CNIL Frankrig: GDPR Teknisk Overholdelse

CNIL Frankrig: GDPR Teknisk Overholdelse

Frankrigs Strengeste Privatlivsregulator

Frankrigs databeskyttelsesorgan er CNIL. Det sætter EU's mest præcise privatlivsregler. De fleste EU-regulatorer skriver brede vejledninger. CNIL går videre. Det udgiver præcise tekniske specifikationer kaldet recommandations. Disse definerer, hvad reel GDPR-overholdelse betyder.

Andre EU-regulatorer kopierer ofte CNILs arbejde. Nøgletekster inkluderer Guide pratique de l'anonymisation fra 2023 og AI-vejledningen fra 2024.

Tallene viser, at agenturet er aktivt. Det håndterede 16.433 klager i 2023. Det er 43% mere end 2022. Det har udstedt ca. 150 millioner euro i GDPR-bøder siden håndhævelsen begyndte.

AI-Træning: Seks Registertyper der Skal Renses

CNILs AI-vejledning fra 2024 gælder bredt. Den dækker alle grupper, der træner AI på franske personregistre. Den gælder også for dem, der betjener franske brugere med AI-værktøjer.

Agenturet lister seks registertyper, der skal renses inden AI-træning:

1. Identifiants directs (direkte ID'er): Navne, adresser, ID-numre. Fjern eller erstat disse inden træning.
2. Identifiants quasi-directs (kvasi-ID'er): Grupper af egenskaber, der muliggør gen-ID. Anvend k-anonymitetskontroller.
3. Données sensibles (særlige typer): Sundheds-, biometriske, politiske og trosmæssige registre. Isoler med ekstra kontroller.
4. Données comportementales (brugregistre): Browserhistorik og brugsmønstre. Aggreger eller masker disse.
5. Données inférées (udledte egenskaber): AI-afledte signaler fra brug. Anvend formålsgrænser.
6. Données relatives aux mineurs (børneregistre): Alle registre knyttet til personer under 15. Kør alderstjek og brug stærk rensning.

Bruger du LLM'er trænet på skrabet indhold? Du har brug for skriftlig dokumentation. Vis, at dine træningsregistre er blevet gennemgået og renset. Se vores GDPR-overholdelsesvejledning for omfangsdetaljer.

Anonymiseringsvejledningen: Kerneregler

Vejledningen fra 2023 er EU's mest detaljerede tekst om dette emne. Den sætter standarden for, hvad der tæller som virkelig anonymt.

Godkendte teknikker:

• k-anonymitet — hvert register ligner mindst k-1 andre
• l-diversitet — følsomme egenskaber varierer inden for hver gruppe
• Differentieret privatliv — støj tilføjes til outputstatistikker
• Pseudonymisering — et risikoreducerende trin, ikke reel anonymisering

Påkrævede registre:

For hver aktivitet, der anvender rensning, forventer CNIL en fiche d'anonymisation (anonymiseringsregistrering). Den skal indeholde:

• Den anvendte teknik og dens nøgleindstillinger (k-værdi, epsilon-værdi)
• Resultatet af en gen-ID-risikokontrol
• Valideringsmetoden (testning eller ekstern gennemgang)
• Den ansvarlige person og gennemgangsdatoen

Gen-ID-risikokontrol:

Inden registre markeres som anonyme, kør en formel kontrol. Spørg: kunne en motiveret person gen-ID dette? Se på, hvilke hjælpedatasæt der eksisterer. Overvej den fulde kontekst.

Fransk PII: Hvad Dine Værktøjer Skal Finde

Franske regler kræver PII-dækning på fransk. Dine værktøjer skal detektere franske-specifikke ID-typer.

Nøgle-ID'er at dække:

• NIR: 15 cifre (13 basis + 2-cifret nøgle). Dette er det franske CPR-nummer.
• Carte vitale-nummer: ID til sygesikringskort.
• SIRET/SIREN: Virksomheds-ID'er fundet i personlige filer.
• Numéro d'ordre professionnel: Registreringsnumre for læger, advokater og revisorer.
• CNI (Carte nationale d'identité): Fransk nationalt ID-kortnummer.

Franske NER-modeller skal håndtere franske navnemønstre. Disse inkluderer sammensatte navne (Jean-Pierre), partikler (de, du, des) og bindestregsefternavne. Se vores vejledning om flersproget PII-detektion for, hvordan alle sprogversioner dækkes.

Håndhævelse: Hvad der Giver Bøder

Agenturets bøder følger et klart mønster. De retter sig mod manglende tekniske kontroller. Dårlig proces alene er sjældent det primære problem.

Clearview AI — 20 mio. euro bøde (2022): Virksomheden behandlede biometriske registre fra franske borgere uden retsgrundlag. Registre var skrabet fra offentlige webkilder. Sagen bekræftede: bulkwebskrabning til AI-træning kræver et eksplicit retsgrundlag.

TikTok — undersøgelse indledt 2024: Fokuseret på systemer, der kan udlede følsomme typer fra brugssignaler. Denne metode er nu EU-referencen for AI-audits.

Generativ AI-gennemgang (2024–2025): Agenturet gennemgik LLM-leverandører i Frankrig. Det fokuserede på proveniensen af træningsindhold. Leverandører uden korrekte registre måtte tilføje kontroller.

Fire Trin til CNIL-Overholdelse

Håndterer du franske personregistre? Du har brug for fire ting på plads.

1. En anonymiseringsregistrering for hver aktivitet

Hver aktivitet, der anvender rensning, har brug for sin egen registrering. Angiv teknikken, dens indstillinger, et risikobesultat og en gennemgangsdato.

2. Forbehandlingslogfiler til AI

Log, hvilket PII-detektionsværktøj du brugte. Angiv, hvilke enhedstyper det fandt. Registrer, hvad der blev fjernet eller maskeret. Hold disse logfiler klar til audits.

3. Fransksproglig PII-dækning

Tjek, at dit værktøj finder NIR, carte vitale og CNI-numre. Test din franske NER-model på rigtige franske navne. Notér eventuelle huller. Registrer de kontroller, du sætter i gang for at adressere dem.

4. Proveniensregistre til træningsindhold

For skrabet indhold: dokumenter kilderensningskontrollen. For brugerregistre: dokumenter brugerrensningsprocessen. Vores sikkerhedsoverholdels esoversigt viser, hvordan dette passer ind i en bredere sikkerhedsstak.

Organisationer med gode registre bevæger sig hurtigt igennem audits. Byg din fil nu. Vent ikke på en inspektion med at starte.

Kilder

• CNIL: Commission Nationale de l'Informatique et des Libertés
• CNIL: Guide pratique de l'anonymisation (2023)
• CNIL: Systèmes d'IA générative — recommandations (2024)