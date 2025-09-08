Le 26 juin 2025, la CNIL a annoncé le lancement du projet Privacy Auditing of AI Models (PANAME) - dont elle assurera le pilotage et le cadrage juridique - visant au développement...

Le 26 juin 2025, la CNIL a annoncé le lancement du projet Privacy Auditing of AI Models (PANAME) - dont elle assurera le pilotage et le cadrage juridique - visant au développement d'un outil permettant de tester la confidentialité des modèles d'intelligence artificielle (« Modèle(s) d'IA »).

Ce projet intervient dans le contexte de l'encadrement de l'IA à l'échelle européenne, marqué, notamment, par l'adoption d'un avis du Comité européen de la protection des données (CEPD) « relatif à certains aspects de la protection des données liés au traitement de données à caractère personnel dans le contexte des modèles d'IA » 1.

Cet avis précise que l'appréciation du caractère anonyme d'un Modèle d'IA, et donc l'application du Règlement général sur la protection des données (RGPD), nécessite, notamment, d'évaluer la capacité de résistance de ce Modèle aux attaques visant la confidentialité des données.

Afin de faciliter le travail des acteurs souhaitant tester la confidentialité de leur(s) Modèle(s) d'IA, la CNIL, l'ANSSI, le PEReN et le projet IPoP du PEPR Cybersécurité, ont lancé le projet PANAME, lequel permettra 2 :

de développer « […] une bibliothèque logicielle disponible toute ou partie en source ouverte, destinée à unifier la façon dont la confidentialité des modèles est testée » ;

« […] une mise en œuvre efficace et à moindre coût de certains tests d'évaluation technique de confidentialité que les acteurs de l'écosystème IA sont susceptibles de réaliser pour évaluer la conformité RGPD d'un modèle d'IA ».

Des phases de test sont prévues afin de veiller à ce que l'outil soit développé en cohérence avec son contexte d'utilisation. D'autre part, la CNIL a annoncé la publication à venir de recommandations relatives à l'analyse de la résistance d'un Modèle aux attaques portant sur la confidentialité des données, et à sa documentation.

Ces mesures viennent s'ajouter au code de Bonnes Pratiques relatif à l'IA à usage général, publié le 10 juillet 2025, qui sera commenté dans un article à venir.

