CNIL × PIPC : une affiche pédagogique pour reprendre le contrôle de ses données face à l'IA générative
La CNIL et la PIPC, son homologue sud-coréenne, viennent de publier une affiche pédagogique commune intitulée « IA générative et vie privée ». Six questions, trois langues, un objectif : donner aux utilisateurs — et en particulier aux adolescents — les bons réflexes avant, pendant et après une conversation avec une IA générative. Derrière l'initiative de communication, un message clair envoyé aux DPO : la sensibilisation à l'IA grand public devient un terrain de coopération internationale.
Ce qui s'est passé
Le 27 mai 2026, la CNIL et la Personal Information Protection Commission (PIPC, autorité coréenne de protection des données) ont dévoilé une affiche bilingue franco-coréenne — également déclinée en anglais — destinée à expliquer comment protéger ses données personnelles lorsqu'on utilise un service d'IA générative. Le document, structuré autour de six questions simples, s'adresse en priorité aux jeunes : il sera diffusé dans les collèges et lycées, relayé sur les réseaux sociaux et présenté lors d'événements publics.
Cette publication s'inscrit dans le partenariat noué en octobre 2022 entre les deux autorités, et prolonge l'affiche « Tes données, tes droits » co-produite en 2024. Marie-Laure Denis, présidente de la CNIL, y voit un signal de « vigilance accrue » sur les usages numériques émergents ; Kyung Hee Song, présidente de la PIPC, en fait un « exemple de référence en matière de coopération politique » sur la protection des mineurs et l'IA.
Pourquoi c'est important
L'affiche n'a pas de portée normative : elle ne crée aucune obligation nouvelle, ne fixe aucune sanction, ne tranche aucun débat juridique. Mais elle confirme une bascule. Depuis dix-huit mois, la CNIL multiplie les signaux d'alerte sur l'usage personnel et professionnel des IA génératives — souvent en s'appuyant sur des données chiffrées préoccupantes. L'enquête VYV/CNIL publiée plus tôt en 2026 montrait que 69 % des jeunes font confiance à un chatbot, mais que seuls 32 % comprennent où vont leurs données. La même étude pointait que 50 % des jeunes Européens confient à une IA conversationnelle des sujets de santé mentale ou intimes.
Dans ce contexte, distribuer une affiche dans les établissements scolaires n'est pas un geste anodin : c'est l'aveu que la prévention juridique classique — politiques de confidentialité, mentions d'information article 13 du RGPD — ne suffit plus à atteindre les utilisateurs réels de ces outils. La CNIL choisit le format le plus simple possible pour ramener le consentement éclairé à hauteur d'usager. Le RGPD existe depuis 2018 ; ses principes de transparence et de consentement n'ont pas changé. Ce qui change, c'est l'écart entre la lettre du règlement et la réalité des conversations qu'un adolescent peut avoir, chaque jour, avec un modèle de langage qu'il ne connaît pas.
Ce que ça change pour les organisations
Pour les DPO et responsables conformité, l'affiche est moins une cible qu'un outil. Trois actions concrètes en découlent.
Intégrer l'affiche dans les supports internes de sensibilisation. L'IA générative s'est installée au bureau aussi vite qu'à la maison : les mêmes salariés qui partagent des données personnelles avec ChatGPT le soir copient-collent des extraits de contrats clients le matin. Une sensibilisation efficace doit traiter ces deux usages comme un continuum, et l'affiche CNIL/PIPC s'intègre naturellement aux programmes de sensibilisation IA existants — affichage cafétéria, e-mail mensuel, module e-learning.
Mettre à jour les chartes IA et les politiques d'usage. Les six questions de l'affiche (qui accède à mes données, où sont-elles stockées, peut-on les supprimer, etc.) doivent trouver une réponse claire dans la charte IA de l'organisation. Sans cela, le décalage entre la pédagogie publique de la CNIL et le silence de l'employeur sera reproché. Notre guide ChatGPT et RGPD détaille les clauses à intégrer dans une politique d'usage solide.
Anticiper l'articulation avec l'AI Act. L'article 4 de l'AI Act impose, depuis février 2025, une obligation de littératie en IA pour les fournisseurs et déployeurs de systèmes d'IA. L'affiche CNIL/PIPC n'a pas force de loi, mais elle préfigure le type d'outils qu'une organisation peut produire pour démontrer le respect de cette obligation. Pour le détail des autres exigences, voir notre guide AI Act 2026.
Ce que Leto pense de cette décision
Une affiche ne remplace pas une AIPD, et personne ne s'attend à ce que la CNIL régule l'IA générative à coups de posters dans les couloirs de lycée. Mais en allant chercher ses publics là où ils sont — sur les murs, sur Instagram, en six questions — la CNIL fait quelque chose que ses lignes directrices, aussi solides soient-elles, ne peuvent pas faire : elle reconnecte la conformité à l'usage réel. Pour les DPO, l'enseignement est immédiat : la sensibilisation IA ne peut plus se limiter à un slide en réunion annuelle. Elle doit ressembler à ce que les utilisateurs lisent vraiment.
Sources :
