La CNIL lance le projet PANAME : l’outil qui teste la confidentialité des IA

La CNIL lance le projet PANAME : l’outil qui teste la confidentialité des IA
Article RGPD Minute RGPD

Avec la généralisation de l’intelligence artificielle dans notre quotidien — assistants vocaux, moteurs de recommandation, outils de santé — une question devient incontournable : comment garantir que les modèles d’IA ne compromettent pas la vie privée des individus ?
C’est précisément à ce défi que s’attaque le projet PANAME (Privacy Auditing of AI Models), lancé en juin 2025 par un consortium réunissant la CNIL, l’ANSSI, le PEReN et le projet IPoP du PEPR Cybersécurité.


Pourquoi auditer les IA sur le plan de la confidentialité ?

De nombreux modèles d’intelligence artificielle sont entraînés à partir de données personnelles. Or, certains d’entre eux sont capables de mémoriser et restituer ces données, parfois de manière involontaire. Ce risque est documenté dans plusieurs travaux de recherche, comme le rappelle l’article du LINC Petite taxonomie des attaques des systèmes d’IA.
En pratique, cela signifie qu’un modèle d’IA peut, sous certaines conditions, divulguer des informations sensibles : noms de patients, adresses, données médicales, etc.

Dans ce contexte, le RGPD s’applique. Et pour considérer qu’un modèle est hors du champ d’application du règlement, il est nécessaire de démontrer qu’il résiste à des attaques portant sur la confidentialité des données. La CNIL publiera prochainement des recommandations pour accompagner les acteurs dans cette démarche d’analyse.


Un besoin identifié : des ressources peu accessibles

Malgré l’abondance de recherches académiques sur les attaques de confidentialité (comme les attaques par extraction ou les membership inference attacks), plusieurs freins empêchent leur adoption à grande échelle :

  • Une complexité technique élevée : la littérature scientifique est dense et souvent difficile d’accès pour les PME ou les équipes non spécialisées ;
  • Des outils peu industrialisables : même en open source, les tests disponibles sont rarement prêts à l’emploi dans des environnements de production ;
  • Un manque de standardisation : il n’existe pas encore de cadre unifié pour coder ou interpréter les tests de confidentialité.


PANAME : vers une boîte à outils standardisée et accessible

Le projet PANAME vise à combler ces lacunes en développant une bibliothèque logicielle, disponible en partie en open source, permettant de tester plus facilement la confidentialité des modèles d’IA.

Contrairement aux solutions expérimentales actuelles, cette bibliothèque aura pour objectif de :

  • standardiser les tests de confidentialité (par exemple : reproduction de fuites de données, robustesse aux attaques d’extraction) ;
  • rendre ces tests plus accessibles aux entreprises et administrations ;
  • favoriser une analyse RGPD plus robuste, notamment dans les dossiers de conformité ou les analyses d’impact (AIPD).

Des phases de test seront menées avec des acteurs publics et privés pour garantir que l’outil s’adapte à des cas d’usage concrets.


Un consortium aux expertises complémentaires

Chaque partenaire du projet joue un rôle spécifique :

  • Le PEReN assure le développement de la bibliothèque logicielle ;
  • L’ANSSI contribue avec son expertise en cybersécurité et simulations d’attaques ;
  • Le projet IPoP coordonne l’orientation scientifique ;
  • La CNIL pilote le projet, en assure le cadre juridique et veille à son alignement avec les exigences du RGPD.

Une initiative pour renforcer la transparence des IA

PANAME s’adresse à toutes les parties prenantes du numérique : développeurs, DPO, juristes, chercheurs et entreprises. Il s’inscrit dans une dynamique de transparence et de maîtrise des risques liés à l’intelligence artificielle, en proposant une approche technique, standardisée et juridiquement alignée.
Ce projet marque une étape importante vers une IA plus responsable, où la protection des données n’est pas un frein à l’innovation, mais une condition de confiance.


Se former dès maintenant pour anticiper demain

L’intelligence artificielle reste une technologie encore émergente dans de nombreux secteurs. Pourtant, son développement est fulgurant : en quelques années, elle s’est imposée comme un outil stratégique dans l’industrie, la santé, les services ou l’administration. Face à cette accélération, il est essentiel pour les professionnels — juridiques, techniques ou opérationnels — de s’informer, se former et anticiper les enjeux, notamment en matière de protection des données. Des initiatives comme PANAME montrent que la conformité et la sécurité ne doivent pas être des réflexes tardifs, mais des éléments structurants dès les premières étapes d’un projet IA.

Envie d’aller plus loin ?

Une formation spécialement dédié sur l’IA et le RGPD est déjà disponible.

Découvrez notre formation

Retour aux actualités
Partager l'article

Articles similaires

Cookies et consentements : les sanctions exemplaires de la CNIL envers Google et Shein
Article RGPD Minute RGPD

Cookies et consentements : les sanctions exemplaires de la CNIL envers Google et Shein

Lire la suite
Meta et l’IA : une enquête révèle que seuls 7 % des utilisateurs européens soutiennent l’usage de leurs données
Article RGPD Minute RGPD

Meta et l’IA : une enquête révèle que seuls 7 % des utilisateurs européens soutiennent l’usage de leurs données

Meta s’expose à une nouvelle tempête réglementaire en Europe. Le groupe de Mark Zuckerberg a commencé à utiliser les données personnelles des utilisateurs européens de Facebook et Instagram pour entraîner ses modèles d’intelligence artificielle. Contrairement à ce que prévoit le Règlement général sur la protection des données (RGPD), l’entreprise n’a pas sollicité de consentement explicite. Elle invoque plutôt la base juridique de "l’intérêt légitime".
Lire la suite