À l’occasion de la Journée RGPD du 24 juin 2025, le thème de l’intelligence artificielle a été mis à l’honneur, notamment à travers la publication, le 19 juin 2025, de nouvelles recommandations CNIL. Ce sujet, central dans les débats de la journée, reflète les préoccupations croissantes autour du développement responsable de l’IA.
La CNIL, dans la continuité de son plan d’action lancé en 2023, précise les conditions d’utilisation de la base légale de l’intérêt légitime pour développer des systèmes d’IA. Elle répond ainsi aux attentes des acteurs économiques et institutionnels exprimées lors d’une large consultation publique.
Face à la difficulté d’évaluer la conformité des modèles d’intelligence artificielle (IA) aux exigences du RGPD, la CNIL lance le projet PANAME (pour « Privacy Auditing of AI Models »), en partenariat avec l’ANSSI, le PEReN (Pôle d’Expertise de la Régulation Numérique) et le projet IPoP (« Interdisciplinary Project on Privacy ») du PEPR (Programme et Équipements Prioritaires de Recherche) Cybersécurité.
Beaucoup d’acronymes et de sigles pour un objectif stratégique : développer une bibliothèque logicielle open source, facilitant la réalisation de tests de confidentialité sur les modèles d’IA, permettant de tester la robustesse des modèles face aux risques de réidentification et ainsi aider les acteurs à démontrer la conformité RGPD de leurs systèmes…
Cette capacité à tester la robustesse d’un modèle est essentielle pour qualifier les données comme anonymes, condition permettant de sortir du champ du RGPD.
Le projet répond à trois défis majeurs :
En février 2024, les deux opérateurs de tiers payant (OTP) VIAMEDIS et ALMERYS ont été victimes d’une cyberattaque importante entrainant la violation de données personnelles de plus de 33 millions de personnes concernées.
C’est dans ce contexte que le sénateur du Rhône, Monsieur Bernard FIALAIRE, avait notamment interrogé Mme la ministre de la santé à ce sujet, le 17 octobre 2024, dans une question au gouvernement, pour s’assurer justement des avancées gouvernementales sur les conséquences de cette violation de données à grande échelle.
Comme pour justifier sa question, une réflexion intéressante était d’ailleurs soulevée par le sénateur puisqu’il rappelait l’importance du principe de minimisation des données en demandant au ministère s’il était vraiment utile de transférer toutes les données de santé vers autant de tiers, mentionnant ainsi les OCAM.
Il proposait en outre la mise en place d’une blockchain pour sécuriser les échanges et éviter une multiplication des transferts, et donc une multiplication des risques.
