L'angle mort RTL en conformité
Le RGPD ne s'arrête pas au Bosphore. Les entreprises de l'UE qui utilisent des outils conçus pour l'écriture latine ont un angle mort. Il est réel et largement ignoré.
Le problème n'est pas seulement la direction du texte. Les écritures de droite à gauche nécessitent une tokenisation différente. Elles nécessitent une segmentation différente. Les frontières d'entités fonctionnent autrement que dans le texte LTR. Les systèmes NER entraînés sur l'anglais appliquent des règles LTR. Ces règles échouent sur le texte RTL. Elles donnent de mauvaises frontières d'entités.
La morphologie arabe complique encore les choses. La langue utilise des racines. Une racine donne des dizaines de formes de mots. Un nom comme Mohammed peut apparaître sous la forme « Al-Mohammed », « bin Mohammed » ou « Mohammed al-Rashid ». Les expressions régulières conçues pour les noms occidentaux ratent ces formes. Les modèles entraînés sur l'anglais les ratent aussi.
Le RGPD ne traite pas la langue comme une frontière de conformité. Une entreprise de l'UE qui traite des courriers de clients de la région MENA doit respecter les mêmes règles que pour des courriers en français. Manquer des données personnelles dans du texte RTL est un manquement juridique au titre de l'article 32 du RGPD.
Le cas d'usage KYC
Une fintech de Dubaï qui traite des documents KYC pour des clients de l'UE illustre bien ce problème.
Les fichiers KYC pour des clients arabes contiennent des noms en écriture RTL, des ID Emirates des Émirats arabes unis et des adresses RTL. Ces éléments côtoient des textes commerciaux en anglais.
Le format de l'ID Emirates est 784-XXXX-XXXXXXX-X. Code pays 784. Année de naissance. Sept chiffres. Chiffre de contrôle. Les outils de détection des données personnelles sans définitions d'entités spécifiques aux Émirats arabes unis ne peuvent pas trouver ce format. Les champs de noms passent par un NER à écriture latine. La segmentation est incorrecte. Les données personnelles deviennent invisibles dans le flux de travail.
Pour les entreprises ayant des obligations RGPD sur ces données, l'écart crée un vrai risque juridique. L'article 32 du RGPD exige des mesures techniques appropriées. Un outil qui rate des identifiants dans 22 % des langues du monde n'est pas une mesure appropriée.
Documents en hébreu et multilinguaux
L'hébreu pose des problèmes similaires. L'écriture se lit de droite à gauche. Les numéros d'identité israéliens utilisent une somme de contrôle — un test de type Luhn sur neuf chiffres.
Les documents juridiques israéliens mélangent souvent l'hébreu, l'arabe et l'anglais dans un seul fichier. C'est courant dans les contrats où l'hébreu est la langue principale et les conditions en anglais sont incorporées par référence.
Les documents à écritures mixtes nécessitent une détection de script avant le NER. Sans elle, un seul passage NER applique des règles latines aux scripts RTL. Le résultat est incorrect.
Des recherches publiées dans Nature Scientific Reports (2025) ont testé le NER multilingue sur des données personnelles RTL. Les modèles standard ont obtenu un score F1 de 0,60–0,83. XLM-RoBERTa affiné sur des données NER RTL a obtenu 0,88 et plus.
L'architecture multilingue requise
Une bonne détection des données personnelles RTL nécessite trois éléments que les outils à orientation occidentale n'ont généralement pas.
Gestion du texte RTL : Conformité à l'algorithme bidirectionnel Unicode pour un flux de texte correct. Tokenisation adaptée au RTL qui identifie les frontières de mots dans le texte de droite à gauche.
NER sensible à la morphologie : Un analyseur morphologique comme Farasa pour l'arabe, ou un modèle de transformateur affiné sur des données NER RTL. Le modèle doit avoir appris la variation morphologique.
Types d'entités spécifiques à la région : L'ID Emirates, l'ID israélien, le numéro national saoudien et l'ID national égyptien nécessitent chacun des définitions explicites avec des règles de format. Les outils occidentaux génériques ne les incluent pas.
Découvrez comment notre pipeline NER multilingue gère la détection de script dans 48 langues. Pour la liste complète des identifiants de la région MENA que nous prenons en charge, consultez le catalogue d'entités. Notre guide de conformité RGPD explique comment les lacunes de détection créent une exposition à l'article 32.