anonym.legal

By · Last updated 2026-06-05

Retour au blogGDPR & Conformité

CNIL France : Conformité au RGPD sous l'Autorité de...

La CNIL a traité 16 433 plaintes en 2023 et a infligé plus de 150 millions d'euros d'amendes depuis 2019.

June 5, 20267 min de lecture
CNIL FranceFrench GDPRAI anonymizationFrench data protectionprivacy by design

CNIL France : Conformité technique au RGPD

Le régulateur de données le plus strict de France

L'autorité française de protection des données est la CNIL. Elle fixe les règles de confidentialité les plus précises de l'UE. La plupart des régulateurs européens publient des orientations générales. La CNIL va plus loin. Elle publie des recommandations — des spécifications techniques précises qui définissent ce que signifie vraiment la conformité au RGPD.

D'autres régulateurs de l'UE s'appuient souvent sur les travaux de la CNIL. Les textes de référence sont le Guide pratique de l'anonymisation de 2023 et les recommandations sur l'IA générative de 2024.

Les chiffres parlent d'eux-mêmes. La CNIL a traité 16 433 plaintes en 2023, soit 43 % de plus qu'en 2022. Depuis le début de l'application du RGPD, elle a infligé environ 150 millions d'euros d'amendes.

Formation IA : six types d'enregistrements à anonymiser

Les recommandations IA de la CNIL de 2024 ont un large champ d'application. Elles couvrent toute organisation qui entraîne des modèles d'IA sur des données personnelles françaises. Elles s'appliquent aussi aux entreprises qui servent des utilisateurs français avec des outils d'IA.

La CNIL identifie six catégories de données à anonymiser avant tout entraînement :

  1. Identifiants directs : noms, adresses, numéros d'identification. À supprimer ou remplacer avant l'entraînement.
  2. Identifiants quasi-directs : combinaisons d'attributs permettant la réidentification. Appliquer des vérifications k-anonymat.
  3. Données sensibles : données de santé, biométriques, politiques et religieuses. Isoler avec des mesures renforcées.
  4. Données comportementales : historique de navigation et habitudes d'utilisation. Agréger ou pseudonymiser.
  5. Données inférées : signaux dérivés par l'IA à partir des comportements. Appliquer des limites de finalité.
  6. Données relatives aux mineurs : toute donnée pouvant concerner des personnes de moins de 15 ans. Vérification de l'âge et anonymisation renforcée obligatoires.

Vous utilisez des LLM entraînés sur du contenu récupéré par scraping ? Vous devez fournir une preuve écrite. Montrez que vos données d'entraînement ont été vérifiées et anonymisées. Consultez notre guide de conformité RGPD pour plus de détails.

Le guide d'anonymisation : règles essentielles

Le guide 2023 est le texte officiel le plus détaillé de l'UE sur ce sujet. Il définit ce que signifie une anonymisation réelle.

Techniques approuvées :

  • k-anonymat — chaque enregistrement est indiscernable d'au moins k-1 autres
  • l-diversité — les attributs sensibles varient au sein de chaque groupe
  • Confidentialité différentielle — du bruit est ajouté aux sorties statistiques
  • Pseudonymisation — une mesure de réduction des risques, pas une anonymisation complète

Documentation requise :

Pour chaque traitement utilisant l'anonymisation, la CNIL attend une fiche d'anonymisation. Elle doit comprendre :

  • La technique utilisée et ses paramètres clés (valeur k, valeur epsilon)
  • Le résultat d'une analyse du risque de réidentification
  • La méthode de validation (tests ou audit externe)
  • Le responsable et la date de révision

Analyse du risque de réidentification :

Avant de déclarer des données anonymisées, effectuez une vérification formelle. Demandez-vous : une personne motivée pourrait-elle réidentifier ces données ? Examinez les jeux de données auxiliaires disponibles. Prenez en compte le contexte complet.

PII en français : ce que vos outils doivent détecter

Les règles françaises exigent une couverture des données personnelles en langue française. Vos outils doivent détecter les identifiants spécifiques français.

Identifiants clés à couvrir :

  • NIR : 15 chiffres (13 de base + clé à 2 chiffres). C'est le numéro de sécurité sociale français.
  • Numéro de carte vitale : identifiant de la carte d'assurance maladie.
  • SIRET/SIREN : identifiants d'entreprise présents dans les dossiers personnels.
  • Numéro d'ordre professionnel : numéros d'inscription pour médecins, avocats et comptables.
  • CNI (Carte nationale d'identité) : numéro de la carte d'identité française.

Les modèles NER français doivent gérer les particularités des noms français : noms composés (Jean-Pierre), particules (de, du, des) et noms à trait d'union. Consultez notre guide de détection PII multilingue pour couvrir toutes les langues.

Contrôle : ce qui conduit aux amendes

Les amendes de la CNIL suivent un schéma clair. Elles ciblent l'absence de contrôles techniques. Un manquement procédural seul est rarement la cause principale.

Clearview AI — 20 M€ d'amende (2022) : La société a traité des données biométriques de personnes françaises sans base légale, collectées sur des sources publiques. Le cas a confirmé que le scraping massif pour l'entraînement IA nécessite une base légale explicite.

TikTok — enquête lancée en 2024 : Portant sur des systèmes susceptibles d'inférer des catégories sensibles à partir de signaux comportementaux. Cette méthode est désormais la référence européenne pour les audits IA.

Revue des IA génératives (2024–2025) : La CNIL a examiné les fournisseurs de LLM actifs en France. Elle s'est concentrée sur la provenance des contenus d'entraînement. Les fournisseurs sans documentation adéquate ont dû renforcer leurs contrôles.

Quatre étapes pour se conformer

Vous traitez des données personnelles françaises ? Quatre éléments sont indispensables.

1. Une fiche d'anonymisation pour chaque traitement

Chaque traitement utilisant l'anonymisation doit disposer de sa propre fiche. Notez la technique, ses paramètres, un résultat d'analyse du risque et une date de révision.

2. Journaux de prétraitement pour l'IA

Consignez l'outil de détection PII utilisé. Notez les types d'entités détectés. Enregistrez ce qui a été supprimé ou masqué. Conservez ces journaux pour les audits.

3. Couverture des données personnelles en français

Vérifiez que votre outil détecte les numéros NIR, carte vitale et CNI. Testez votre modèle NER français sur de vrais noms français. Documentez les lacunes et les mesures compensatoires.

4. Traçabilité des contenus d'entraînement

Pour les contenus scrapés : documentez la vérification d'anonymisation de la source. Pour les données utilisateurs : documentez le processus d'anonymisation. Notre présentation de la conformité sécurité montre comment cela s'intègre dans un dispositif de protection plus large.

Les organisations avec une bonne documentation passent les audits bien plus vite. Construisez votre dossier dès maintenant. N'attendez pas une inspection pour commencer.

Sources

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.