anonym.legal

By · Last updated 2026-06-05

Tillbaka till BloggenGDPR & Efterlevnad

CNIL Frankrike: GDPR teknisk efterlevnad

CNIL behandlade 16 433 klagomål 2023 och utfärdade böter på 150 miljoner euro+ sedan 2019. Dess AI-vägledning kräver dokumenterad anonymisering av träningsdata.

June 5, 20267 min läsning
CNIL FranceFrench GDPRAI anonymizationFrench data protectionprivacy by design

CNIL Frankrike: GDPR teknisk efterlevnad

Frankrikes strängaste integritetsregulator

Frankrikes dataskyddsorgan är CNIL. Det sätter EU:s mest exakta integritetskrav. De flesta EU-regulatorer skriver bred vägledning. CNIL går längre. De publicerar precisa tekniska specifikationer kallade recommandations. Dessa definierar hur verklig GDPR-efterlevnad ser ut.

Andra EU-regulatorer kopierar ofta CNIL:s arbete. Viktiga texter inkluderar 2023 års Guide pratique de l'anonymisation och 2024 års AI-vägledning.

Siffrorna visar att myndigheten är aktiv. Den hanterade 16 433 klagomål 2023. Det är 43% fler än 2022. Den har utfärdat ungefär 150 miljoner euro i GDPR-böter sedan tillsynen startade.

AI-träning: Sex registertyper att rensa

CNIL:s 2024 AI-vägledning gäller brett. Den täcker alla grupper som tränar AI på franska personuppgifter. Den gäller också dem som betjänar franska användare med AI-verktyg.

Myndigheten listar sex registertyper som behöver rensas före AI-träning:

  1. Identifiants directs (direkta identifierare): Namn, adresser, ID-nummer. Ta bort eller ersätt dessa före träning.
  2. Identifiants quasi-directs (quasi-identifierare): Grupper av egenskaper som möjliggör återidentifiering. Tillämpa k-anonymitetskontroller.
  3. Données sensibles (särskilda typer): Hälso-, biometriska, politiska och religiösa register. Isolera med extra kontroller.
  4. Données comportementales (användarposter): Webbhistorik och användningsmönster. Aggregera eller maskera dessa.
  5. Données inférées (härledda egenskaper): AI-härledda signaler från användning. Tillämpa ändamålsgränser.
  6. Données relatives aux mineurs (barns uppgifter): Alla uppgifter kopplade till personer under 15. Kör ålderskontroller och använd stark rensning.

Använder du LLM:er tränade på skrapat innehåll? Du behöver skriftliga bevis. Visa att dina träningsposter granskades och rensades. Se vår GDPR-efterlevnadsguide för detaljer om räckvidd.

Anonymiseringsguiden: Centrala regler

2023 års guide är EU:s mest detaljerade text om detta ämne. Den sätter ribban för vad som räknas som verkligt anonymt.

Godkända tekniker:

  • k-anonymitet — varje post liknar minst k-1 andra
  • l-diversitet — känsliga egenskaper varierar inom varje grupp
  • Differentiell integritet — brus läggs till utdatastatistik
  • Pseudonymisering — ett riskreducerande steg, inte verklig anonymisering

Obligatoriska poster:

För varje aktivitet som använder rensning förväntar sig CNIL en fiche d'anonymisation (anonymiseringspost). Den måste inkludera:

  • Den använda tekniken och dess nyckelinställningar (k-värde, epsilon-värde)
  • Resultatet av en kontroll av återidentifieringsrisk
  • Valideringsmetoden (testning eller extern granskning)
  • Ansvarig person och granskningsdatum

Kontroll av återidentifieringsrisk:

Innan poster märks som anonyma, kör en formell kontroll. Fråga: kunde en motiverad person återidentifiera detta? Titta på vilka hjälpdatasatser som finns. Beakta hela sammanhanget.

Franska PII: Vad dina verktyg måste hitta

Franska regler kräver franska PII-täckning. Dina verktyg måste identifiera franska ID-typer.

Viktiga ID-typer att täcka:

  • NIR: 15 siffror (13 bas + 2-siffrig nyckel). Detta är det franska personnumret.
  • Carte vitale-nummer: Sjukförsäkringskort-ID.
  • SIRET/SIREN: Företags-ID:n som finns i personliga filer.
  • Numéro d'ordre professionnel: Registernummer för läkare, jurister och revisorer.
  • CNI (Carte nationale d'identité): Franskt nationellt ID-kortnummer.

Franska NER-modeller måste hantera franska namnmönster. Dessa inkluderar sammansatta namn (Jean-Pierre), partiklar (de, du, des) och bindestreckssurnamn. Se vår flerspråkiga PII-identifieringsguide för hur man täcker alla lokaler.

Tillsyn: Vad som leder till böter

Myndighetens böter följer ett tydligt mönster. De riktar sig mot saknade tekniska kontroller. Dålig process ensam är sällan det viktigaste problemet.

Clearview AI — 20 miljoner euro (2022): Företaget behandlade biometriska uppgifter om franska medborgare utan rättslig grund. Uppgifter skrapades från offentliga webbkällor. Fallet bekräftade: bulkwebbskrapning för AI-träning kräver en explicit rättslig grund.

TikTok — utredning inledd 2024: Fokuserade på system som kan härleda känsliga typer från användningssignaler. Denna metod är nu EU:s referens för AI-revisioner.

Generativ AI-granskning (2024–2025): Myndigheten granskade LLM-leverantörer i Frankrike. Den fokuserade på träningsinnehållets ursprung. Leverantörer utan korrekta poster var tvungna att lägga till kontroller.

Fyra steg till CNIL-efterlevnad

Hanterar du franska personuppgifter? Du behöver fyra saker på plats.

1. En anonymiseringspost för varje aktivitet

Varje aktivitet som använder rensning behöver sin egen post. Notera tekniken, dess inställningar, ett riskresultat och ett granskningsdatum.

2. Förbehandlingsloggar för AI

Logga vilket PII-identifieringsverktyg du använde. Notera vilka entitetstyper det hittade. Registrera vad som togs bort eller maskerades. Håll dessa loggar redo för revisioner.

3. Franska PII-täckning

Kontrollera att ditt verktyg hittar NIR, carte vitale och CNI-nummer. Testa din franska NER-modell på riktiga franska namn. Notera eventuella luckor. Registrera de kontroller du infört för att åtgärda dem.

4. Ursprungsposter för träningsinnehåll

För skrapat innehåll: dokumentera källrensningskontrollen. För användaruppgifter: dokumentera rensningsprocessen. Vår säkerhetsefterlevnadsöversikt visar hur detta passar in i en bredare skyddsstack.

Grupper med goda poster tar sig igenom revisioner snabbt. Bygg din akt nu. Vänta inte på en inspektion.

Källor

Relaterade Artiklar

GDPR & Efterlevnad

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Efterlevnad

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.