רשות הגנת המידע בצרפת (CNIL) פרסמה סדרת המלצות בת שבעה שלבים למפתחי מערכות בינה מלאכותית הנדרשים לציית ל-GDPR. לפי ההמלצות, מפתחי מערכות בינה מלאכותית נדרשים תחילה להגדיר את מטרת המערכת. המטרה צריכה להיות קונקרטית (כדוגמת "מערכת בינה מלאכותית ליצירת סרטוני וידאו") ולא רחבה מדי ("מערכת בינה מלאכותית כללית"). בהתאם להגדרת המטרה ומיצובו של הארגון כלפי מטרה הזו, הצעד השני מזמין את הארגון לבחון האם הוא פועל כבעל שליטה במידע (Controller), בעל שליטה בצוותא (Joint-Controller) או כמעבד מידע (Processor).

בשלב הבא יש לעגן בסיס חוקי לעיבוד המידע, כדוגמת "אינטרס לגיטימי". הבסיס החוקי של "אינטרס לגיטימי" מחייב מצד אחד להראות שעיבוד המידע חיוני להשגת המידע ומצד שני שעיבוד המידע לא יגרור פגיעה לא מידתית בזכויות הפרט. אם הארגון מתכנן לעשות שימוש משני או חוזר במידע שכבר מצוי ברשותו מהקשר אחר, עליו לבחון האם השימוש המשני "תואם" את התכלית המקורית לשמה נאסף המידע בעבר. אם יש כוונה להשתמש במאגרי מידע פומביים, הארגון צריך לערוך בדיקה בסיסית שלא מדובר במידע שבאופן מובהק נאסף או מוצע ברבים תוך הפרת ה-GDPR, ושלא מדובר במידע בעל רגישות גבוהה.

בשלב החמישי הארגון נדרש לפעול לגידור היקף המידע שהוא מעבד למינימום הנדרש להשגת מטרותיו. בשלב השישי הארגון נדרש להגדיר את פרק הזמן לשמירת המידע, כך שהמידע לא ישתמר בידי הארגון מעבר לזמן הנדרש לצורך המטרות הלגיטימיות של הארגון. לבסוף, בשלב השביעי, הארגון נדרש לערוך תסקיר השפעה על הגנת מידע (Data Protection Impact Assessment - DPIA). רשות הגנת המידע בצרפת אף מציעה כלי חופשי לסייע בעריכת התסקיר.