CNIL Prancis: Kepatuhan Teknis GDPR

CNIL Prancis: Kepatuhan Teknis GDPR

Regulator Privasi Paling Ketat di Prancis

Badan data Prancis adalah CNIL. Ia menetapkan aturan privasi paling tepat di EU. Sebagian besar regulator EU menulis panduan yang luas. CNIL melangkah lebih jauh. Ia menerbitkan spesifikasi teknis yang presisi yang disebut recommandations. Ini mendefinisikan seperti apa kepatuhan GDPR yang nyata.

Regulator EU lain sering menyalin karya CNIL. Teks-teks utama termasuk Guide pratique de l'anonymisation 2023 dan panduan AI 2024.

Angka-angka menunjukkan badan ini aktif. Ia menangani 16.433 keluhan pada 2023. Itu 43% lebih banyak dari 2022. Ia telah mengeluarkan sekitar €150 juta dalam denda GDPR sejak penegakan dimulai.

Pelatihan AI: Enam Jenis Catatan yang Perlu Dibersihkan

Panduan AI CNIL 2024 berlaku secara luas. Ini mencakup setiap kelompok yang melatih AI pada catatan pribadi Prancis. Ini juga berlaku untuk mereka yang melayani pengguna Prancis dengan alat AI.

Agensi mencantumkan enam jenis catatan yang perlu dibersihkan sebelum pelatihan AI:

1. Identifiants directs (ID langsung): Nama, alamat, nomor ID. Hapus atau ganti sebelum pelatihan.
2. Identifiants quasi-directs (quasi-ID): Kelompok sifat yang memungkinkan re-identifikasi. Terapkan pemeriksaan k-anonymity.
3. Données sensibles (tipe khusus): Catatan kesehatan, biometrik, politik, dan keyakinan. Isolasi dengan kontrol tambahan.
4. Données comportementales (catatan penggunaan): Riwayat penelusuran dan pola penggunaan. Gabungkan atau samarkan ini.
5. Données inférées (sifat yang disimpulkan): Sinyal yang diturunkan AI dari penggunaan. Terapkan batasan tujuan.
6. Données relatives aux mineurs (catatan anak-anak): Catatan apa pun yang terkait dengan orang di bawah 15 tahun. Jalankan pemeriksaan usia dan gunakan scrubbing yang kuat.

Menggunakan LLM yang dilatih pada konten yang diambil? Anda memerlukan bukti tertulis. Tunjukkan bahwa catatan pelatihan Anda telah ditinjau dan dibersihkan. Lihat panduan kepatuhan GDPR kami untuk detail cakupan.

Panduan Anonimisasi: Aturan Inti

Panduan 2023 adalah teks paling rinci di EU tentang topik ini. Ini menetapkan standar untuk apa yang dianggap benar-benar anonim.

Teknik yang disetujui:

• k-anonymity — setiap catatan terlihat seperti setidaknya k-1 catatan lainnya
• l-diversity — sifat sensitif bervariasi dalam setiap kelompok
• Privasi diferensial — noise ditambahkan ke statistik output
• Pseudonimisasi — langkah pengurangan risiko, bukan anonimisasi sejati

Catatan yang diperlukan:

Untuk setiap aktivitas yang menggunakan scrubbing, CNIL mengharapkan fiche d'anonymisation (catatan anonimisasi). Harus mencakup:

• Teknik yang digunakan dan pengaturan utamanya (nilai k, nilai epsilon)
• Hasil pemeriksaan risiko re-identifikasi
• Metode validasi (pengujian atau tinjauan eksternal)
• Penanggung jawab dan tanggal tinjauan

Pemeriksaan risiko re-identifikasi:

Sebelum menandai catatan sebagai anonim, jalankan pemeriksaan formal. Tanyakan: bisakah seseorang yang termotivasi melakukan re-identifikasi ini? Lihat kumpulan data tambahan apa yang ada. Pertimbangkan konteks penuh.

PII Prancis: Apa yang Harus Ditemukan Alat Anda

Aturan Prancis mewajibkan cakupan PII berbahasa Prancis. Alat Anda harus mendeteksi tipe ID khusus Prancis.

ID utama yang perlu dicakup:

• NIR: 15 digit (13 basis + kunci 2 digit). Ini adalah Nomor Jaminan Sosial Prancis.
• Nomor carte vitale: ID kartu asuransi kesehatan.
• SIRET/SIREN: ID bisnis yang ditemukan dalam file pribadi.
• Numéro d'ordre professionnel: Nomor registri untuk dokter, pengacara, dan akuntan.
• CNI (Carte nationale d'identité): Nomor kartu identitas nasional Prancis.

Model NER Prancis harus menangani pola nama Prancis. Ini termasuk nama majemuk (Jean-Pierre), partikel (de, du, des), dan nama keluarga dengan tanda hubung. Lihat panduan deteksi PII multibahasa kami untuk cara mencakup semua lokal.