Demandes d'accès aux données personnelles
expliquées et résolues

Une demande d'accès aux données personnelles (Data Subject Access Request, ou DSAR) est une demande formelle faite par un individu à une organisation pour obtenir une copie des données personnelles que cette organisation détient à son sujet. Ce droit est établi par l'article 15 du RGPD, et des dispositions équivalentes existent dans les lois sur la protection des données en Australie, au Canada et dans d'autres juridictions.

Les individus soumettent des demandes DSAR pour diverses raisons. Certains veulent comprendre quelles informations un employeur ou ancien employeur détient à leur sujet. D'autres préparent un litige, enquêtent sur un grief ou exercent simplement leur droit légal à la transparence. Quel que soit le motif, les organisations sont légalement tenues de répondre.

Une réponse DSAR valide signifie localiser toutes les données personnelles que l'organisation détient sur le demandeur — dans les e-mails, documents, systèmes RH, plateformes de messagerie, dossiers partagés et bases de données — et fournir une copie dans un délai d<bold>un mois calendaire</bold>.

En pratique, c'est bien plus difficile qu'il n'y paraît. Un seul employé peut apparaître dans des milliers d'e-mails, des centaines de documents, de multiples fils de conversation et plusieurs systèmes internes accumulés au fil du temps. Trouver toutes ces données, les examiner pour les exemptions et caviarder les informations de tiers avant la divulgation représente une charge opérationnelle considérable.

Le défi central des demandes DSAR n'est pas de comprendre l'obligation — c'est de la remplir. La plupart des organisations stockent des données personnelles dans des dizaines de systèmes : serveurs de messagerie, dossiers partagés, plateformes RH, outils CRM, plateformes de messagerie et bases de données historiques.

Une fois les données collectées, chaque document doit être examiné individuellement. Les examinateurs doivent déterminer si chaque élément entre dans le périmètre, s'il contient les données personnelles du demandeur et si des exemptions s'appliquent.

Ensuite vient le caviardage. Avant de divulguer des documents, les organisations doivent supprimer les données personnelles de tiers — noms, adresses e-mail, numéros de téléphone et autres données identifiantes. Dans une seule chaîne d'e-mails, cela peut signifier caviarder des dizaines de références.

Les approches traditionnelles reposent sur des parajuristes ou des avocats juniors examinant les documents un par un, souvent avec des outils génériques comme Adobe Acrobat ou Microsoft Word. Un DSAR impliquant 5 000 documents peut coûter des dizaines de milliers d'euros en frais juridiques.

Le risque juridique est réel. Une réponse incomplète, un document oublié ou une divulgation accidentelle de données de tiers peut entraîner des plaintes auprès de l'autorité de contrôle, des mesures réglementaires et des dommages à la réputation.

Dezcry est une plateforme eDiscovery alimentée par l'IA conçue pour remplacer les flux de travail fragmentés et manuels par un processus unique et structuré.

Le flux de travail commence par la collecte de données. Les documents, e-mails et pièces jointes sont chargés dans un espace de travail. Dezcry prend en charge les formats courants — boîtes aux lettres PST, PDF, documents Office, images et texte brut — et extrait automatiquement le contenu recherchable, y compris l'OCR pour les documents numérisés.

Une fois ingérés, la classification par IA identifie quels documents sont probablement dans le périmètre et lesquels peuvent être traités en priorité moindre.

Le caviardage IA identifie ensuite les données personnelles de tiers, les catégories sensibles, le contenu privilégié et les informations confidentielles — appliquant des suggestions de caviardage cohérentes sur l'ensemble des documents.

Le résultat est un processus juridiquement défendable et auditable qui produit un dossier prêt à la divulgation en une fraction du temps. Chaque action est journalisée, créant une piste d'audit claire expliquant ce qui a été fait et pour quelles raisons.

L'un des plus grands gouffres de temps dans tout DSAR est de décider quels documents sont réellement pertinents. Une collecte de données couvrant cinq ans de courriels peut contenir 20 000 éléments, mais seule une fraction contiendra les données personnelles du demandeur de manière significative.

Dezcry utilise la classification par IA pour analyser chaque document et évaluer sa pertinence par rapport à la demande. Le système évalue le contenu, les métadonnées et le contexte pour déterminer si un document est probablement dans le périmètre, potentiellement dans le périmètre ou clairement hors périmètre.

L'impact pratique est significatif. Au lieu d'examiner chaque document séquentiellement, les examinateurs peuvent se concentrer d'abord sur les éléments les plus pertinents, reporter les documents à pertinence incertaine pour un examen secondaire et confirmer rapidement que le matériel hors périmètre a été correctement exclu.

La classification soutient également la cohérence. Plutôt que de s'appuyer sur des jugements individuels qui varient d'une personne à l'autre, l'IA fournit une évaluation de base uniforme sur l'ensemble des documents.

Le caviardage est le point où les coûts DSAR escaladent le plus fortement. Les organisations doivent identifier et supprimer les données personnelles appartenant à des tiers. Elles doivent également identifier les données personnelles sensibles, les informations commercialement sensibles et le contenu protégé par le secret professionnel ou privilège juridique.

Dans un flux de travail traditionnel, un examinateur ouvre chaque document, le lit, surligne manuellement chaque nom, adresse e-mail, numéro de téléphone et information identifiante, puis applique un caviardage. Pour un seul fil d'e-mails avec dix participants et cinquante messages, ce processus peut prendre une heure ou plus.

Dezcry procède différemment. La plateforme utilise un processus de caviardage multicouche basé sur l'IA qui identifie automatiquement les données personnelles, les catégorise et génère des suggestions de caviardage sur l'ensemble des documents.

Au-delà des données personnelles de base, l'IA identifie des motifs signalant des catégories sensibles : références à des conditions médicales, santé mentale, handicaps, orientation sexuelle, croyances religieuses et affiliations politiques. Elle signale également le contenu potentiellement couvert par le secret professionnel ou privilège juridique.

L'avantage critique est la cohérence à grande échelle. Un examinateur humain travaillant sur son 500e document manquera inévitablement des références qu'il aurait repérées au 50e. L'IA applique la même logique de détection à chaque document avec la même rigueur.

Le système est conçu pour automatiser le caviardage à grande échelle. Les caviardages sont appliqués automatiquement selon des règles configurables et des seuils de confiance. Les équipes peuvent adapter le flux de travail à leurs besoins. Toutes les actions sont journalisées.

L'impact sur les coûts est substantiel. Le travail de caviardage qui prendrait des semaines à une équipe de parajuristes peut être réduit à des jours. Pour les organisations traitant plusieurs demandes DSAR par mois, les économies cumulées peuvent atteindre des dizaines de milliers par an.

Tout aussi important, le processus est juridiquement défendable. Si un régulateur ou un demandeur conteste l'adéquation d'une réponse, l'organisation peut démontrer exactement comment chaque document a été traité.

Pour illustrer le fonctionnement du processus en pratique, considérons un scénario typique : une organisation reçoit un DSAR d'un ancien employé ayant travaillé six ans dans l'entreprise.

Étape 1 — Cadrage et collecte. L'équipe de protection des données identifie les sources de données pertinentes : la boîte aux lettres de l'employé (exportée en fichier PST), les dossiers RH, les dossiers partagés et les messages de messagerie collaborative pertinents.

Étape 2 — Ingestion. Les fichiers collectés sont chargés dans un nouvel espace de travail dans Dezcry. La plateforme traite chaque fichier — extraction de texte, analyse des métadonnées d'e-mail, OCR des documents numérisés et création d'un index recherchable.

Étape 3 — Classification IA. Dezcry analyse l'ensemble des documents et classifie chaque élément par pertinence. Sur 8 000 documents, le système identifie 2 400 comme clairement dans le périmètre, 1 100 à pertinence incertaine et 4 500 comme hors périmètre.

Étape 4 — Caviardage IA. La plateforme exécute son pipeline de caviardage sur les documents pertinents, identifiant les données personnelles de tiers, les informations sensibles et le contenu potentiellement privilégié.

Étape 5 — Contrôle qualité. Selon le flux de travail de l'équipe, chaque document caviardé peut être examiné, un sous-ensemble statistique peut être vérifié, ou seuls les cas signalés sont examinés.

Étape 6 — Export et divulgation. Une fois l'examen terminé, Dezcry génère un dossier de divulgation — des documents caviardés prêts à être remis au demandeur.

Un processus qui pourrait prendre trois à quatre semaines avec des méthodes manuelles peut être complété en jours, bien dans le délai légal d'un mois.

Dezcry est conçu pour les équipes qui doivent répondre efficacement aux demandes DSAR sans sacrifier la qualité ou la défendabilité.

• Temps de réponse plus rapides. La classification et le caviardage IA compriment des semaines de travail manuel en jours, maintenant les réponses bien dans le délai légal d'un mois.
• Coût réduit. En réduisant le volume de documents nécessitant un examen manuel et en automatisant l'étape la plus laborieuse, Dezcry réduit significativement le temps interne et les frais juridiques externes.
• Caviardages cohérents. L'IA applique la même logique de détection et de catégorisation à chaque document, éliminant les incohérences du traitement manuel.
• Processus juridiquement défendable. Chaque action dans la plateforme est journalisée. Classifications, caviardages, décisions de vérification qualité et exports sont tous enregistrés, fournissant une piste d'audit complète.
• Évolutif pour de grands volumes de données. Qu'une demande implique 500 ou 50 000 documents, Dezcry traite l'ensemble à travers le même pipeline.
• Risque juridique réduit. Le traitement systématique réduit les risques de documents oubliés, de divulgations accidentelles de données de tiers ou d'application incohérente des exemptions.
• Efficacité opérationnelle améliorée. Les équipes juridiques et de protection des données passent moins de temps sur la manipulation répétitive de documents et plus de temps sur les décisions qui nécessitent réellement leur expertise.