Le bilan d'application de l'IA du Garante
Le Garante per la protezione dei dati personali (Garante) d'Italie s'est établi comme le régulateur de l'IA le plus agressif de l'UE à travers une série d'actions d'application marquantes :
Mars 2023 — Interdiction temporaire de ChatGPT : Le Garante a ordonné à OpenAI de suspendre temporairement le service ChatGPT pour les utilisateurs italiens, constatant qu'OpenAI n'avait pas de base légale suffisante pour traiter les données des utilisateurs italiens et qu'il n'y avait pas de mécanisme de vérification de l'âge. OpenAI a mis en œuvre les changements demandés (vérification de l'âge, avis de confidentialité en langue italienne, mécanisme de désinscription pour l'utilisation des données dans la formation) et le service a été rétabli en avril 2023.
Décembre 2024 — Amende de 15 millions d'euros contre OpenAI : Le Garante a infligé une amende formelle de 15 millions d'euros à OpenAI pour traitement illégal des données personnelles des utilisateurs italiens. L'avis d'application a cité : absence de base légale adéquate, manque de transparence sur l'utilisation des données des utilisateurs dans la formation, et échec à mettre en œuvre une vérification de l'âge pour les mineurs.
Enquêtes en cours (2024-2025) : Le Garante a lancé des enquêtes formelles contre plusieurs fournisseurs d'IA opérant en Italie, y compris Replika (compagnon IA), Worldcoin (données biométriques) et plusieurs startups d'IA générative.
Le schéma établit l'Italie comme la juridiction à risque le plus élevé de l'UE pour les déploiements d'outils d'IA sans mesures de conformité documentées.
Ce que le Garante exige des utilisateurs d'outils d'IA
Les actions d'application du Garante ont clarifié ce que les organisations italiennes doivent faire lorsqu'elles utilisent des outils d'IA qui traitent des données personnelles :
Documentation de la base légale : Chaque outil d'IA traitant les données personnelles des utilisateurs italiens nécessite une base légale documentée en vertu de l'article 6 du RGPD. Le Garante a été sceptique quant aux revendications d'"intérêt légitime" pour l'utilisation des données d'entraînement de l'IA — le consentement explicite ou la nécessité contractuelle sont des bases préférées.
Accords de traitement des données : Les organisations italiennes utilisant des outils d'IA tiers en tant que sous-traitants de données doivent avoir des accords de traitement des données conformes au RGPD. Le Garante a spécifiquement examiné si les APD des fournisseurs d'IA couvraient adéquatement les restrictions d'utilisation des données.
Contrôles des données d'entrée : L'accent mis par le Garante sur le "traitement illégal" des données des utilisateurs italiens a conduit à une exigence selon laquelle les organisations doivent contrôler quelles données personnelles entrent dans les systèmes d'IA. Des contrôles techniques qui empêchent les données personnelles des utilisateurs italiens d'entrer dans les systèmes d'IA sans base légale appropriée satisfont à la préoccupation substantielle du Garante.
Vérification de l'âge pour les systèmes d'IA avec accès consommateur : Suite à l'interdiction de ChatGPT, le Garante exige que les systèmes d'IA accessibles aux consommateurs italiens mettent en œuvre une vérification de l'âge pour les mineurs.
Transparence : Avis de confidentialité en langue italienne qui expliquent clairement comment les systèmes d'IA utilisent les données personnelles, y compris toute utilisation à des fins de formation.
L'écart de 63 % des entreprises italiennes
Une enquête du Garante de 2024 a révélé que 63 % des entreprises italiennes utilisant des outils d'IA n'ont pas de politiques d'utilisation de l'IA conformes au RGPD. Cet écart crée un risque d'application substantiel alors que le Garante élargit son programme d'application de l'IA.
Les enregistrements de DPO italiens ont augmenté de 340 % suite à l'interdiction de ChatGPT — une hausse entraînée par des organisations reconnaissant que le déploiement de l'IA sans l'implication d'un DPO créait une exposition juridique significative. Cependant, avoir un DPO n'est pas suffisant sans contrôles techniques qui appliquent les politiques du DPO.
L'écart entre la politique DPO sans contrôles techniques est exactement ce que cible l'application du Garante : les organisations qui ont des politiques écrites sur l'IA mais comptent sur les employés pour surveiller la conformité eux-mêmes, plutôt que de mettre en œuvre des mesures techniques qui rendent la politique exécutoire.
Mise en œuvre technique pour la conformité au Garante
Pour les organisations italiennes ou les organisations avec des utilisateurs italiens, la pile technique conforme au Garante pour l'utilisation de l'IA comprend :
Filtrage PII avant soumission à l'IA : L'extension Chrome ou l'intégration du serveur MCP crée une couche technique qui intercepte la soumission de l'invite d'IA et supprime les données personnelles italiennes avant qu'elles n'atteignent le modèle d'IA. Cela satisfait à la préoccupation centrale du Garante concernant le "traitement illégal des données des utilisateurs italiens" — si les PII italiennes sont supprimées avant la soumission, les données personnelles italiennes n'atteignent pas le système d'IA.
Types d'entités spécifiques à l'Italie : La détection des PII italiennes doit couvrir :
- Codice fiscale (code fiscal italien — identifiant national alphanumérique de 16 caractères)
- Partita IVA (numéro de TVA italien — identifiant d'entreprise de 11 chiffres)
- Carta d'identità (carte d'identité nationale italienne)
- Tessera sanitaria (carte de santé italienne, incorporant le codice fiscale)
- Formats IBAN italiens
Les outils PII standard sans types d'entités italiennes manquent le codice fiscale — l'identifiant national principal italien — et d'autres identifiants spécifiques à la juridiction.
Trace d'audit pour démonstration réglementaire : Les demandes d'inspection du Garante exigent régulièrement la démonstration que l'utilisation de l'IA était accompagnée de contrôles techniques appropriés. Une trace d'audit centralisée montrant que le filtrage PII avant soumission a été appliqué pour les données des utilisateurs italiens fournit la preuve de cette démonstration.
Documentation DPA : Pour les outils d'IA utilisés en tant que sous-traitants de données : un document d'examen DPA complété pour chaque fournisseur d'IA, y compris l'évaluation des dispositions d'utilisation des données d'entraînement.
Domaines d'intervention spécifiques du Garante
Le programme d'application du Garante a des domaines spécifiques d'intervention :
Santé : Le Garante considère les données de santé italiennes comme à haut risque en vertu de l'article 9 du RGPD. Tout outil d'IA traitant les données des patients italiens nécessite une base légale explicite, un DPA et des mesures techniques renforcées. Le Garante a spécifiquement signalé les outils de diagnostic IA et l'IA de documentation clinique comme nécessitant des DPIA.
Services financiers : Le profilage des consommateurs utilisant l'IA a reçu l'examen du Garante. Les banques et institutions financières italiennes utilisant l'IA pour des décisions de crédit ou la personnalisation du marketing doivent réaliser des DPIA et mettre en œuvre des contrôles d'explicabilité.
Ressources humaines et emploi : Les outils d'IA pour le recrutement, l'évaluation des performances et le suivi des employés nécessitent des DPIA en vertu de la loi italienne et des directives du Garante sur le suivi des employés (Provvedimento 2023).
Éducation : Les outils d'IA dans les établissements éducatifs italiens ont des exigences supplémentaires suite aux directives du Garante sur la protection des données des étudiants (2024).
Pour les organisations dans ces secteurs, la conformité au Garante pour les déploiements d'IA nécessite une documentation spécifique au secteur au-delà des exigences générales.
Sources :