L'amende de l'ICO met en évidence les risques liés aux feuilles de calcul pour la conformité au GDPR

Récemment, l'Information Commissioner's Office (ICO) du Royaume-Uni a infligé une amende de 120 000 £ au Royal Borough of Kensington & Chelsea (RBKC) de Londres pour avoir identifié illégalement 943 personnes qui possédaient des biens immobiliers vacants dans le quartier.

Cette violation de données a été commise par erreur par un membre du personnel de l'arrondissement qui répondait à des demandes de liberté d'information (FOI) sur le nombre de propriétés vides dans l'arrondissement. Le problème est que des données personnelles sensibles, qui étaient cachées au personnel du RBKC, ont été facilement trouvées par le demandeur de FOI dans une feuille de calcul, plaçant l'arrondissement en violation flagrante de la loi britannique sur la protection des données et de son successeur imminent, le GDPR (GDPR).

Cet incident met en lumière deux questions : Tout d'abord, l'erreur humaine dans l'utilisation des feuilles de calcul représente un risque élevé pour les efforts de mise en conformité des organisations avec le GDPR, une fois que le règlement entrera en vigueur le25 mai. Dans le cas présent, l'erreur résulte d'une mauvaise compréhension de la part des utilisateurs de la manière d'identifier, de gérer et de supprimer correctement les données à caractère personnel.

Deuxièmement, la gestion et le contrôle manuels des informations liées au GDPR (qui résident souvent dans des feuilles de calcul) sont difficiles, voire impossibles, dans de nombreuses organisations en raison de leur volume. La complexité de nombreuses feuilles de calcul essentielles pour l'entreprise, et les milliers de cellules qu'elles contiennent, signifient que l'identification des données cachées est difficile, et c'est un euphémisme.

Cette violation de données nous rappelle brutalement que les données non structurées, qui sont souvent stockées dans des feuilles de calcul et distribuées au sein de l'organisation, doivent faire partie des efforts de mise en conformité avec le GDPR, au même titre que les données structurées qui résident dans les applications informatiques de base.

Bannière graphique du livre électronique sur la facilité d'utilisation

Garantir une conformité durable avec les lois sur la protection de la vie privée

Pour garantir une conformité "durable" avec le GDPR et d'autres cadres de protection des données dans un avenir prévisible, il est impératif que les organisations établissent un cadre de gestion pour les données structurées et non structurées pertinentes pour le GDPR afin qu'elles puissent être gérées de manière proactive en fonction du niveau de risque qu'elles représentent pour l'entreprise.

Une approche systématique et automatisée garantira que les données sont capturées conformément à la politique GDPR de l'organisation et fournira un processus d'attestation vérifiable pour faire de la conformité GDPR une affaire courante. Elle fournira également aux organisations la capacité dont elles ont besoin pour répondre rapidement aux demandes d'effacement et de portabilité des données si un individu en fait la demande. Surtout, elle minimisera l'intervention manuelle et donc l'erreur humaine, qui peut s'avérer catastrophique lorsqu'il s'agit de gérer et de surveiller manuellement des environnements de feuilles de calcul pour des choses telles que le contrôle des versions, les modifications et les approbations, l'ajout de nouvelles données et l'attestation.

Les organisations ont tout intérêt à déterminer quelles informations personnelles identifiables (IPI) se trouvent dans leur parc Excel, puis à mettre en œuvre les systèmes et processus nécessaires à la protection des données afin de rester en conformité avec le GDPR. Comme le montre ce cas, ce n'est plus un luxe, mais une nécessité.

Découvrir PolicyHub

Il s'agit d'une solution de gestion des politiques facile à utiliser, qui vous permet de renforcer la conformité.

En savoir plus