Le Garante italien : IA et conformité aux données personnelles
Mis à jour pour 2026
Le bilan de l'application du Garante
L'autorité italienne de protection des données est le Garante per la protezione dei dati personali. C'est le régulateur IA le plus actif de l'UE. Deux actions majeures définissent son approche.
Mars 2023 — Interdiction de ChatGPT : Le Garante a ordonné à OpenAI de suspendre ChatGPT pour les utilisateurs en Italie. L'autorité n'a trouvé aucune base légale valide pour le traitement des données. Elle n'a pas non plus trouvé de vérification d'âge pour les mineurs. OpenAI s'est conformé. Il a ajouté des contrôles d'âge, une option de désinscription pour l'entraînement et une mention de confidentialité en italien. Le service a repris en avril 2023.
Décembre 2024 — Amende de 15 M€ : Le Garante a infligé à OpenAI une amende de 15 millions d'euros. Trois manquements ont causé cette amende. Premièrement : aucune base légale valide. Deuxièmement : manque de transparence sur l'utilisation pour l'entraînement. Troisièmement : pas de vérification d'âge pour les mineurs.
Enquêtes en cours (2024–2025) : L'autorité a ouvert des enquêtes formelles contre Replika, Worldcoin et plusieurs startups d'IA.
L'Italie est la juridiction à plus haut risque dans l'UE pour le déploiement d'outils IA. Tout outil qui traite des données personnelles sans mesures de conformité claires crée un risque juridique. Agissez tôt.
Ce que le Garante exige
Les actions de contrôle clarifient ce que les organisations doivent faire lorsqu'elles utilisent des outils IA.
Base légale : Chaque outil IA nécessite une base légale documentée au titre de l'article 6 du RGPD. L'autorité doute de l'« intérêt légitime » pour l'entraînement IA. Le consentement explicite ou la nécessité contractuelle sont les fondements privilégiés.
Accords de traitement des données : Les organisations utilisant des outils IA tiers comme sous-traitants doivent avoir des DPA conformes au RGPD. L'autorité a vérifié si les DPA des fournisseurs couvraient les restrictions d'utilisation des données. Les lacunes attirent les contrôles.
Contrôles des entrées : L'attention de l'autorité sur le traitement illicite exige des contrôles des entrées. Les filtres techniques qui suppriment les données personnelles avant qu'elles n'atteignent un modèle IA règlent le problème central. Voir notre guide de conformité pour la documentation requise.
Vérification d'âge : Les systèmes IA accessibles aux consommateurs doivent vérifier l'âge des mineurs. Cette règle découle directement de l'interdiction de ChatGPT.
Mentions claires : Les avis de confidentialité doivent être en italien. Ils doivent expliquer comment le système IA utilise les données personnelles, y compris leur utilisation pour l'entraînement.
L'écart de 63 %
Une enquête Garante 2024 a révélé que 63 % des entreprises utilisant des outils IA n'ont pas de politiques d'utilisation de l'IA conformes au RGPD. Cet écart s'élargit à mesure que l'autorité développe son programme IA.
Les inscriptions de DPO ont augmenté de 340 % après l'interdiction de ChatGPT. Les organisations ont reconnu que le déploiement IA sans DPO créait une exposition juridique. Mais un DPO seul ne suffit pas. Des politiques écrites sans contrôles techniques sont difficiles à appliquer. L'autorité cible précisément cet écart : les entreprises qui s'en remettent à l'autodiscipline des employés. Notre vue d'ensemble de la protection montre comment les contrôles soutiennent les politiques.
Mise en œuvre technique
Pour les organisations avec des utilisateurs en Italie, la configuration technique alignée sur le Garante comprend les éléments suivants.
Filtrage PII avant soumission : Une extension Chrome ou un serveur MCP s'intercale entre l'utilisateur et le modèle IA. Il supprime les données personnelles avant qu'elles n'atteignent le modèle. Pas de données personnelles en entrée signifie pas de traitement illicite. C'est la solution clé.
Types d'entités locaux : Les outils PII standard manquent les types d'identifiants locaux. Votre outil doit détecter :
- Codice fiscale — code d'identification national à 16 caractères
- Partita IVA — numéro d'entreprise à 11 chiffres
- Carta d'identità — carte d'identité nationale
- Tessera sanitaria — carte de santé qui intègre le codice fiscale
- Formats IBAN italiens
Le codice fiscale est l'identifiant national principal. L'omettre laisse une lacune critique. Notre guide des entités offre les détails de couverture complète. Testez avec de vraies données locales.
Piste d'audit : Les inspections du Garante demandent des preuves de contrôles techniques. Un journal centralisé montrant que le filtrage avant soumission a été appliqué fournit les éléments nécessaires.
Documentation DPA : Pour chaque fournisseur IA utilisé comme sous-traitant : conservez une revue DPA complétée. Notez les restrictions d'utilisation et les conditions d'entraînement. Gardez ces documents facilement accessibles. Notre FAQ répond aux questions courantes sur les DPA.
Domaines sectoriels prioritaires
Le Garante cible des secteurs spécifiques.
Santé : Les données de santé sont à haut risque en vertu de l'article 9 du RGPD. Tout outil IA traitant des dossiers patients nécessite une base légale explicite, un DPA et des mesures de protection renforcées. Les outils IA de diagnostic et de documentation clinique requièrent des AIPD.
Services financiers : Le profilage des consommateurs par l'IA est scruté. Les banques et institutions financières utilisant l'IA pour le crédit ou la personnalisation doivent mener des AIPD et mettre en place des contrôles d'explicabilité.
RH : Les outils IA pour le recrutement, les évaluations et la surveillance des employés requièrent des AIPD. Le Garante a publié des directives spécifiques sur la surveillance des employés en 2023.
Éducation : Les outils IA dans les établissements scolaires sont soumis à des exigences supplémentaires selon les directives Garante 2024 sur les données des élèves.
Les organisations dans ces secteurs ont besoin d'une documentation spécifique au secteur. Lisez nos études de cas pour savoir comment les pairs gèrent la conformité. La perspective de notre fondateur est disponible dans notre déclaration du fondateur. Nos plans et tarifs couvrent tous les secteurs.