Le Comité européen de la protection des données (EDPB) a adopté le 8 juillet 2026 des lignes directrices qui fixent, pour la première fois, un cadre détaillé pour l’aspiration massive de données personnelles sur internet destinée à entraîner les IA génératives. Le texte est ouvert à consultation publique jusqu’au 30 octobre 2026.
Ce document vise directement les grands modèles de langage, dont l’entraînement repose sur la collecte automatisée de milliards de pages web. Selon l’EDPB, l’organe qui réunit les autorités de protection des données de l’Union, dès qu’une opération de scraping implique la collecte, le stockage ou l’organisation de données personnelles, le RGPD s’applique pleinement. La publication sur une page accessible ne vaut pas autorisation.
Le consentement écarté comme base légale
Le point le plus tranché concerne la base juridique. Les lignes directrices concluent d’emblée que « le consentement ne servira très probablement pas de base légale exploitable pour le scraping », selon la synthèse publiée par le site spécialisé PPC Land. Le Comité précise qu’« une personne qui met ses données à disposition sur une page web librement accessible n’a pas, de ce fait, consenti à ce que ces données soient aspirées pour une finalité spécifique telle que l’entraînement d’une IA ».
Reste donc l’intérêt légitime, prévu à l’article 6(1)(f) du RGPD, soumis à un test en trois conditions : un intérêt légitime du responsable de traitement, la nécessité du traitement, et une mise en balance où les droits des personnes ne l’emportent pas. C’est cette voie étroite que devront emprunter les laboratoires d’IA.
Transparence, minimisation et robots.txt
Le régulateur détaille les mesures attendues. Au titre de la transparence, une politique de confidentialité publique « doit toujours » primer lorsque la notification individuelle est impossible, précisant les catégories de données, la base légale et les sources. Au titre de la minimisation, les entreprises doivent définir des critères de collecte précis avant de lancer l’aspiration, filtrer les données inutiles comme les coordonnées bancaires ou de géolocalisation, et exclure structurellement les sites visant les mineurs.
Les lignes directrices demandent aussi de respecter les signaux techniques d’exclusion : fichiers robots.txt, ai.txt et CAPTCHA. Parmi les mesures d’atténuation figurent la limitation aux données librement accessibles sans identifiant, la pseudonymisation, la publication de listes de sources mises à jour et des mécanismes d’opposition. Le Comité rappelle un obstacle technique majeur : « une fois le modèle entraîné, les données personnelles ne peuvent pas être facilement supprimées du modèle ».
Une notion d’anonymat clarifiée
Le même jour, l’EDPB a adopté des lignes directrices sur l’anonymisation, articulées autour de trois critères cumulatifs : l’impossibilité d’isoler un enregistrement, de le relier à une personne et d’en déduire une identification. Le texte tient compte de l’arrêt de la Cour de justice de l’UE du 4 septembre 2025 dans l’affaire C-413/23 P, qui a rebattu les cartes sur la définition des données réputées anonymes.
Ce que disent les responsables
« Ces lignes directrices marquent une étape importante dans la clarification de la notion de données anonymes, en établissant des standards clairs qui facilitent l’usage des données tout en protégeant les droits fondamentaux des personnes », a déclaré Anu Talus, présidente de l’EDPB. La consultation publique doit permettre aux entreprises et aux associations de faire valoir leurs observations avant l’adoption définitive.
Un cadre observé au-delà de l’Europe
Le calendrier n’est pas anodin. Le règlement européen sur l’intelligence artificielle, l’AI Act, atteint sa pleine application le 2 août 2026, et l’EDPB entend articuler protection des données et encadrement des modèles. Pour les éditeurs et les créateurs de contenus, ces lignes directrices s’ajoutent à un mouvement plus large de reprise en main de la donnée, alors que des acteurs de l’infrastructure comme Cloudflare ont lancé début juillet des dispositifs pour bloquer ou facturer les robots d’IA. La version définitive du texte est attendue après la clôture de la consultation, le 30 octobre 2026.





