CNIL Franța: Cerințele tehnice ale autorității DPA
CNIL din Franța este cea mai exigentă autoritate de protecție a datelor din UE. Majoritatea autorităților din UE emit reguli generale. CNIL merge mai departe: publică ghiduri tehnice precise numite recommandations. Acestea stabilesc standarde exacte pentru anonimizare și utilizarea datelor în AI.
Deciziile CNIL din 2024 au citat frecvent anonimizarea slabă în sistemele AI. Autoritatea a primit 16.433 de reclamații în 2023 — cu 43% mai mult decât în 2022.
Ghidurile CNIL modelează politica UE
Textele tehnice ale CNIL sunt larg citate de alte autorități DPA din UE. Două ghiduri sunt esențiale.
Guide pratique de l'anonymisation (2023): Acest ghid acoperă k-anonimitatea, l-diversitatea și confidențialitatea diferențială. Arată cum să aplici fiecare metodă pe datele franceze. IMY din Suedia și alte autorități UE îl citează în propriile regulamente.
Ghidul sistemelor AI (2024): CNIL enumeră șase tipuri de date care trebuie gestionate înainte de utilizarea în antrenarea AI. Nicio altă autoritate DPA din UE nu a mers atât de departe în privința AI.
Reguli privind cookie-urile: Ghidul CNIL pentru cookie-uri stabilește cel mai înalt standard tehnic pentru instrumentele de consimțământ din UE. Este actualizat frecvent.
NIR: Cel mai sensibil identificator francez
Numéro d'Inscription au Répertoire (NIR) — cunoscut și ca numéro de sécurité sociale — este numărul de securitate socială francez de 15 cifre.
Formatul său este: S AA MM DD CCC OOO K
- S — 1 cifră: sex
- AA — anul nașterii
- MM — luna nașterii
- DD — departamentul de naștere (01–95, 2A/2B pentru Corsica, 97–99 teritorii de peste mări, 99 străinătate)
- CCC — codul municipiului
- OOO — ordinea de naștere
- K — cheie de control cu 2 cifre (97 − (NIR mod 97))
NIR conține sexul, data nașterii și locul nașterii într-un singur număr. CNIL îl tratează ca date cu risc ridicat. Necesită același nivel de protecție ca datele din categorii speciale conform Articolului 9 GDPR.
De ce instrumentele ratează NIR: Instrumentele NLP generice eșuează la NIR din trei motive. În primul rând, cele 15 cifre (adesea scrise fără spații) arată la fel ca alte numere lungi. În al doilea rând, cifrele 7–11 conțin un cod de departament. Instrumentele care omit verificarea mod-97 lasă să treacă fals pozitive. În al treilea rând, departamentele corsicane folosesc 2A și 2B, nu cifre pure. Instrumentele construite doar pentru modele numerice eșuează aici.
Detectarea corectă a NIR necesită trei elemente: verificarea cheii mod-97, un codebook geografic și reguli specifice pentru Corsica.
Consultați prezentarea noastră de conformitate cu securitatea pentru integrarea acoperirii identificatorilor într-un strat de garanții GDPR.
SIREN și SIRET: Identificatori de afaceri în dosarele personale
SIREN: Un număr de identificare a companiei franceze cu 9 cifre și o cifră de control Luhn. Apare în toate documentele comerciale franceze.
SIRET: Un număr de 14 cifre format din SIREN (9 cifre) plus un cod de unitate (5 cifre). SIRET identifică un sediu. SIREN identifică compania.
Fișierele de afaceri conțin adesea numere SIRET alături de nume de persoane. CNIL tratează SIRET asociat cu un nume ca date personale. Această combinație declanșează regulile GDPR chiar fără câmpuri separate de date personale.
Șase pași de anonimizare pentru antrenarea AI
Ghidul AI al CNIL din 2024 acoperă șase tipuri de date. Fiecare trebuie tratat înainte de utilizarea înregistrărilor personale franceze în antrenarea AI:
- Eliminarea identificatorilor direcți — Numele, NIR, SIREN trebuie înlocuite sau eliminate
- Generalizarea quasi-identificatorilor — Vârsta, departamentul, profesia pot combina date pentru re-identificare; reduceți precizia lor
- Adăugarea de zgomot la valori numerice — Câmpurile numerice necesită zgomot calibrat pentru a bloca inferențele
- Verificarea k-anonimității — Fiecare persoană trebuie să semene cu cel puțin k-1 alții; CNIL indică k ≥ 5
- Verificarea l-diversității — Atributele sensibile trebuie să varieze în cadrul fiecărui grup
- Efectuarea unei verificări a riscului de re-identificare — Folosiți o metodă documentată înainte de orice eliberare de date
Eliminarea NIR și a numelui complet nu este suficientă. CNIL a constatat aceasta în proceduri de aplicare. Quasi-identificatorii cum ar fi codul poștal și specialitatea medicală necesită și ei tratament.
Ghidul nostru de conformitate GDPR acoperă documentele pe care auditorii DPA francezi le așteaptă.
Context lingvistic pentru detectarea datelor personale în franceză
Franța prezintă mai multe contexte lingvistice care afectează detectarea.
Franceza standard este limba tuturor documentelor oficiale. Modelele NER trebuie să gestioneze literele accentuate: é, è, ê, ë, à, â, î, ô, û, ç, œ.
Teritoriile de peste mări (DOM-TOM): Martinica, Guadelupa, Réunion, Guyana și Mayotte folosesc coduri NIR în intervalul 97–98. Modelele de nume locale diferă față de Franța continentală.
Alsacia-Mosela: Numele de origine germană și unele formate de documente germane apar în înregistrările franceze. Modelele antrenate doar pe franceza standard pot rata acestea.
Utilizare transfrontalieră: Franceza belgiană folosește un format de act de identitate diferit. Instrumentele folosite în Franța și Belgia necesită reguli pentru fiecare.
Ce trebuie să acopere instrumentul dumneavoastră
Conformitatea cu legislația franceză necesită patru capacități tehnice:
- NIR cu verificare mod-97 — Potrivirea de tipare singură eșuează. Instrumentele trebuie să ruleze verificarea cheii și să gestioneze codurile 2A/2B.
- SIREN/SIRET cu verificare Luhn — Actele de identitate de afaceri apar în dosarele personale și creează combinații acoperite de GDPR.
- NER în franceză cu suport complet pentru accente — Trebuie să gestioneze nume compuse (Jean-Pierre), particule (de, du, des) și caractere accentuate.
- Proces documentat în șase pași — Orice pipeline de antrenare AI pe date franceze necesită o înregistrare scrisă pentru fiecare activitate de anonimizare.