Les plus grandes amendes et décisions sur la vie privée et l'IA
Régulateurs et tribunaux sanctionnent déjà l'IA : 15 M€ à OpenAI, 30,5 M€ à Clearview AI, logs ChatGPT gelés. La rétrospective datée des décisions clés.
Les régulateurs et les tribunaux sanctionnent déjà l'usage de données personnelles par l'IA : en décembre 2024, l'autorité italienne a infligé 15 millions d'euros à OpenAI pour le traitement de données par ChatGPT ; la CNIL et plusieurs autorités européennes ont frappé Clearview AI d'amendes allant jusqu'à 30,5 millions d'euros pour le scraping de visages ; et un tribunal fédéral américain a ordonné à OpenAI de conserver des logs de conversations que des utilisateurs avaient demandé de supprimer. Le fil rouge de ces décisions : sanctionner l'usage de données personnelles sans base légale ni transparence. La parade la plus directe est de minimiser et d'anonymiser ces données avant de les confier à un système d'IA externe.
Italie : 15 M€ à OpenAI, et la première suspension de ChatGPT
Le 20 décembre 2024, le Garante per la protezione dei dati personali (l'autorité italienne de protection des données) a infligé une amende de 15 millions d'euros à OpenAI au terme d'une enquête sur le traitement des données par ChatGPT — l'une des premières sanctions GDPR majeures visant un grand acteur de l'IA générative en Europe. L'autorité a reproché l'absence de base légale appropriée pour entraîner le modèle sur des données personnelles, un manquement à la transparence, et l'absence de mécanismes suffisants de vérification de l'âge pour protéger les mineurs ; OpenAI avait par ailleurs omis de notifier une violation de données survenue le 20 mars 2023. En complément de l'amende, OpenAI a dû mener une campagne d'information de six mois dans les médias italiens. L'entreprise a jugé la décision disproportionnée et annoncé faire appel.
Cette amende n'était pas la première intervention italienne. Le 31 mars 2023, le Garante avait déjà ordonné une suspension temporaire de ChatGPT en Italie — le premier blocage de ce type par un pays occidental — invoquant l'absence de base légale pour la collecte massive de données d'entraînement, un défaut d'information des utilisateurs et l'absence de vérification de l'âge. Le service a été rétabli fin avril 2023, environ un mois plus tard, après qu'OpenAI eut publié une politique de confidentialité actualisée et mis à disposition un formulaire d'opposition au traitement pour les utilisateurs européens.
Clearview AI : sanctionné dans toute l'Europe pour le scraping de visages
Clearview AI, qui a constitué une base de données biométriques en aspirant des images de visages sur le web, a été sanctionné de façon répétée par les régulateurs européens. Le 20 octobre 2022, la CNIL (Commission Nationale de l'Informatique et des Libertés) lui a infligé l'amende maximale de 20 millions d'euros pour avoir collecté et utilisé des données biométriques sans base légale, et lui a ordonné de cesser la collecte et de supprimer les données des personnes en France, sous astreinte de 100 000 euros par jour de retard. Des amendes d'un ordre comparable (environ 20 millions d'euros) ont suivi en Italie et en Grèce.
Aux Pays-Bas, l'Autoriteit Persoonsgegevens (l'autorité néerlandaise de protection des données) a annoncé le 3 septembre 2024 une amende de 30,5 millions d'euros — la plus élevée infligée à l'entreprise — pour la constitution illégale d'une base de plus de 30 milliards de photos converties en codes biométriques, assortie d'une astreinte additionnelle pouvant atteindre 5,1 millions d'euros en cas de non-conformité. Au Royaume-Uni, l'Information Commissioner's Office (ICO) avait sanctionné Clearview AI en 2022 (de l'ordre de 7,5 millions de livres) pour la collecte et le stockage d'images de citoyens britanniques, avec ordre de cesser le traitement.
Tribunaux et pression réglementaire : des logs gelés à Meta AI
Les régulateurs ne sont pas les seuls à peser sur les données. En mai 2025, dans l'affaire The New York Times c. OpenAI (un litige initialement de droit d'auteur), une juge fédérale américaine a ordonné à OpenAI de préserver et d'isoler des journaux de sortie de ChatGPT qui auraient autrement été supprimés — y compris ceux que des utilisateurs avaient demandé d'effacer. En novembre 2025, le tribunal a confirmé une ordonnance imposant à OpenAI de produire environ 20 millions de logs de conversations (dé-identifiés) aux plaignants, écartant l'objection d'OpenAI fondée sur la vie privée des utilisateurs.
La leçon est concrète : une obligation de conservation imposée par un tribunal peut neutraliser, le temps d'un litige, vos politiques de suppression et vos demandes d'effacement. Des conversations supposément supprimées peuvent rester accessibles et exploitables dans le cadre d'une procédure — un point que nous développons dans « Supprimer une conversation ne l'efface pas vraiment ». Supprimer ne garantit donc pas l'effacement réel.
Meta AI : l'entraînement sur vos données sous surveillance
Toutes les actions ne se soldent pas par une amende : certaines prennent la forme d'une pression réglementaire qui infléchit les pratiques en amont. En 2024-2025, l'organisation noyb (None of Your Business) de Max Schrems a contesté le plan de Meta d'entraîner son IA sur les données publiques des utilisateurs européens de Facebook et Instagram à partir du 27 mai 2025. noyb a adressé une mise en demeure à Meta et menacé d'une action collective, contestant le recours à l'« intérêt légitime » plutôt qu'au consentement explicite (opt-in) pour l'entraînement de l'IA.
Après une opinion de l'EDPB de décembre 2024 et l'examen par la Data Protection Commission (DPC, l'autorité irlandaise), Meta a révisé son projet : notices de transparence actualisées, délais de préavis allongés et formulaires d'opposition fonctionnels dans l'application à travers les juridictions européennes. La DPC a déclaré le 21 mai 2025 avoir formulé des recommandations auxquelles Meta a répondu — l'illustration d'une pression réglementaire continue sur l'entraînement de l'IA à partir de données personnelles, qui rejoint le cadre que nous détaillons dans « GDPR et IA générative : se mettre en conformité ».
La timeline des sanctions et décisions
Voici les principales actions réglementaires et judiciaires, par ordre chronologique. À distinguer des fuites techniques, que nous recensons à part dans « Les plus grandes fuites de données liées à l'IA » : ici, ce sont des sanctions d'autorités et des décisions de justice, pas des incidents de sécurité.
| Date | Autorité / tribunal | Cible | Décision | Motif |
|---|---|---|---|---|
| Mars 2023 | Garante (Italie) | OpenAI / ChatGPT | Suspension temporaire (levée fin avril) | Base légale et information manquantes, pas de vérification d'âge |
| Oct. 2022 | CNIL (France) | Clearview AI | Amende 20 M€ + ordre de cessation/suppression | Données biométriques aspirées sans base légale |
| Sept. 2024 | Autoriteit Persoonsgegevens (Pays-Bas) | Clearview AI | Amende 30,5 M€ (+ astreinte jusqu'à 5,1 M€) | Base illégale de 30+ milliards de visages biométriques |
| Déc. 2024 | Garante (Italie) | OpenAI / ChatGPT | Amende 15 M€ + campagne d'information 6 mois | Base légale, transparence, âge, violation non notifiée |
| Mai-nov. 2025 | Tribunal fédéral (États-Unis) | OpenAI (NYT c. OpenAI) | Conservation + production de ~20 M de logs | Préservation de preuves dans un litige (anti-suppression) |
| Mai 2025 | DPC (Irlande) / noyb / EDPB | Meta AI | Révision du projet sous pression (pas d'amende) | Entraînement sur données UE sans consentement explicite |
La leçon : minimiser et anonymiser réduit l'exposition juridique
Un dénominateur commun traverse ces décisions : autorités et tribunaux ciblent l'usage de données personnelles sans base légale, sans transparence ni consentement, et peuvent imposer la conservation de données en cas de litige. Vous ne contrôlez ni la juridiction d'un fournisseur d'IA, ni une ordonnance de tribunal, ni la base légale qu'il invoque. Ce que vous contrôlez, c'est ce que vous transmettez.
- Minimiser : ne transmettez que les données strictement nécessaires à la tâche.
- Anonymiser ou tokeniser les identités, identifiants et secrets avant l'envoi.
- Garder en tête qu'une « suppression » peut être gelée par une obligation légale.
- 1Cartographiez les données personnelles présentes dans vos prompts et fichiers.
- 2Retirez ou remplacez ces données par des jetons avant tout envoi à un système d'IA externe.
- 3Restaurez les valeurs réelles à la réception de la réponse, côté navigateur uniquement.
C'est précisément le rôle d'ONYRI Sanitize : le moteur remplace les données sensibles par des jetons réversibles avant l'envoi ; la détection et le mapping jeton↔valeur restent dans votre navigateur, et seul un texte anonymisé atteint le modèle. Moins de données personnelles transmises, c'est mécaniquement moins de surface de risque — qu'un régulateur enquête ou qu'un tribunal exige la conservation des logs, il n'y trouve que des jetons, pas vos informations réelles.
Questions fréquentes
- Quelles sont les plus grandes amendes liées à la vie privée et à l'IA ?
- Parmi les sanctions vérifiées : 15 millions d'euros infligés à OpenAI par l'autorité italienne (le Garante) en décembre 2024 pour le traitement de données par ChatGPT ; et jusqu'à 30,5 millions d'euros à Clearview AI aux Pays-Bas en septembre 2024, après 20 millions d'euros de la CNIL en France (2022) et des amendes en Italie, en Grèce et au Royaume-Uni, pour le scraping de visages sans base légale.
- Un tribunal peut-il forcer une IA à conserver mes conversations supprimées ?
- Oui. Dans l'affaire The New York Times c. OpenAI (2025), un tribunal fédéral américain a ordonné à OpenAI de préserver puis de produire environ 20 millions de logs de conversations, y compris des échanges que des utilisateurs avaient demandé de supprimer. Une obligation légale peut donc suspendre, le temps d'un litige, les politiques de suppression et les demandes d'effacement.
- Comment réduire mon exposition juridique face à ces sanctions ?
- Les régulateurs ciblent l'usage de données personnelles sans base légale ni consentement. Minimiser, anonymiser ou tokeniser les données avant de les transmettre à un système d'IA externe réduit directement la surface de risque : si le prompt ne contient pas de données personnelles en clair, ni une enquête ni une ordonnance de conservation n'exposent d'information exploitable.
Sources et références
- EDPB — l'autorité néerlandaise inflige une amende de 30,5 M€ à Clearview AI pour collecte illégale de données biométriques — European Data Protection Board
- L'Italie inflige 15 M€ à OpenAI pour violations du GDPR liées à la collecte de données par ChatGPT — The Hacker News
- OpenAI perd son pari sur la vie privée : 20 millions de logs ChatGPT vers les plaignants (NYT c. OpenAI) — The National Law Review
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt