RGPD-Expert est un assistant LLM dédié à la mise en œuvre concrète du règlement général sur la protection des données. Le modèle, publié sur le portfolio huggingface de Ayi Nedjimi, a été fine-tuné sur un corpus mixant le texte du règlement, les guides du CEPD anciennement G29, les délibérations sanctionnant ou éclairant des cas concrets prononcés par la CNIL et plusieurs autorités sœurs européennes, ainsi qu'un échantillon de jurisprudence du Conseil d'État et de la Cour de justice de l'Union européenne. L'objectif est d'offrir aux DPO, juristes, RSSI et chefs de projet un copilote capable de rédiger un registre des traitements, d'instruire une analyse d'impact AIPD, d'évaluer la pertinence d'une base légale, de cartographier les sous-traitants ou de structurer une réponse à une demande de droit d'accès. Tout en restant déployable localement pour protéger la confidentialité du dossier traité.

Points clés

  • RGPD-Expert couvre le règlement, les guides CEPD, les délibérations CNIL et la jurisprudence CJUE.
  • Cas d'usage : registre des traitements, AIPD, base légale, droits des personnes, contrats sous-traitants.
  • Inférence locale possible pour préserver la confidentialité des dossiers.
  • Garde-fous explicites : l'assistant n'a pas vocation à remplacer un avocat ni un DPO certifié.

Pourquoi un LLM spécialisé RGPD

Le RGPD est entré en application en 2018 mais sa lecture pratique évolue chaque année au rythme des délibérations de la CNIL, des lignes directrices du Comité européen de la protection des données et des arrêts marquants de la Cour de justice de l'Union européenne. Les organisations qui essaient de traiter ces sujets via un LLM généraliste se heurtent à deux limites. Premièrement, les modèles entraînés sur le web ouvert mélangent souvent les obligations RGPD avec d'autres législations type CCPA Californien ou PIPEDA Canadien, ce qui produit des réponses approximatives. Deuxièmement, les nuances jurisprudentielles, par exemple sur le consentement granulaire ou sur l'intérêt légitime, sont mal restituées sans un fine-tuning ciblé.

RGPD-Expert répond à ce besoin avec un fine-tuning sur un corpus rigoureusement européen et francophone. Il connaît la distinction responsable de traitement / sous-traitant, les six bases légales, les obligations spécifiques pour les données sensibles article 9, les particularités du transfert hors UE après l'invalidation du Privacy Shield et le mécanisme du nouveau cadre Data Privacy Framework adopté en 2023.

À quoi sert RGPD-Expert

Le modèle est conçu pour soutenir le travail quotidien du DPO ou du juriste protection des données. Il aide à rédiger une première version d'un registre des traitements, à structurer une AIPD pour un nouveau projet, à formuler une réponse à une demande d'accès article 15, à identifier la base légale la plus adaptée pour un cas d'usage marketing ou RH, à pré-rédiger une convention de sous-traitance article 28, à analyser la conformité d'un transfert hors UE et à préparer la communication d'une violation de données à la CNIL et aux personnes concernées.

Il s'adresse également aux équipes produits qui veulent concevoir un nouveau service en respectant le privacy by design. Le modèle sait par exemple critiquer un schéma de collecte de données et proposer des minimisations concrètes ou des techniques de pseudonymisation alignées sur les attentes du CEPD.

Méthodologie d'entraînement

Le corpus a été composé en trois couches comparables au modèle ISO27001-Expert. Première couche, le texte du règlement et les considérants. Chaque article a été reformulé en plusieurs paires question-réponse de différents niveaux de granularité pour favoriser la flexibilité conversationnelle.

Deuxième couche, les guides et recommandations CEPD et CNIL. Une trentaine de guides thématiques cookies, prospection commerciale, BCR, transferts internationaux, recrutement, vidéosurveillance, gestion RH ont été intégrés. Les versions successives quand elles existent ont été toutes incorporées avec date pour permettre au modèle de différencier les contextes.

Troisième couche, les délibérations CNIL anonymisées et la jurisprudence CJUE publiée Schrems II, Glawischnig-Piesczek, AC2W, Meta IE. Ces décisions permettent au modèle d'illustrer ses réponses par des cas réels et de signaler les sanctions emblématiques quand l'utilisateur pose des questions opérationnelles.

Le fine-tuning combine SFT et DPO sur un base 7B francophone, avec une évaluation interne sur 250 cas pratiques RGPD réels traités par des DPO partenaires. Le modèle atteint 81 pour cent de réponses jugées correctes ou utiles, contre 58 pour cent pour le modèle de base et 73 pour cent pour un modèle généraliste 70B cloud.

Cas d'usage concrets

Une mutuelle santé utilise le modèle pour pré-rédiger les fiches du registre des traitements lors de l'ajout d'un nouveau service téléconsultation. Le DPO décrit le traitement en quelques phrases, le modèle propose une fiche complète : finalité, base légale, données traitées, destinataires, durée, mesures de sécurité, transferts. Le DPO révise et valide.

Une startup edtech instruit une AIPD pour un module d'analyse comportementale destiné à des mineurs. Le modèle structure le rapport selon le canevas CNIL, propose une analyse des risques, identifie les mesures complémentaires à mettre en place et signale les points où une consultation préalable de la CNIL pourrait être nécessaire.

Un grand groupe industriel utilise le modèle pour soutenir sa réponse à un contrôle CNIL. Le modèle aide à rédiger les éléments factuels, à structurer les explications techniques et à anticiper les questions de l'autorité. La décision finale reste prise par le service juridique et la direction.

Une équipe RH d'ETI s'appuie sur le modèle pour clarifier les règles applicables à un nouveau système de recrutement assisté par IA. Le modèle rappelle les contraintes de l'article 22 sur les décisions automatisées et propose des garanties à mettre en place.

Un éditeur logiciel utilise le modèle pour réviser ses CGU et sa politique de confidentialité avant un lancement. Le modèle relit, signale les passages ambigus et propose des reformulations conformes aux exigences de transparence article 12 à 14.

Installation rapide

Le modèle est publié au format SafeTensors et GGUF. La quantization Q4_K_M permet une exécution locale sur un poste de DPO sans GPU dédié.

ollama pull rgpd-expert:q4
ollama run rgpd-expert:q4 "Quelle base legale pour une newsletter B2B en France ?"

# Python Transformers
from transformers import AutoTokenizer, AutoModelForCausalLM
tok = AutoTokenizer.from_pretrained("ayinedjimi/RGPD-Expert")
mod = AutoModelForCausalLM.from_pretrained("ayinedjimi/RGPD-Expert")

Pour un déploiement collaboratif, le modèle s'intègre naturellement à un chatbot interne via un connecteur LangChain ou LlamaIndex. Une recette RAG permet d'enrichir les réponses avec la base de délibérations CNIL téléchargée depuis le site officiel.

Templates de prompts métiers

La bibliothèque de prompts livrée avec le modèle accélère l'usage par les profils non techniques. Trois familles principales sont fournies. Première famille, prompts d'instruction de dossier : registre des traitements, fiche AIPD, fiche d'incident violation de données, fiche transfert international. Chaque prompt structure la sortie en sections obligatoires pour permettre un import facile dans l'outil GRC ou dans la documentation interne. Deuxième famille, prompts d'analyse : revue d'un contrat sous-traitant, audit d'une politique de confidentialité, évaluation d'une base légale, examen d'un projet de profilage. Troisième famille, prompts de communication : rédaction d'une note de sensibilisation, préparation d'une réponse à une demande d'accès, formulation d'un courrier à la CNIL.

Chaque template a été testé sur plusieurs cas réels anonymisés et calibré pour produire une sortie cohérente. Les DPO peuvent les adapter en quelques minutes au contexte de leur organisation, ce qui industrialise le travail tout en préservant la qualité juridique.

Particularités sectorielles couvertes

Le modèle a été entraîné avec une attention particulière aux secteurs régulés. Pour le secteur santé, il connaît les exigences du HDS hébergement de données de santé et les particularités du traitement des données de santé au sens de l'article 9 du RGPD. Pour le secteur financier, il intègre les croisements avec DORA et la directive PSD2 pour la protection des données de paiement. Pour le secteur public et collectivités, il distingue les bases légales spécifiques mission d'intérêt public et exercice de l'autorité publique. Pour les éditeurs SaaS, il comprend les enjeux du contrat de sous-traitance article 28 et de la qualification responsable conjoint quand plusieurs acteurs déterminent finalités et moyens. Pour le secteur des médias et de la presse, il connaît l'exception journalistique prévue à l'article 85 et sa transposition française.

Articulation avec les autres référentiels européens

Le modèle est entraîné à articuler le RGPD avec les autres textes qui entrent en interaction. NIS 2 pour la sécurité des réseaux et systèmes d'information impose des obligations qui recouvrent partiellement celles de l'article 32 du RGPD : le modèle aide à mutualiser les preuves de sécurité. DORA pour la résilience numérique du secteur financier ajoute des exigences sur la gestion des risques liés aux prestataires TIC, dont les sous-traitants RGPD au sens de l'article 28. L'AI Act qui entrera en vigueur progressivement impose pour certains systèmes d'IA des obligations d'évaluation des risques qui peuvent se combiner avec l'AIPD du RGPD. Le modèle aide à structurer une approche intégrée plutôt que silotée.

Pour les organisations transfrontalières, le modèle distingue les particularités françaises de la loi Informatique et Libertés modifiée, les particularités allemandes de la BDSG, les particularités espagnoles de la LOPDGDD. Cette finesse évite d'appliquer mécaniquement une lecture française à un contexte multi-juridictionnel européen.

Limites et garde-fous

RGPD-Expert n'est pas un avocat. Aucune réponse ne constitue un avis juridique opposable. Sur des cas complexes ou à fort enjeu sanction potentielle élevée, transfert international à enjeu stratégique, droits des mineurs, données de santé, la consultation d'un juriste ou avocat spécialisé reste indispensable. Le modèle peut commettre des erreurs sur des cas atypiques, en particulier sur les particularités sectorielles régulées comme la santé HDS, la finance DORA ou les télécoms ePrivacy.

Le modèle a été aligné pour refuser de produire des stratégies de contournement du règlement. Il refuse également d'évaluer la responsabilité personnelle de tel ou tel acteur cité par l'utilisateur. Son rôle est strictement informatif et conseil neutre.

Roadmap

Quatre axes structurent la suite. Premier axe, intégration de la directive ePrivacy et de la future réforme ePrivacy. Deuxième axe, support des spécificités sectorielles HDS pour la santé, DORA pour la finance, DSA pour les plateformes. Troisième axe, alignement avec le futur AI Act et la cartographie des intersections RGPD x AI Act. Quatrième axe, publication d'un dashboard d'aide au DPO permettant de suivre les mises à jour réglementaires entre deux versions du modèle.

FAQ

Le modèle peut-il rédiger seul ma politique de confidentialité ?

Le modèle propose une première version solide mais une revue par un juriste reste recommandée, en particulier pour les organisations multinationales et les services traitant des données sensibles. La politique engage la responsabilité juridique du responsable de traitement.

Le modèle prend-il en compte les jurisprudences récentes ?

Le corpus est mis à jour à intervalle régulier. Pour les évolutions intervenues après la coupure du corpus, l'utilisateur peut coupler le modèle à une base RAG locale alimentée par les délibérations récentes téléchargées depuis le site CNIL ou EUR-Lex.

Peut-on l'utiliser pour répondre à un contrôle CNIL ?

Le modèle peut aider à préparer les éléments mais la rédaction finale doit être pilotée par le DPO et validée par le service juridique. Une réponse à un contrôle engage l'organisation, son exhaustivité et sa précision sont essentielles.

Le modèle traite-t-il les transferts internationaux après l'invalidation du Privacy Shield ?

Oui. Le corpus inclut Schrems II, les nouvelles clauses contractuelles types CCT 2021, les évaluations d'impact des transferts TIA et le Data Privacy Framework adopté en 2023. Le modèle sait articuler ces différents mécanismes en fonction du pays destinataire.

Pour aller plus loin

La fiche modèle complète, les exemples et la model card sont accessibles via le portfolio /huggingface du compte Ayi Nedjimi. Pour approfondir, consultez l'article RGPD 2026 et sécurité CNIL, le guide ISO 27001 complet, l'analyse conformité RGPD des données des modèles IA et l'étude confidentialité LLM, PII et DLP.

Accéder à la ressource

Le modèle est disponible sur Hugging Face : huggingface.co/AYI-NEDJIMI/RGPD-Expert-1.5B — version quantifiée GGUF pour Ollama/llama.cpp : huggingface.co/AYI-NEDJIMI/RGPD-Expert-1.5B-GGUF.

→ Modèle sur Hugging Face → Version GGUF