CNIL Frankrike: Krav på PII-verktyg från DPA

CNIL Frankrike: Krav på PII-verktyg från DPA

Frankrikes CNIL är EU:s mest krävande dataskyddsorgan. De flesta EU-tillsynsmyndigheter skriver breda regler. CNIL går längre och publicerar precis teknisk vägledning kallad recommandations, som sätter exakta standarder för anonymisering och AI-dataanvändning.

CNIL:s förelägganden 2024 hänvisade ofta till svag anonymisering i AI-system. Myndigheten tog emot 16 433 klagomål under 2023 — 43 % fler än 2022.

CNIL:s vägledning påverkar EU-policy

CNIL:s tekniska texter citeras flitigt av andra EU-tillsynsmyndigheter. Två guider är viktigast.

Guide pratique de l'anonymisation (2023): Denna guide täcker k-anonymitet, l-diversitet och differentiell integritet. Den visar hur man tillämpar varje metod på franska data. Sveriges IMY och andra EU-organ hänvisar till den i sina egna regler.

Vägledning för AI-system (2024): CNIL listar sex datatyper som måste hanteras i AI-träning. Ingen annan EU-tillsynsmyndighet har gått så långt specifikt om AI.

Cookieregler: CNIL:s cookievägledning sätter den högsta tekniska ribban för samtyckesverktyg i EU och uppdateras ofta.

NIR: Frankrikes känsligaste identifierare

Numéro d'Inscription au Répertoire (NIR) — även kallat numéro de sécurité sociale — är ett 15-siffrigt franskt personnummer.

Formatet är: S AA MM DD CCC OOO K

• S — 1 siffra: kön
• AA — födelseår
• MM — födelsemånad
• DD — födelseregion (01–95, 2A/2B för Korsika, 97–99 utomlands, 99 utländsk)
• CCC — kommunkod
• OOO — födelseordning
• K — 2-siffrig kontrollnyckel (97 − (NIR mod 97))

NIR innehåller kön, födelsedatum och födelseort i ett enda nummer. CNIL behandlar det som högrisk och kräver samma omsorg som specialkategoriserade uppgifter enligt GDPR artikel 9.

Varför verktyg missar NIR: Generiska NLP-verktyg misslyckas med NIR av tre skäl. För det första ser de 15 siffrorna (ofta skrivna utan mellanslag) ut som andra långa tal. För det andra innehåller siffrorna 7–11 en kommunkod — verktyg som hoppar över mod-97-kontrollen släpper igenom falskt positiva. För det tredje använder korsikanska departement 2A och 2B, inte rena siffror, vilket verktyg byggda för enbart numeriska mönster missar.

Bra NIR-detektering kräver tre saker: mod-97-nyckelkontroll, en geografisk kodsbok och Korsika-medvetna regler.

Se vår säkerhets- och complianceöversikt för hur identifierartäckning passar in i ett GDPR-skyddssystem.

SIREN och SIRET: Företags-ID:n i personliga dokument

SIREN: Ett 9-siffrigt franskt företags-ID med en Luhn-kontrollsiffra. Det förekommer i alla franska kommersiella dokument.

SIRET: Ett 14-siffrigt nummer byggt från SIREN (9 siffror) plus en etableringskod (5 siffror). SIRET identifierar en driftplats; SIREN identifierar företaget.

Företagsfiler innehåller ofta SIRET-nummer bredvid personalnamn. CNIL behandlar SIRET plus ett namn som personuppgifter, vilket utlöser GDPR-reglerna även utan ett separat personuppgiftsfält.

Sex anonymiseringssteg för AI-träning

CNIL:s AI-vägledning från 2024 täcker sex datatyper som var och en måste hanteras innan franska personuppgifter används i AI-träning:

1. Ta bort direkta identifierare — namn, NIR och SIREN måste ersättas eller tas bort
2. Generalisera kvasiidentifierare — ålder, region och yrke kan kombineras för att återidentifiera personer; minska deras precision
3. Lägg till brus i siffror — numeriska fält behöver kalibrerat brus för att blockera slutledning
4. Kontrollera k-anonymitet — varje person måste likna minst k-1 andra; CNIL pekar på k ≥ 5
5. Kontrollera l-diversitet — känsliga attribut måste variera inom varje grupp
6. Utför en återidentifieringsriskbedömning — använd en dokumenterad metod före all datautgivning

Att enbart ta bort NIR och fullständigt namn räcker inte. CNIL har fastställt detta vid tillsyn. Kvasiidentifierare som postnummer och medicinsk specialitet behöver också åtgärdas.

Vår GDPR-complianceguide täcker de register som franska tillsynsmyndigheter förväntar sig att se vid revisioner.

Språkkontext för fransk PII-detektering

Frankrike har flera språkliga sammanhang som påverkar detektering.

Standardfranska är språket i alla officiella dokument. NER-modeller måste hantera accentuerade tecken: é, è, ê, ë, à, â, î, ô, û, ç, œ.

Utomeuropeiska territorier (DOM-TOM): Martinique, Guadeloupe, Réunion, Guyane och Mayotte använder NIR-koder i intervallet 97–98. Lokala namnmönster skiljer sig från Frankrikes fastland.

Alsace-Moselle: Tyskklingande namn och vissa tyska dokumentformat förekommer i franska dokument. Modeller tränade enbart på standardfranska kan missa dessa.

Gränsöverskridande användning: Belgisk franska använder ett annat ID-format. Verktyg som används i Frankrike och Belgien behöver regler för vart och ett.

Vad ditt verktyg måste klara

Fransk compliance kräver fyra tekniska förmågor:

1. NIR med mod-97-kontroll — mönstermatchning ensam misslyckas. Verktyg måste köra nyckelkontrollen och hantera 2A/2B-koder.
2. SIREN/SIRET med Luhn-kontroll — företags-ID:n förekommer i personliga dokument och skapar GDPR-täckta namnkombinationer.
3. Fransk NER med fullt stöd för accenter — måste hantera sammansatta namn (Jean-Pierre), partiklar (de, du, des) och accentuerade tecken.
4. Dokumenterat sexstegsförfarande — alla AI-träningspipelines med franska data kräver en skriftlig registrering av varje anonymiseringsaktivitet.

Källor

• CNIL: Commission Nationale de l'Informatique et des Libertés
• CNIL: Guide pratique de l'anonymisation (2023)
• CNIL: AI Governance Guidance (2024)