Répondre à une demande d'accès à des données confidentielles (DSAR)

Un client a reçu une demande d'accès à des données (DSAR) de la part d'un ancien employé, auquel il fallait répondre en un délai très court. Le client a demandé l'assistance de FRA pour collecter et produire des données en réponse à cette DSAR en deux semaines, avec un nombre important de données à revoir. Comme il fallait examiner et éventuellement produire des documents maintenus par l'équipe des ressources humaines, l'ensemble des données contenait des informations hautement confidentielles.

Pour cette demande, FRA a collecté et chargé 11 PST dans une technologie alimentée par de l'intelligence artificielle. Cela a produit plus de 900 000 documents. Les données ont été dans leur globalitées dédupliquées. L'équipe a encore réduit le nombre de données à revoir en limitant la source de données aux seuls courriels liés à la personne concernée, en utilisant son nom comme terme de recherche ou en effectuant une recherche dans les champs de métadonnées de l'expéditeur/du destinataire/du sujet, permettant d'identifier les domaines, les expéditeurs et les destinataires susceptibles d'être exclus. L'ensemble des données a ainsi été réduit à 19 000 documents.

L'équipe a ensuite trié les données en appliquant la fourchette de dates et les termes de recherche relatifs aux questions posées et à l'individu concerné, puis a identifié les données pertinentes pour les trois catégories suivantes :

1. Procédure d'embauche
2. Évaluation des performances
3. Licenciement

Un échantillon de l'ensemble des données obtenues a été examiné pour assurer que la population comprenait uniquement des documents correspondant aux catégories indiquées. Nous avons ensuite révisé la première série de termes utilisés, ainsi que les champs relatifs aux destinataires des courriels. Le nombre final de documents retenus pour cette revue s'élèvent à environ 10 000, dont environ 4 000 courriels. L'équipe a appliqué des filtres pour identifier les catégories PII à expurger automatiquement notamment les courriels, les numéros de téléphone et certaines entités, tout en examinant les documents.

Dans l'ensemble final de documents, l'équipe de revue a identifié 966 documents à produire. Plus de 24 000 éléments ont été expurgés dans cet ensemble de données et se répartissent dans les catégories ci-dessous :

• Organisation
• Personne
• Courriel
• Localisation
• URL
• Numéro de téléphone (Royaume-Uni et États-Unis)
• Devise (livre, dollars des Etats-Unis, euros)
• Numéro d'identification fiscale (K. Tax ID Number)
• Numéro de passeport américain
• Numéros de TVA (K. VAT Numbers)
• Numéro du service national de santé (K. National Health Service Number - NHS)
• Numéro d'assurance nationale (K. National Insurance Number - NINO)

Suite aux étapes préliminaires, l'équipe a pu revoir les documents et les exporter en 4 jours. Grâce à l'absence de travail manuel, l'équipe a pu respecter les courts délais imposés.

Webinaire organisé par FRA sur la conformité de la protection de la vie privée

Dans ce webinaire de 30 minutes, Mike Trahar, qui est le responsable du service juridique de FRA et expert en gouvernance des données et de l'information, Harsh Sutaria, responsable de l'innovation chez FRA, et Leigh Isaacs, directeur de la gouvernance de l'information chez DLA Piper, partagent leur point de vue et exemples sur le traitement des DSAR.

Au cours de cette session de 30 minutes, vous apprendrez :

• Quelles sont les mesures proactives que vous pouvez entreprendre immédiatement pour vous préparer aux DSAR.
• Quels sont les conseils pratiques à connaître pour simplifier le processus de réponse à une DSAR.
• Ce que recherchent réellement les régulateurs ? Suffit-il de faire un "effort de bonne foi" pour éviter un examen ?