anonym.legal

By · Last updated 2026-06-05

Torna al BlogGDPR e Conformità

CNIL Francia: conformità tecnica GDPR

La CNIL ha gestito 16.433 reclami nel 2023 e ha emesso sanzioni per oltre 150 milioni di euro dal 2019. La sua guida sull'AI impone un'anonimizzazione documentata per i dati di addestramento.

June 5, 20267 min di lettura
CNIL FranceFrench GDPRAI anonymizationFrench data protectionprivacy by design

CNIL Francia: conformità tecnica GDPR

Il garante della privacy più rigoroso in Francia

L'autorità francese per la protezione dei dati è la CNIL. Fissa le norme sulla privacy più precise dell'UE. La maggior parte dei garanti europei pubblica orientamenti di carattere generale. La CNIL va oltre. Pubblica specifiche tecniche precise denominate recommandations. Queste definiscono concretamente cosa significa conformità al GDPR.

Altri garanti UE spesso si ispirano al lavoro della CNIL. Tra i testi chiave figurano la Guide pratique de l'anonymisation del 2023 e gli orientamenti sull'AI del 2024.

I dati attestano il dinamismo dell'autorità. Nel 2023 ha gestito 16.433 reclami. Più del 43% rispetto al 2022. Ha emesso sanzioni GDPR per circa 150 milioni di euro dall'avvio dell'enforcement.

Addestramento AI: sei categorie di dati da depurare

Gli orientamenti AI della CNIL del 2024 hanno un'applicazione ampia. Riguardano qualsiasi organizzazione che addestra AI su dati personali francesi. Si applicano anche a chi offre strumenti AI agli utenti francesi.

L'autorità elenca sei categorie di dati che devono essere depurate prima dell'addestramento AI:

  1. Identifiants directs (identificatori diretti): nomi, indirizzi, numeri di documento. Rimuoverli o sostituirli prima dell'addestramento.
  2. Identifiants quasi-directs (quasi-identificatori): combinazioni di caratteristiche che consentono la re-identificazione. Applicare controlli di k-anonimità.
  3. Données sensibles (categorie speciali): dati sanitari, biometrici, politici e religiosi. Isolarli con controlli aggiuntivi.
  4. Données comportementales (dati comportamentali): cronologia di navigazione e pattern d'uso. Aggregarli o mascherarli.
  5. Données inférées (dati inferiti): segnali derivati dall'AI in base all'utilizzo. Applicare limitazioni di finalità.
  6. Données relatives aux mineurs (dati di minori): qualsiasi dato riferito a persone con meno di 15 anni. Eseguire controlli sull'età e applicare una depurazione rigorosa.

Usi LLM addestrati su contenuti raccolti dal web? Servono prove documentate. Dimostra che i dati di addestramento sono stati esaminati e depurati. Consulta la nostra guida alla conformità GDPR per i dettagli sull'ambito di applicazione.

La guida sull'anonimizzazione: regole fondamentali

La guida del 2023 è il testo più dettagliato dell'UE su questo argomento. Fissa il parametro di riferimento per ciò che conta come veramente anonimo.

Tecniche approvate:

  • k-anonimità — ogni record è indistinguibile da almeno k-1 altri
  • l-diversity — i dati sensibili variano all'interno di ogni gruppo
  • Privacy differenziale — rumore aggiunto alle statistiche di output
  • Pseudonimizzazione — misura di riduzione del rischio, non vera anonimizzazione

Documentazione richiesta:

Per ogni attività che prevede la depurazione, la CNIL si aspetta una fiche d'anonymisation (scheda di anonimizzazione). Deve includere:

  • La tecnica utilizzata e i relativi parametri chiave (valore k, valore epsilon)
  • Il risultato di una verifica del rischio di re-identificazione
  • Il metodo di validazione (test o revisione esterna)
  • Il responsabile e la data di revisione

Verifica del rischio di re-identificazione:

Prima di classificare i dati come anonimi, esegui una verifica formale. Chiediti: un soggetto motivato potrebbe re-identificare questi dati? Considera quali dataset ausiliari esistono. Valuta il contesto complessivo.

Dati personali francesi: cosa devono rilevare i tuoi strumenti

Le norme francesi richiedono una copertura dei dati personali in lingua francese. I tuoi strumenti devono rilevare i tipi di identificatori specifici del contesto francese.

Identificatori chiave da coprire:

  • NIR: 15 cifre (13 base + chiave a 2 cifre). È il numero di Previdenza Sociale francese.
  • Numero della carte vitale: codice della tessera sanitaria.
  • SIRET/SIREN: codici aziendali presenti nei fascicoli personali.
  • Numéro d'ordre professionnel: numeri di registro per medici, avvocati e commercialisti.
  • CNI (Carte nationale d'identité): numero della carta d'identità nazionale francese.

I modelli NER in lingua francese devono gestire i pattern dei nomi francesi. Questi includono nomi composti (Jean-Pierre), particelle (de, du, des) e cognomi con trattino. Consulta la nostra guida al rilevamento PII multilingue per sapere come coprire tutte le varianti locali.

Enforcement: cosa viene sanzionato

Le sanzioni dell'autorità seguono uno schema preciso. Prendono di mira i controlli tecnici mancanti. La sola carenza procedurale è raramente il problema principale.

Clearview AI — sanzione da 20 milioni di euro (2022): L'azienda ha trattato dati biometrici di cittadini francesi senza base giuridica. I dati erano stati raccolti da fonti web pubbliche. Il caso ha confermato: la raccolta massiva dal web per l'addestramento AI richiede una base giuridica esplicita.

TikTok — indagine avviata nel 2024: Incentrata su sistemi che potrebbero inferire categorie speciali dai segnali comportamentali. Questo approccio è ora il riferimento europeo per gli audit AI.

Revisione dell'AI generativa (2024–2025): L'autorità ha esaminato i fornitori di LLM operanti in Francia. Si è concentrata sulla provenienza dei contenuti di addestramento. I fornitori privi di documentazione adeguata hanno dovuto aggiungere controlli.

Quattro misure per la conformità CNIL

Gestisci dati personali francesi? Devi avere quattro elementi in atto.

1. Una scheda di anonimizzazione per ogni attività

Ogni attività che prevede la depurazione necessita di una propria scheda. Indica la tecnica, i relativi parametri, un risultato del rischio e una data di revisione.

2. Log di pre-elaborazione per l'AI

Registra quale strumento di rilevamento PII hai utilizzato. Indica quali tipi di entità ha individuato. Documenta cosa è stato rimosso o mascherato. Conserva questi log pronti per gli audit.

3. Copertura PII in lingua francese

Verifica che il tuo strumento individui i numeri NIR, carte vitale e CNI. Testa il tuo modello NER in francese su nomi francesi reali. Documenta eventuali lacune. Registra i controlli che hai adottato per colmarle.

4. Documentazione sulla provenienza dei contenuti di addestramento

Per i contenuti raccolti dal web: documenta la verifica della depurazione alla fonte. Per i dati degli utenti: documenta il processo di depurazione degli utenti. La nostra panoramica sulla conformità in materia di sicurezza mostra come questo si inserisce in uno stack di salvaguardie più ampio.

Le organizzazioni con una buona documentazione superano gli audit rapidamente. Costruisci il tuo fascicolo ora. Non aspettare un'ispezione per cominciare.

Fonti

Articoli Correlati

GDPR e Conformità

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR e Conformità

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR e Conformità

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.