18 mois pour industrialiser l’audit de confidentialité des LLM : tel était l’objectif de PANAME (Privacy Auditing of AI Models) à son démarrage en juin 2025.

L’ANSSI, la CNIL, le PEReN et le PEPR Cybersécurité portent le projet. Il doit en résulter une bibliothèque logicielle qui unifiera cette évaluation.

Aux dernières nouvelles, le calendrier initial tient toujours : il est question de publier cette bibliothèque à l’automne 2026. En attendant, un appel à manifestation d’intérêt est lancé en vue d’une phase de test. Il court jusqu’au 28 mars. Sont concernées les « entreprises, startups [sic], laboratoires de recherche et institutions » utilisant ou développant des modèles d’IA et basés dans l’UE.

En toile de fond, un avis du CEPD (Contrôleur européen de la protection des données) selon lequel le RGPD s’applique dans de nombreux cas aux modèles d’IA entraînés sur des données personnelles, en raison de leurs capacités de mémorisation. Dans ce contexte, pour conclure au caractère anonyme d’un modèle et ainsi le sortir du champ d’application du règlement, il est très souvent nécessaire de démontrer sa résistance à des attaques en confidentialité.

Trois grandes typologies d’attaques

Les porteurs de PANAME divisent ces attaques en trois catégories. La plus fondamentale est dite « par inférence d’appartenance ». Elle vise à savoir si les données concernant tel individu ont été utilisées pour entraîner tel modèle. On peut s’appuyer sur les scores de confiance (vecteurs de probabilité) que fournissent la plupart des modèles de classification. Puis passer par des modèles proxy (shadow models). L’attaquant entraîne ces derniers sur ses propres données, puis observe comment ils réagissent face à celles incluses (réponse A) et celles exclues (réponse B).Il entraîne ensuite un classifieur d’attaque : une IA qui reconnaît si le comportement du modèle cible ressemble au « A » ou au « B ».

Il existe aussi des attaques par inférence d’attribut. Elles peuvent permettre de récupérer des attributs sensibles lorsqu’on dispose déjà d’une connaissance partielle des données individuelles utilisées pour l’entraînement. Pour cela, le modèle est utilisé comme un oracle, en se basant sur le fait qu’il encode des corrélations fines entre les données d’entraînement. On l’interroge de manière itérative pour tester toutes les valeurs possibles des attributs en question.

Troisième grande catégorie : les attaques par reconstruction. C’est la technique la plus sophistiquée si le modèle cible n’est pas génératif. Avec elle, on régénère une approximation de la donnée brute.
La CNIL donne l’exemple d’une reconstruction de visage. L’attaquant commence par une image composée de « bruit » (pixels gris aléatoires). Il le soumet au modèle. Celui-ci fournit un gradient, indiquant la manière dont on peut l’augmenter (éclaircir tels pixels, assombrir tels autres…). L’attaquant la modifie en conséquence, la soumet à nouveau, et ainsi de suite. Jusqu’à obtenir une reconstruction visuelle, « souvent floue mais identifiable ».

La première phase de tests pour PANAME doit se terminer en juin. Une seconde s’enclenchera ensuite éventuellement avec les « testeurs référents ayant été le plus impliqués dans la première phase ».

À consulter en complément :

IA et RGPD : la CNIL joue les généalogistes
Avec l’AI Act, un nécessaire RGPD 2 ?
Au Parlement européen, la DSI met l’IA en pause
L’IA générative, cette arme cyber qui inquiète l’ANSSI
L’IA devient un élément codifiant du conseil en technologies

Illustration © bestforbest – Adobe Stock

The post IA et RGPD : le projet PANAME teste sa bibliothèque d’audit appeared first on Silicon.fr.