Où sont passées mes données personnelles ?

Le RGPD impose non seulement de sécuriser les données personnelles confiées par des tiers mais aussi, en cas de demande, de pouvoir les modifier, les effacer. Si ce principe parait assez simple, sa mise en pratique l’est beaucoup moins, et peut virer au véritable casse-tête.

Le plus facile concerne les données dites structurées, c’est-à-dire les données qui sont contrôlées par des référentiels ; schématiquement, celles qui sont stockées dans les bases de données. Cela concerne naturellement la part la plus importante des données en volume et sur laquelle une attention toute particulière est apportée par les DSI en matière de règles de gestion, d’archivage, d’accès, de sécurité au sens large.

La difficulté à laquelle les entreprises se trouvent confrontées porte plutôt sur les données dites non structurées, c’est-à-dire celles qui sont hors des gros systèmes applicatifs, sur les postes des collaborateurs, sur leur espace serveur, sur leur cloud et qui naviguent assez librement via les messageries, en interne et en externe (à titre d’exemple, les fichiers bureautiques qu’ils soient texte, multimédia, etc). Il est assez simple de retirer une personne qui en fait la demande de la liste de diffusion d’une newsletter à partir de l’outil d’emailing. En revanche, rien ne me dit que cette personne ne figure pas aussi dans une liste Excel de diffusion qui fait qu’alors même que le DPO pensera avoir donné suite à la demande du tiers et avoir respecté les exigences du RGPD, il se trouvera en fait pris en défaut et potentiellement exposé à une enquête de la CNIL par suite d’une plainte de la part de la personne concernée.

Or, qui n’aime pas avoir sur son ordinateur, sa propre liste ou base de données, répliquée 3 fois pour des besoins variés ou des simulations, avec naturellement une copie sauvegardée ailleurs, au cas où…

Le véritable risque est bien là, mais bien souvent par confort ou méconnaissance, la focale se fait sur les données structurées et gomme du paysage les données non structurées.

Pourquoi, le risque est-il plus élevé ? En tout premier lieu parce que dans ce cas de figure, le respect du RGPD repose sur une communauté d’individus dont la sensibilité sur le sujet est très variable et qui n’ont que très peu conscience des risques qu’ils peuvent faire courir à leur entreprise. En deuxième lieu, parce que ces données sont stockées sur des supports qui sont plus fragiles que les gros systèmes : perte ou vol de PC ou de téléphone portable, utilisation de messageries non protégées, comme le classique envoi de fichier vers sa messagerie personnelle pour finaliser un dossier le week-end.

Chez Grant Thornton, nous avons identifié une solution digitale qui permet à la DSI de rechercher en permanence, en scrutant le réseau et les PC, l’ensemble des données personnelles qui y figurent et ainsi être en capacité d’agir en cas de demande d’exercice de droit et de réagir en cas de databreach, en ayant connaissance des données présentes sur le support compromis.