anonym.legal

By · Last updated 2026-06-05

Retour au blogSécurité de l'IA

Le problème des captures d'écran PII...

Slack, Teams, Jira et les e-mails reçoivent régulièrement des captures d'écran contenant des PII clients.

June 5, 20266 min de lecture
screenshot PIIinternal toolsGDPR compliancedata leakageJira Slack security

L'angle mort DLP que vous n'avez pas encore audité

Les outils DLP surveillent le trafic réseau, les pièces jointes aux e-mails et les transferts de fichiers. Ils détectent les feuilles de calcul avec des colonnes SSN. Ils signalent les e-mails avec des listes de clients. Ils bloquent les envois contenant des dossiers médicaux.

Ils ne détectent pas les captures d'écran.

Une capture d'écran est un fichier image. Les données personnelles qu'elle contient sont représentées en pixels. Elles ne sont pas stockées en tant que texte. Les moteurs DLP qui analysent les modèles de données personnelles ne trouvent rien.

Chaque jour, des employés collent des captures d'écran dans Slack, Jira, Teams et des chaînes d'e-mails. Aucune alerte DLP ne se déclenche.

Comment les captures d'écran propagent les données personnelles au travail

Le travail à distance et hybride a rendu le partage de captures courant. Les outils internes s'en remplissent chaque jour.

Les membres de l'équipe partagent des captures pour un contexte rapide :

  • Les agents de support partagent les vues de comptes clients avec leurs responsables.
  • Les développeurs partagent des journaux d'erreurs contenant des données saisies par les utilisateurs.
  • Les gestionnaires de comptes envoient des enregistrements CRM pour donner du contexte aux équipes financières.
  • Les administrateurs IT capturent des vues système pour documenter les configurations pour les prestataires.
  • Les équipes produit partagent des vues de tableaux de bord dans les mises à jour pour les parties prenantes.

Chaque pièce jointe peut contenir des informations personnelles. Une capture de compte client contient un nom, un e-mail, un statut et une adresse de facturation. Un fichier journal d'erreurs peut inclure des noms, adresses ou numéros de téléphone saisis par des utilisateurs. Une capture d'enregistrement CRM contient le profil complet du compte. Un fichier tableau de bord peut afficher des identifiants d'utilisateurs dans les étiquettes de graphiques.

Le problème de contrôle d'accès

Le partage de captures d'écran crée également un problème de contrôle d'accès.

La plupart des organisations appliquent des contrôles d'accès basés sur les rôles sur leurs systèmes de production. Un agent de support ne voit que les enregistrements de sa file d'attente. Un prestataire ne voit que les fichiers de projet qui lui sont assignés.

Quand un agent capture un enregistrement client et le colle dans un canal Slack partagé avec des prestataires, le contrôle d'accès est contourné. Le prestataire obtient des données personnelles auxquelles il ne pouvait pas accéder par les voies normales. Le DPA régissant le travail des prestataires peut ne pas couvrir ce transfert. Les droits RGPD du client peuvent ne pas s'appliquer à ce prestataire.

Ce contournement est un problème au regard de l'article 5(1)(f) du RGPD. Il concerne l'intégrité et la confidentialité. Il peut également créer des problèmes d'alignement avec l'article 28 si les prestataires reçoivent des données personnelles sans les bons DPA. Consultez notre guide de conformité RGPD pour une liste de vérification des obligations de l'article 28.

La détection de données personnelles dans les images comme mesure de protection

La mesure de protection technique pour l'exposition de données personnelles via des captures est l'OCR couplée à la détection NLP. Les étapes sont simples.

  1. L'employé capture un écran d'une interface client.
  2. Avant de partager : télécharge la capture dans un outil de détection.
  3. L'outil extrait le texte visible par OCR.
  4. Le NLP identifie les entités de données personnelles dans le texte.
  5. L'employé voit un rapport : « Cette capture contient : [nom du client], [adresse e-mail], [ID de compte]. »
  6. L'employé masque ensuite les données personnelles, restreint la portée du partage, ou continue avec une raison écrite.

Cela ne bloque pas tout partage. Cela rend les informations personnelles visibles avant qu'elles ne bougent. Les personnes peuvent alors faire des choix éclairés. Voyez comment cela s'intègre à votre dispositif de protection sur la page de sécurité.

Cas d'usage : Politique de captures Jira pour un helpdesk SaaS

Le helpdesk d'une entreprise SaaS utilisait Jira pour journaliser les problèmes de comptes. Les fichiers joints à ces tickets contenaient des données personnelles d'utilisateurs. Plus précisément :

  • Adresses e-mail des utilisateurs issues des interfaces de gestion de comptes.
  • Détails des plans d'abonnement.
  • Montants et dates de facturation.
  • Données de paiement partielles dans certains cas.

Un audit RGPD a trouvé 847 tickets Jira créés sur 18 mois. Tous contenaient des pièces jointes avec des données personnelles. Jira était accessible à tous les 200 ingénieurs. Certains étaient des prestataires sans DPA pour les enregistrements de facturation client.

Étapes de remédiation :

  1. Audit rétroactif : détection de données personnelles sur toutes les pièces jointes existantes. 312 tickets signalés pour examen par le DPO.
  2. Nettoyage des tickets : 89 tickets ont eu leurs fichiers masqués avant réattachement.
  3. Changement de processus : nouveau flux de travail exigeant une vérification des données personnelles avant tout attachement Jira.
  4. Formation : session de 15 minutes pour tout le personnel du helpdesk.

Résultats après 90 jours :

  • Incidents de données personnelles dans Jira : baisse de 90 pour cent.
  • Incidents restants : cas où le personnel a continué avec une raison diagnostique écrite.
  • Portée du DPA : mise à jour pour réduire l'exposition inutile de données personnelles aux prestataires.

Les 312 tickets historiques constituaient un constat de non-conformité. La baisse de 90 pour cent a servi de preuve de remédiation dans la réponse à l'audit.

Intégrer la revue de captures dans les flux de travail d'équipe

Pour les organisations qui souhaitent des contrôles de données personnelles sans ralentir les opérations, plusieurs options existent.

Option légère : Un outil navigateur que les employés utilisent avant de coller dans Slack ou Jira. Glissez la capture, obtenez un rapport sur les données personnelles en cinq secondes, puis continuez ou masquez.

Hook Jira ou ServiceNow : Détection qui s'exécute avant que les fichiers n'atteignent les tickets. Cela fonctionne comme un antivirus avant un envoi de fichier.

Bot Slack : Un bot qui reçoit les envois de captures dans des canaux choisis. Il exécute la détection de données personnelles. Il publie une réponse en fil de discussion avec les entités détectées. Cela rend les informations personnelles visibles sans bloquer le flux de travail.

Norme d'équipe et échantillonnage : Une vérification automatisée hebdomadaire. Échantillonnez 10 pour cent des captures dans les outils collaboratifs. Exécutez la détection. Signalez les résultats au responsable d'équipe. Cela crée une responsabilité sans bloquer aucun flux de travail.

Pour les registres RGPD : le contrôle des données personnelles dans les captures compte comme une « mesure organisationnelle » au sens de l'article 32. Documentez la mesure de protection — politique plus outil technique. Ajoutez une preuve d'utilisation. Cela satisfait la règle de responsabilité de l'article 5(2). Consultez notre page de conformité et l'entrée du glossaire pour l'article 32.

Vous voulez voir comment anonym.legal gère cela pour votre équipe ? Visitez notre page de tarifs ou lisez la déclaration du fondateur sur la dé-identification.

Sources

Articles connexes

Sécurité de l'IA

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Sécurité de l'IA

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Sécurité de l'IA

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.