


Cas particulier : la constitution d’une base de données pour l’entrainement d’un modèle d’IA à des fins de recherche scientifique