← Tous les articles

redaction

EDPB: lignes directrices sur l’anonymisation et le web scraping IA

Le 8 juillet 2026, l’EDPB a adopté pour consultation des lignes directrices sur l’anonymisation et sur le web scraping en contexte d’IA générative. Consultation ouverte jusqu’au 30 octobre 2026.

Le 8 juillet 2026, l’EDPB a publié deux projets de lignes directrices pour consultation: l’une sur l’anonymisation, l’autre sur le web scraping en contexte d’IA générative. La consultation est ouverte jusqu’au 30 octobre 2026.

Les faits

Réuni à Bruxelles, le Comité européen de la protection des données a adopté les “Guidelines 202602 on Anonymisation” et les “Guidelines 03/2026 on web scraping in the context of generative AI”. Ces textes précisent quand des données peuvent être considérées comme véritablement anonymes et sous quelles conditions le scraping de données personnelles pour entraîner des modèles d’IA est licite. L’EDPB indique notamment que lorsque le scraping collecte des catégories particulières de données, un fondement de l’article 6 du RGPD et une exception de l’article 9(2) sont requis cumulativement.

Cadre légal et fondement

  • Anonymisation: mise à jour de l’interprétation de ce qui n’est plus une “donnée à caractère personnel” au sens de l’article 4(1) RGPD, à la lumière de l’arrêt CJUE C‑413/23 P EDPS c. SRB (4 septembre 2025). L’EDPB souligne que la qualification dépend du contexte et des moyens raisonnablement susceptibles d’être mis en œuvre par un acteur donné. Pour approfondir le cadre du RGPD, consultez notre page dédiée.
  • Web scraping pour IA générative: cadrage des opérations de collecte automatisée au regard de la base légale (art. 6 RGPD) et, pour les données sensibles, d’une exception de l’art. 9(2) RGPD; exigences de transparence en cas de collecte indirecte (art. 14), information des personnes et modalités d’exercice des droits (art. 15–22, dont droit d’opposition art. 21); application du principe de minimisation (art. 5(1)(c)) et du “privacy by design” (art. 25).

Ce que cela change pour les entreprises luxembourgeoises

  • Équipes data/IA et éditeurs de modèles: la conformité du scraping se précise. Il ne suffit pas d’invoquer un intérêt légitime (art. 6(1)(f)); il faut vérifier, jeu de données par jeu de données, la présence de catégories particulières (opinions politiques, santé, croyances, orientation sexuelle, etc.) et, le cas échéant, justifier une exception art. 9(2). À défaut, l’entraînement devient illicite. Un accompagnement en gouvernance IA peut aider à cadrer ces analyses.
  • Responsables de traitement “anonymisation”: l’EDPB rattache l’analyse à l’arrêt C‑413/23 P: l’anonymat s’évalue depuis la perspective de l’acteur et des moyens raisonnables dont il dispose. Les jeux “pseudonymisés” ou insuffisamment agrégés restent des données personnelles et retombent sous RGPD (registre, AIPD, transferts).
  • Délai d’action: même en consultation, ces textes reflètent l’état de l’art attendu par les autorités. Les acteurs luxembourgeois (banques, assurances, e‑commerce, médias, EdTech, fournisseurs IA) ont intérêt à s’aligner dès maintenant, notamment au regard des contrôles CNPD, de NIS 2 et des exigences DORA au Luxembourg en matière de gouvernance et de gestion des risques data/IA.

Actions concrètes à entreprendre cette semaine

  • Cartographier les jeux d’entraînement et collectes web: identifier les sources, la base légale (art. 6), la présence potentielle de données art. 9, les critères d’exclusion; suspendre tout scraping impliquant des données sensibles sans exception art. 9(2) documentée.
  • Revoir “anonymisation” vs “pseudonymisation”: réaliser des tests de ré‑identification indépendants, documenter la menace et les moyens “raisonnablement probables” au regard de C‑413/23 P; si le risque persiste, traiter le jeu comme personnel (AIPD, mesures art. 25/32, contrats).
  • Transparence et droits: mettre à jour l’information art. 14, prévoir des notices dédiées au scraping/entraînement, des mécanismes d’opt‑out et un processus pour traiter les demandes d’accès/suppression relatives aux jeux d’entraînement.

Pour les organisations qui doivent accélérer leur mise en conformité, notre équipe peut accompagner votre conformité CNPD au Luxembourg et l’alignement de vos pratiques IA.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →