anonym.legal
Retour au blogGDPR & Conformité

Garante Italie : L'APD qui a interdit ChatGPT — Ce que la conformité de l'IA et des PII en Italie exige

Le Garante d'Italie a infligé une amende de 15 millions d'euros à OpenAI en décembre 2024 et a temporairement interdit ChatGPT en 2023. 63 % des entreprises italiennes manquent de politiques de gouvernance des données sur l'IA. Exigences techniques de détection du codice fiscale et de la partita IVA.

March 7, 20269 min de lecture
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Le Garante per la protezione dei dati personali (Garante) d'Italie est le régulateur de la vie privée en matière d'IA le plus agressif de l'UE. En mars 2023, le Garante est devenu la première autorité de protection des données au monde à interdire temporairement ChatGPT en Italie — forçant OpenAI à mettre en œuvre des mesures explicites de vérification d'âge et de transparence avant que le service ne soit rétabli. En décembre 2024, le Garante a infligé une amende de 15 millions d'euros à OpenAI pour traitement illégal des données des utilisateurs italiens.

Pour les organisations utilisant des outils d'IA en Italie — ou déployant des systèmes d'IA susceptibles de traiter des données personnelles italiennes — le modèle d'application du Garante fixe les attentes techniques les plus exigeantes de l'UE.

L'affaire OpenAI/ChatGPT : Ce que le Garante a trouvé

L'amende de 15 millions d'euros infligée à OpenAI par le Garante en décembre 2024 était basée sur plusieurs violations :

Échec de la vérification d'âge : ChatGPT était accessible aux mineurs italiens sans vérification d'âge adéquate. Le Garante a constaté qu'OpenAI n'avait pas mis en œuvre de mesures raisonnables pour prévenir l'utilisation par des moins de 13 ans.

Traitement illégal des données d'entraînement : Le Garante a constaté que l'utilisation par OpenAI des données des utilisateurs italiens pour entraîner ChatGPT 3.5/4 manquait de base légale adéquate. La revendication d'"intérêt légitime" a été rejetée — le Garante a trouvé que l'utilisation de données personnelles pour entraîner des modèles d'IA commerciaux nécessite soit un consentement, soit une base légale plus claire que celle généralement invoquée par les fournisseurs de formation de LLM.

Manque de transparence : OpenAI n'a pas informé de manière adéquate les utilisateurs italiens sur la manière dont leurs données étaient utilisées pour l'entraînement, ni fourni de mécanismes d'opt-out accessibles.

Implications pratiques : Tout système d'IA traitant des données personnelles italiennes — que ce soit pour l'entraînement, le fine-tuning ou l'inférence sur les entrées des utilisateurs italiens — doit avoir une base légale documentée conforme au RGPD selon les normes du Garante qui va au-delà de simples revendications d'"intérêt légitime". Le consentement ou l'exécution d'un contrat spécifique est généralement requis.

Identifiants nationaux italiens

Codice fiscale : Le codice fiscale italien est un code fiscal alphanumérique de 16 caractères — l'un des identifiants nationaux les plus riches en informations de l'UE. Structure :

  • Caractères 1-3 : Consonnes du nom de famille (règles d'extraction spécifiques)
  • Caractères 4-6 : Consonnes et voyelles du prénom (règles d'extraction spécifiques)
  • Caractères 7-8 : Les deux derniers chiffres de l'année de naissance
  • Caractère 9 : Lettre représentant le mois de naissance (A=janvier, B=février, C=mars, D=avril, E=mai, H=juin, L=juillet, M=août, P=septembre, R=octobre, S=novembre, T=décembre)
  • Caractères 10-11 : Jour de naissance (hommes : numéro du jour ; femmes : jour + 40)
  • Caractères 12-15 : Code Belfiore (4 caractères) de la commune ou du pays de naissance
  • Caractère 16 : Caractère de contrôle (lettre, calculé à l'aide d'un algorithme spécifique)

Le codice fiscale encode les sons initiaux du nom de famille, les sons initiaux du prénom, la date de naissance, le sexe (via l'encodage du jour de naissance) et le lieu de naissance. C'est sans doute l'identifiant national le plus personnellement identifiable de l'UE par son contenu informatif.

Précision de détection : Les outils NLP génériques détectent le codice fiscale avec seulement 67 % de précision (analyse technique du Garante 2024). Les échecs : les outils qui correspondent à des motifs alphanumériques de 16 caractères sans mettre en œuvre l'algorithme de caractère de contrôle ne peuvent pas distinguer les codici fiscali valides des faux positifs ; les outils qui n'implémentent pas les règles d'extraction du nom/prénom ne peuvent pas valider les numéros existants.

Partita IVA : Le numéro de TVA des entreprises italiennes à 11 chiffres, avec un chiffre de contrôle calculé à l'aide d'un algorithme de somme pondérée modulo-10. Le dernier chiffre est le chiffre de contrôle. La partita IVA apparaît dans tous les documents commerciaux italiens — factures, contrats et correspondance commerciale.

Tessera sanitaria : La carte de santé italienne — combine le codice fiscale avec des données de santé supplémentaires. Le format inclut le codice fiscale comme composant.

Exigences du Garante pour les outils d'IA

Les recommandations du Garante sur les "mesures techniques et organisationnelles" pour les systèmes d'IA qui traitent des données personnelles italiennes :

Avant le traitement par l'IA : Les PII doivent être identifiés et soit supprimés, soit pseudonymisés avant d'être saisis dans les systèmes d'IA. Le contexte de l'extension Chrome/intégration IA du Garante : tout outil d'IA recevant des données personnelles italiennes (noms, codici fiscali, données de santé) dans des invites doit avoir ces identifiants supprimés avant transmission.

Pour l'entraînement de l'IA : Une base légale explicite et documentée est requise. Le consentement est la base préférée du Garante pour l'entraînement sur le contenu généré par les utilisateurs italiens. "L'intérêt légitime" nécessite un test d'équilibre documenté démontrant que l'objectif de formation ne dépasse pas les intérêts de protection des données des utilisateurs italiens.

Pour les sorties de l'IA : Les systèmes générant des sorties concernant des individus italiens doivent mettre en œuvre des mesures de protection contre l'hallucination de données personnelles (génération de fausses informations attribuées à de vraies personnes) — le Garante a signalé cela comme un risque spécifique nécessitant une atténuation technique.

63 % des entreprises italiennes manquent de politiques de gouvernance des données sur l'IA conformes au RGPD (Garante 2024). Pour les organisations déployant des outils d'IA en Italie : la détection du codice fiscale et de la partita IVA avec validation complète du caractère de contrôle, la NER en langue italienne (spaCy it_core_news), et une base légale documentée conforme au RGPD pour tout entraînement d'IA sur des données personnelles italiennes sont les exigences de base pour la conformité au Garante.

Sources :

Articles connexes

GDPR & Conformité

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Conformité

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Conformité

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités