anonym.legal

By · Last updated 2026-06-05

Kembali ke BlogGDPR & Pematuhan

CNIL Perancis: Pematuhan Teknikal GDPR

CNIL memproses 16,433 aduan pada tahun 2023 dan mendenda lebih 150 juta euro sejak 2019. Panduan AI-nya mewajibkan tanpa nama yang didokumentasikan untuk data latihan.

June 5, 20267 min baca
CNIL FranceFrench GDPRAI anonymizationFrench data protectionprivacy by design

CNIL Perancis: Pematuhan Teknikal GDPR

Pengawal Privasi Perancis yang Paling Ketat

Badan data Perancis adalah CNIL. Ia menetapkan peraturan privasi EU yang paling tepat. Kebanyakan pengawal selia EU menulis panduan yang luas. CNIL pergi lebih jauh. Ia menerbitkan spesifikasi teknikal yang tepat yang dipanggil recommandations. Ini mendefinisikan rupa pematuhan GDPR yang sebenar.

Pengawal selia EU lain sering meniru kerja CNIL. Teks utama termasuk Guide pratique de l'anonymisation 2023 dan panduan AI 2024.

Angka-angka menunjukkan agensi itu aktif. Ia mengendalikan 16,433 aduan pada tahun 2023. Itu adalah 43% lebih banyak daripada 2022. Ia telah mengeluarkan kira-kira 150 juta euro dalam denda GDPR sejak penguatkuasaan bermula.

Latihan AI: Enam Jenis Rekod untuk Dibersihkan

Panduan AI CNIL 2024 terpakai secara luas. Ia meliputi mana-mana kumpulan yang melatih AI pada rekod peribadi Perancis. Ia juga terpakai kepada mereka yang melayani pengguna Perancis dengan alat AI.

Agensi menyenaraikan enam jenis rekod yang perlu dibersihkan sebelum latihan AI:

  1. Identifiants directs (ID langsung): Nama, alamat, nombor ID. Alih keluar atau gantikan ini sebelum latihan.
  2. Identifiants quasi-directs (ID kuasi): Kumpulan ciri yang membolehkan pengecaman semula. Gunakan semakan k-anonymity.
  3. Donnees sensibles (jenis khas): Rekod kesihatan, biometrik, politik, dan kepercayaan. Asingkan dengan kawalan tambahan.
  4. Donnees comportementales (rekod penggunaan): Sejarah penelusuran dan corak penggunaan. Kumpulkan atau tutup ini.
  5. Donnees inferees (sifat yang disimpulkan): Isyarat yang diperoleh AI daripada penggunaan. Gunakan had tujuan.
  6. Donnees relatives aux mineurs (rekod kanak-kanak): Mana-mana rekod yang dikaitkan dengan orang di bawah 15 tahun. Jalankan semakan umur dan gunakan pembersihan yang kuat.

Menggunakan LLM yang dilatih pada kandungan yang dikelan? Anda memerlukan bukti bertulis. Tunjukkan bahawa rekod latihan anda disemak dan dibersihkan. Lihat panduan pematuhan GDPR kami untuk butiran skop.

Panduan Tanpa Nama: Peraturan Teras

Panduan 2023 adalah teks EU yang paling terperinci mengenai topik ini. Ia menetapkan bar untuk apa yang dianggap benar-benar tanpa nama.

Teknik yang diluluskan:

  • k-anonymity -- setiap rekod kelihatan seperti sekurang-kurangnya k-1 yang lain
  • l-diversity -- sifat sensitif berbeza-beza dalam setiap kumpulan
  • Privasi pembezaan -- hingar ditambah kepada statistik output
  • Pseudonimisasi -- langkah pengurangan risiko, bukan tanpa nama yang sebenar

Rekod yang diperlukan:

Untuk setiap aktiviti yang menggunakan pembersihan, CNIL mengharapkan fiche d'anonymisation (rekod tanpa nama). Ia mesti menyertakan:

  • Teknik yang digunakan dan tetapan utamanya (nilai k, nilai epsilon)
  • Keputusan semakan risiko pengecaman semula
  • Kaedah pengesahan (ujian atau semakan luaran)
  • Orang yang bertanggungjawab dan tarikh semakan

Semakan risiko pengecaman semula:

Sebelum menandakan rekod sebagai tanpa nama, jalankan semakan formal. Tanya: bolehkah orang yang bermotivasi mengenal semula ini? Lihat set data tambahan yang wujud. Pertimbangkan konteks penuh.

PII Perancis: Apa yang Mesti Ditemui oleh Alat Anda

Peraturan Perancis memerlukan liputan PII berbahasa Perancis. Alat anda mesti mengesan jenis ID khusus Perancis.

ID utama untuk diliputi:

  • NIR: 15 digit (13 asas + kunci 2 digit). Ini adalah Nombor Keselamatan Sosial Perancis.
  • Nombor carte vitale: ID kad insurans kesihatan.
  • SIRET/SIREN: ID perniagaan yang terdapat dalam fail peribadi.
  • Numero d'ordre professionnel: Nombor pendaftaran untuk doktor, peguam, dan akauntan.
  • CNI (Carte nationale d'identite): Nombor kad pengenalan nasional Perancis.

Model NER Perancis mesti mengendalikan corak nama Perancis. Ini termasuk nama majmuk (Jean-Pierre), partikel (de, du, des), dan nama keluarga bertanda sengkang. Lihat panduan pengesanan PII berbilang bahasa kami untuk cara meliputi semua lokal.

Penguatkuasaan: Apa yang Didenda

Denda agensi mengikut corak yang jelas. Ia menyasarkan kawalan teknikal yang hilang. Proses yang lemah sahaja jarang menjadi isu utama.

Clearview AI -- denda 20 juta euro (2022): Firma itu memproses rekod biometrik orang Perancis tanpa asas undang-undang. Rekod dikelan dari sumber web awam. Kes ini mengesahkan: kelan web pukal untuk latihan AI memerlukan asas undang-undang yang eksplisit.

TikTok -- siasatan dilancarkan 2024: Memberi tumpuan kepada sistem yang mungkin menyimpulkan jenis sensitif daripada isyarat penggunaan. Kaedah ini kini adalah rujukan EU untuk audit AI.

Semakan AI generatif (2024-2025): Agensi menyemak vendor LLM di Perancis. Ia memberi tumpuan kepada provenance kandungan latihan. Vendor tanpa rekod yang betul terpaksa menambah kawalan.

Empat Langkah untuk Pematuhan CNIL

Mengendalikan rekod peribadi Perancis? Anda memerlukan empat perkara di tempatnya.

1. Rekod tanpa nama untuk setiap aktiviti

Setiap aktiviti yang menggunakan pembersihan memerlukan rekodnya sendiri. Catat teknik, tetapannya, keputusan risiko, dan tarikh semakan.

2. Log pra-pemprosesan untuk AI

Log alat pengesanan PII yang anda gunakan. Catat jenis entiti yang ditemuinya. Rekodkan apa yang dialih keluar atau ditutup. Simpan log ini sedia untuk audit.

3. Liputan PII berbahasa Perancis

Semak bahawa alat anda menemui nombor NIR, carte vitale, dan CNI. Uji model NER Perancis anda pada nama Perancis yang sebenar. Catat mana-mana jurang. Rekodkan kawalan yang anda tempatkan untuk menanganinya.

4. Rekod provenance untuk kandungan latihan

Untuk kandungan yang dikelan: dokumentasikan semakan pembersihan sumber. Untuk rekod pengguna: dokumentasikan proses pembersihan pengguna. Gambaran keselamatan pematuhan kami menunjukkan bagaimana ini sesuai dengan timbunan perlindungan yang lebih luas.

Kumpulan dengan rekod yang baik bergerak melalui audit dengan cepat. Bina fail anda sekarang. Jangan tunggu pemeriksaan untuk bermula.

Sumber

Artikel Berkaitan

GDPR & Pematuhan

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pematuhan

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pematuhan

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Sedia untuk melindungi data anda?

Mulakan pengenalan PII dengan 285+ jenis entiti dalam 48 bahasa.

Mulakan Percubaan PercumaLihat Ciri-ciri

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.