anonym.legal

By · Last updated 2026-06-05

Retour au blogGDPR & Conformité

Garante Italie : L'APD qui a interdit ChatGPT...

Le Garante d'Italie a infligé une amende de 15 millions d'euros à OpenAI en décembre 2024 et a temporairement interdit ChatGPT en 2023.

June 5, 20269 min de lecture
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Garante Italie : Conformité technique RGPD et données personnelles

Mis à jour pour 2026

Le régulateur le plus actif d'Italie

Le Garante per la protezione dei dati personali est l'autorité de protection des données en Italie. C'est le régulateur le plus actif de l'UE en matière d'IA.

Deux décisions marquent son approche. En mars 2023, le Garante a ordonné à OpenAI de suspendre ChatGPT pour les utilisateurs en Italie. L'autorité n'a trouvé aucune base légale valide pour le traitement des données. Elle a aussi constaté l'absence de vérification de l'âge des mineurs. OpenAI a alors mis en place des contrôles d'âge, un opt-out pour l'entraînement et une notice de confidentialité en italien. Le service a repris en avril 2023.

En décembre 2024, l'autorité a infligé une amende de 15 millions d'euros à OpenAI. Trois manquements ont motivé la sanction : aucune base légale valide, aucune information claire sur l'utilisation des données pour l'entraînement, et aucune vérification de l'âge des mineurs.

Tout outil d'IA qui traite des données personnelles d'utilisateurs en Italie doit respecter ces mêmes exigences.

Ce qui a failli dans l'affaire OpenAI

L'amende de 15 millions d'euros a identifié des lacunes précises. Chacune correspond à un contrôle technique manquant.

Base légale pour les données d'entraînement : Le Garante a rejeté l'« intérêt légitime » comme base légale pour l'entraînement sur des données utilisateurs. L'entraînement d'une IA sur des données personnelles requiert un consentement explicite ou une base contractuelle. L'« intérêt légitime » seul ne suffit pas.

Transparence : Les utilisateurs n'ont pas été informés de l'utilisation de leurs données pour l'entraînement. Aucun opt-out clair n'était disponible.

Vérification de l'âge : Les mineurs pouvaient accéder à ChatGPT sans aucun contrôle d'âge. Le Garante considère cela comme une exigence impérative pour les outils d'IA grand public.

Implication principale : Tout système d'IA qui reçoit des saisies d'utilisateurs en Italie doit disposer d'une base légale RGPD documentée. L'« intérêt légitime » représente un risque élevé.

Les identifiants nationaux italiens

L'Italie utilise des formats d'identifiants uniques. Les outils génériques les détectent souvent mal. Votre système de détection doit couvrir les trois types.

Codice Fiscale

Le codice fiscale est un identifiant national alphanumérique de 16 caractères. Il encode les consonnes du nom de famille, les initiales du prénom, la date de naissance, le sexe et la commune de naissance. Le dernier caractère est une clé de contrôle.

Une analyse technique du Garante de 2024 a révélé que les outils NLP génériques ne détectent le codice fiscale que dans 67 % des cas. Le problème principal : les outils qui reconnaissent le schéma à 16 caractères mais ignorent l'algorithme de clé de contrôle génèrent des faux positifs. Ceux qui ne mettent pas en œuvre les règles d'extraction des noms ne peuvent pas valider les codes existants.

Une bonne détection nécessite trois choses :

  • Implémentation complète de l'algorithme de caractère de contrôle
  • Règles d'extraction pour le nom de famille et le prénom
  • Tests sur des données locales réelles

Partita IVA

La partita IVA est le numéro de TVA professionnel à 11 chiffres en Italie. Le dernier chiffre est une clé de contrôle. Ce numéro figure dans les factures, les contrats et la correspondance commerciale. Votre outil doit exécuter l'algorithme de clé de contrôle, pas seulement reconnaître un schéma à 11 chiffres.

Tessera Sanitaria

La carte santé (tessera sanitaria) intègre le codice fiscale. Les données de santé sont une catégorie particulière au sens de l'article 9 du RGPD. Cela élève le niveau de protection requis.

Exigences du Garante pour les outils d'IA

Les orientations du Garante couvrent trois domaines.

Avant le traitement par l'IA : Les données personnelles doivent être identifiées et supprimées avant d'entrer dans un système d'IA. Pour les outils d'IA utilisés en Italie — extensions de navigateur et serveurs MCP inclus — cela signifie retirer les codici fiscali, les partite IVA et les données de santé des invites avant leur envoi. Consultez notre guide de conformité pour savoir comment documenter cette étape.

Pour l'entraînement de l'IA : Une base légale explicite est requise. Le Garante préfère le consentement pour l'entraînement sur du contenu utilisateur. L'« intérêt légitime » exige un test de mise en balance documenté. Ce test doit démontrer que l'objectif d'entraînement ne l'emporte pas sur les droits des utilisateurs.

Pour les sorties de l'IA : Les systèmes qui génèrent du contenu sur des personnes réelles doivent traiter le risque d'informations fausses. Le Garante a identifié la fabrication de données personnelles comme un risque technique distinct à traiter.

L'écart de 63 % chez les entreprises

Une enquête du Garante de 2024 a révélé que 63 % des entreprises italiennes n'ont pas de politique de gouvernance de l'IA conforme au RGPD. L'autorité en a fait un axe actif de ses contrôles.

Une politique sans contrôles techniques est difficile à défendre. Le Garante cible les entreprises qui font confiance à leurs employés pour s'autoréguler. Notre présentation de la sécurité montre comment les contrôles automatisés renforcent les politiques écrites.

Quatre contrôles pour la conformité Garante

1. Filtrage des données personnelles avant envoi

Supprimer le codice fiscale, la partita IVA et la tessera sanitaria avant que les saisies n'atteignent un modèle d'IA. C'est la mesure technique centrale que la logique du Garante exige.

2. NER en langue italienne

Utiliser un modèle de reconnaissance d'entités nommées entraîné sur des textes italiens, par exemple spaCy it_core_news. Les modèles génériques entraînés sur l'anglais manquent les schémas de noms italiens. Consultez notre guide de détection PII multilingue pour le choix du modèle.

3. Documentation de la base légale

Pour chaque outil d'IA utilisé : noter la base légale. Si un entraînement est prévu, documenter le test de mise en balance. Conserver ces documents de façon à ce que les auditeurs les trouvent rapidement.

4. Piste d'audit

Enregistrer que le filtrage a été exécuté, quels types d'entités ont été trouvés et ce qui a été supprimé. Cela fournit aux inspecteurs les preuves nécessaires sans examen manuel long.

Sources

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.