Dans l'activité d'une entreprise, la collecte de données est omniprésente. Cependant, toutes les données n’ont pas la même importance, et certaines, dites sensibles au sens du RGPD, nécessitent une attention particulière.
Les données sensibles, qu'elles soient d’ordre médical, religieuses ou trop personnelles, peuvent avoir des conséquences graves si elles sont mal protégées ou divulguées.
Pourtant, leur collecte est souvent involontaire, innocente, ou fait suite à une négligence. Cet article explore les différentes manières dont ces informations sont collectées afin de renforcer la gouvernance des données personnelles au stade précoce.
Collecte involontaire : le plus souvent à l'initiative de la personne concernée
Les données personnelles sensibles sont souvent collectées lorsque la personne concernée les divulgue, sans être pleinement consciente de leur caractère. Si les informations transmises intègrent directement le système, des données à caractère personnelles sensibles y figureront tôt ou tard.
Que ce soit à travers des échanges par e-mail ou la retranscription d'une conversation téléphonique par un opérateur, ces données peuvent inclure des informations personnelles non sollicitées. Par exemple, un client décrira une situation personnelle révélant involontairement des informations sensibles (comme une maladie ou un état de détresse). Ces données se retrouvent intégrées dans des sources de données sans que ni le client ni l’entreprise ne soient pleinement conscients du contenu de ces données non structurées.
Des données et documents sensibles peuvent également être collectées de manière non intentionnelle lors d'un processus de numérisation. Le traitement des dossiers est maintenant largement dématérialisé. Et c'est lors de la dématérialisation de ces piles de documents que des informations à risque sont transférées avec une fréquence d'autant plus importante que les justificatifs son nombreux.
Même si un document sensible est identifié après coup, la découpe d’un fichier PDF - produit de la numérisation - reste techniquement complexe. Ainsi, ces informations, bien qu'involontairement collectées, peuvent persister durablement si elles ne sont pas supprimées correctement.
Collecte volontaire : Envie de bien faire et méconnaissance du RGPD
Il existe des situations où la collecte des données se fait avec bienveillance, mais sans prise de conscience du caractère sensible de ces informations. C’est souvent le cas lorsque des personnes, dans un souci d’organisation ou de sécurité, mettent en place des registres ou des listes de participation. Par exemple, lors de l’organisation d’une marche des fiertés, tenir un registre des participants absents peut sembler anodin. Cependant, sans s’en rendre compte, l’organisateur peut recueillir des informations sensibles concernant l’orientation sexuelle ou la participation à une activité protégée.
Cette méconnaissance des implications légales, notamment du RGPD (Règlement Général sur la Protection des Données), est rarement identifiée avant que les données n'intègrent les bases de l'entreprise. Il lui appartient de mettre en oeuvre les vérifications permettant de comprendre leur origine et de sensibiliser le personnel au RGPD pour en minimiser le volume.
Collecte par négligence : Erreurs humaines ou méconnaissance des supports de stockage
La négligence est un facteur important dans la collecte et la persistance involontaire de données sensibles. Une collecte peut être légitime – par exemple, lors de la vérification de l’identité d’un individu à l’entrée d’un bâtiment. Cependant, une fois cette vérification effectuée, le document, tel qu'une pièce d’identité scannée, ne devrait pas être conservé dans le système d’information.
Il arrive souvent que des documents sensibles ne soient simplement pas supprimés après leur utilisation, restant dans des bases de données, des partages de fichiers ou sur des serveurs, exposant l'entreprise à des risques de non-conformité avec la réglementation en matière de protection des données.
Les erreurs humaines se manifestent aussi par une mauvaise application des règles de suppression des données. Par exemple, un employé peut supprimer une information sensible dans un outil de suivi des demandes, mais oublier de supprimer l’e-mail initial qui a conduit à l’enregistrement de cette information.
Ces failles dans la gestion des données sont fréquentes et révèlent souvent une méconnaissance des supports de stockage ou des systèmes d’archivage utilisés, ce qui entraîne encore la persistance d'informations sensibles dans des environnements non maîtrisés.
La protection des données sensibles face à des collectes multiples
Les données sensibles proviennent de divers canaux : elles peuvent être collectées involontairement par des traces laissées dans des communications, volontairement mais sans pleine conscience de leur caractère sensible, ou encore par négligence dans le traitement et la suppression des informations.
On les retrouve le plus souvent dans les données non structurées qui ne sont pas activement gérées dans le système d'information et ne rentrent pas dans des "cases" qui les rendraient plus faciles à détecter.
Les données collectées avant l'entrée en vigueur du RGPD sont plus susceptibles de contenir des informations sensibles, car les lois informatique et liberté étaient moins connues. Cependant, même aujourd’hui, même avec les meilleurs intentions, la collecte de données sensibles ne cesse jamais réellement.
C’est pourquoi il est crucial pour les entreprises de s’équiper d’outils de surveillance des flux de données entrants et d’instaurer des procédures de revue automatisée des sources de données, de découverte des données personnelles et d'identification automatique de documents et informations sensibles.
La responsabilité de la protection de ces données incombe aux entreprises qui les traitent. Elles doivent surveiller l'existant autant que les flux de données entrants et s'assurer d'une bonne gestion de leur cycle de vie, jusqu'à leur suppression.