anonym.legal

By · Last updated 2026-06-05

Tilbake til BloggGDPR & Overholdelse

CNIL Frankrike: GDPR teknisk samsvar

CNIL behandlet 16 433 klager i 2023 og har ilagt boster pa over 150M euro siden 2019. KI-veiledningen krever dokumentert anonymisering av treningsdata.

June 5, 20267 min lesing
CNIL FranceFrench GDPRAI anonymizationFrench data protectionprivacy by design

CNIL Frankrike: GDPR teknisk samsvar

Frankrikes strengeste personvernmyndighet

Frankrikes dataorgan er CNIL. Det setter EUs mest presise personvernregler. De fleste EU-regulatorer skriver bred veiledning. CNIL gar lenger. Den publiserer presise tekniske spesifikasjoner kalt recommandations. Disse definerer hva reelt GDPR-samsvar inneberer.

Andre EU-regulatorer kopierer ofte CNILs arbeid. Sentrale tekster inkluderer Guide pratique de l'anonymisation fra 2023 og KI-veiledningen fra 2024.

Tallene viser at organet er aktivt. Det haandterte 16 433 klager i 2023. Det er 43% mer enn 2022. Det har ilagt omtrent 150 millioner euro i GDPR-boster siden haandheving begynte.

KI-trening: Seks posttyper som ma ryddes

CNILs 2024 KI-veiledning gjelder bredt. Den dekker alle grupper som trener KI pa franske personposter. Den gjelder ogsa de som betjener franske brukere med KI-verktoy.

Organet lister opp seks posttyper som trenger rydding for KI-trening:

  1. Identifiants directs (direkte ID-er): Navn, adresser, ID-numre. Fjern eller erstatt disse for trening.
  2. Identifiants quasi-directs (kvasidirekte ID-er): Grupper av egenskaper som muliggior gjen-ID. Anvend k-anonymitets-sjekker.
  3. Donnees sensibles (saeregne typer): Helse-, biometrisk, politisk og trosdata. Isolen med ekstra kontroller.
  4. Donnees comportementales (bruksdata): Nettleserhistorikk og bruksmonstre. Aggreger eller masker disse.
  5. Donnees inferees (utledede egenskaper): KI-avledede signaler fra bruk. Anvend formalsbegrensninger.
  6. Donnees relatives aux mineurs (barns poster): Alle poster knyttet til personer under 15. Kjoer alderssjekker og bruk sterk rydding.

Bruker du LLM-er trent pa skrapede innhold? Du trenger skriftlig bevis. Vis at treningspostene dine ble gjennomgatt og ryddet. Se vaar GDPR-samsvarsguide for omfangsdetaljer.

Anonymiseringsguiden: Kjerneregler

Guiden fra 2023 er EUs mest detaljerte tekst pa dette emnet. Den setter standarden for hva som teller som ekte anonymt.

Godkjente teknikker:

  • k-anonymitet -- hver post ligner minst k-1 andre
  • l-diversitet -- sensitive egenskaper varierer innenfor hver gruppe
  • Differensiert personvern -- stoy tilsatt utdatadata
  • Pseudonymisering -- et risikoreduseringstrinn, ikke ekte anonymisering

Nodvendige poster:

For hver aktivitet som bruker rydding, forventer CNIL en fiche d'anonymisation (anonymiseringspost). Den ma inkludere:

  • Teknikken som ble brukt og dens nokkelinnstillinger (k-verdi, epsilon-verdi)
  • Resultatet av en gjen-ID-risikosjekk
  • Valideringsmetoden (testing eller ekstern gjennomgang)
  • Ansvarspersonen og gjennomgangsdatoen

Gjen-ID-risikosjekk:

For aa merke poster som anonyme, kjoer en formal sjekk. Sporr: kan en motivert person gjenidentifisere dette? Se pa hvilke hjelpe-datasett som finnes. Vurder hele konteksten.

Fransk PII: Hva verktoyene dine ma finne

Franske regler krever franskspraklig PII-dekning. Verktoyene dine ma detektere franske spesifikke ID-typer.

Viktige ID-er aa dekke:

  • NIR: 15 sifre (13 basis + 2-sifret nokkel). Dette er det franske personnummeret.
  • Carte vitale-nummer: Helsetrygdekort-ID.
  • SIRET/SIREN: Virksomhets-ID-er som finnes i personlige filer.
  • Numero d'ordre professionnel: Registernumre for leger, advokater og regnskapsforere.
  • CNI (Carte nationale d'identite): Fransk nasjonalt ID-kortnummer.

Franske NER-modeller ma haandtere franske navnemonstre. Disse inkluderer sammensatte navn (Jean-Pierre), partikler (de, du, des) og bindestrek-etternavn. Se vaar flerspraklige PII-deteksjonsguide for hvordan du dekker alle lokaliteter.

Haandheving: Hva som bootes

Organets boster folger et klart monster. De retter seg mot manglende tekniske kontroller. Darlig prosess alene er sjelden det viktigste problemet.

Clearview AI -- 20M euro-bot (2022): Firmaet behandlet biometriske data om franske borgere uten rettslig grunnlag. Data ble skrapt fra offentlige nettkilder. Saken bekreftet: masseskraping av nett for KI-trening krever et eksplisitt rettslig grunnlag.

TikTok -- undersokelse innledet 2024: Fokusert pa systemer som kan utlede sensitive typer fra brukssignaler. Denne metoden er na EU-referansen for KI-revisjoner.

Generativ KI-gjennomgang (2024-2025): Organet gjennomgikk LLM-leverandorer i Frankrike. Det fokuserte pa provenansen til treningsinnhold. Leverandorer uten ordentlige poster matte legge til kontroller.

Fire trinn for CNIL-samsvar

Haandterer du franske personposter? Du trenger fire ting pa plass.

1. En anonymiseringspost for hver aktivitet

Hver aktivitet som bruker rydding trenger sin egen post. Noter teknikken, dens innstillinger, et risikoesultat og en gjennomgangsdato.

2. Forbehandlingslogger for KI

Logg hvilket PII-deteksjonsverktoy du brukte. Noter hvilke enhetstyper det fant. Registrer hva som ble fjernet eller maskert. Hold disse loggene klare for revisjoner.

3. Franskspraklig PII-dekning

Sjekk at verktoyeet ditt finner NIR, carte vitale og CNI-numre. Test den franske NER-modellen din pa ekte franske navn. Noter eventuelle hull. Registrer kontrollene du setter pa plass for aa adressere dem.

4. Provenansdata for treningsinnhold

For skrapt innhold: dokumenter sjekken av kildenes rydding. For brukerdata: dokumenter prosessen for brukerrydding. Vaar oversikt over sikkerhetssamsvar viser hvordan dette passer inn i en bredere sikringsstabel.

Grupper med gode poster gar raskere gjennom revisjoner. Bygg mappen din na. Ikke vent pa en inspeksjon for du begynner.

Kilder

Relaterte Artikler

GDPR & Overholdelse

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Overholdelse

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klar til å beskytte dataene dine?

Begynn å anonymisere PII med 285+ enhetstyper på 48 språk.

Start Gratis PrøveperiodeSe Funksjoner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.