Le problème du volume des DSAR
L'article 12 du GDPR exige que les organisations répondent aux demandes d'accès des personnes concernées dans un délai d'un mois, avec une possible extension de deux mois pour les demandes complexes. Le délai d'un mois est absolu — pas de période de grâce, pas d'exception de bonne foi. Le non-respect des délais de réponse est sanctionnable indépendamment des pratiques de protection des données sous-jacentes.
Les actions d'application majeures des DPA en 2024 — l'amende de 310 millions d'euros de la DPC irlandaise contre LinkedIn pour publicité comportementale sans consentement valide et 251 millions d'euros contre Meta pour des échecs de notification de violation de données — ont suscité une prise de conscience publique significative des droits des personnes concernées. Après chaque amende majeure, les DPA mènent généralement des campagnes de sensibilisation, et les volumes de DSAR augmentent à mesure que les personnes concernées apprennent qu'elles ont des droits à exercer.
Le cadre d'application coordonné de l'EDPB de 2024 s'est concentré sur les échecs de droit d'accès — abordant directement la qualité et la rapidité des réponses aux DSAR. Les organisations qui ne peuvent pas démontrer un traitement conforme des DSAR sont à risque accru alors que l'accent de l'application de l'EDPB se déplace vers les droits d'accès.
Le problème des PII de tiers
La préparation de la réponse aux DSAR a une complication spécifique qui multiplie la charge de travail manuel : les PII de tiers.
Lorsqu'une personne concernée demande toutes les données personnelles la concernant, l'organisation doit fournir l'information. Mais les dossiers détenus concernant la personne concernée peuvent contenir des références à d'autres individus — des notes de service client qui mentionnent d'autres clients, des fils de courriels qui incluent les coordonnées d'autres employés, des dossiers de plaintes qui font référence à des tiers. Fournir ces dossiers à la personne concernée expose les données personnelles des tiers en violation de leurs droits.
Une réponse DSAR conforme nécessite d'examiner chaque document dans le paquet de réponse pour les PII de tiers et d'anonymiser ces références avant l'envoi. Pour une entreprise de télécommunications avec 300 DSAR par mois, chacune impliquant 50 notes de service et communications, cela signifie examiner 15 000 documents par mois pour les références aux PII de tiers — exclusivement pour la conformité aux DSAR.
L'examen manuel à cette échelle n'est pas faisable dans le délai d'un mois de l'article 12. Une équipe de conformité de trois personnes ne peut pas examiner 15 000 documents par mois en plus de ses autres obligations. La seule approche évolutive est le traitement par lots automatisé avec un préréglage configuré pour la suppression des PII de tiers.
L'architecture de traitement par lots
Un préréglage "réponse DSAR" configuré pour la suppression des PII de tiers : le préréglage détecte tous les noms de personnes, informations de contact et références identifiables dans les documents. Il applique l'anonymisation à toutes les références détectées sauf celles appartenant explicitement à la personne concernée qui demande (identifiée par son nom et son numéro de compte au début du traitement par lots). D'autres clients nommés dans les dossiers, employés référencés dans les notes de service, et tiers mentionnés dans la correspondance sont anonymisés avant que le paquet de documents ne soit assemblé pour la réponse de la personne concernée.
Le traitement de 50 documents par demande DSAR prend des minutes plutôt que des heures. L'équipe de conformité examine la sortie anonymisée pour la qualité et les cas particuliers plutôt que de réaliser l'examen initial. Le temps de réponse aux DSAR passe de semaines à jours.
Sources :