Contexte

L’entreprise concernée évolue dans le secteur du transport routier de marchandises. Présente sur plusieurs sites, elle emploie environ huit cents personnes et gère quotidiennement un volume considérable d’échanges logistiques et administratifs. Son système d’information repose sur des outils bureautiques classiques et une gestion centralisée des communications.

Depuis plusieurs mois, l’entreprise traverse une période sociale tendue. Les départs se multiplient, les équipes changent sans cesse et le climat interne se dégrade. Le turnover atteint un niveau important, fragilisant la continuité opérationnelle et la confiance entre la direction et les collaborateurs, déjà éprouvés par une charge de travail importante.

Dans ce contexte tendu, le DSI et le DPO sont sollicités pour gérer le départ d’une collaboratrice récemment licenciée. Peu après son départ, celle-ci formule une demande RGPD complète, exigeant l’accès à toutes ses données personnelles. Parmi elles figurent des milliers d’emails professionnels, impliquant potentiellement plusieurs dizaines de collègues.

Problème : DSAR exhaustive après licenciement : pression sociale & juridique

Le départ de la collaboratrice s’est déroulé dans un climat tendu. Mise à pied puis licenciée, elle quitte l’entreprise avec un fort sentiment d’injustice. La situation laisse des traces dans l’équipe et oblige la direction à gérer simultanément un risque social et juridique autour de la gestion de son dossier.

Peu après son départ, la collaboratrice exerce son droit d’accès prévu par le RGPD. Sa demande est large : elle souhaite obtenir la totalité des données personnelles la concernant, y compris les emails où son nom apparaît, qu’elle en soit émettrice, destinataire ou simplement mentionnée. Cette requête place immédiatement le DPO et la DSI sous tension.

L’ampleur du traitement dépasse tout ce qui était anticipé. Plusieurs dizaines de milliers d’emails sont potentiellement concernés, représentant plusieurs téraoctets de données. Les outils internes ne sont pas conçus pour ce type d’extraction, et chaque message doit être examiné pour éviter toute divulgation inappropriée. La charge humaine devient vite considérable.

Parcours : Du droit d’accès à l’envoi : notre protocole en 7 étapes

1. Recevabilité : cadrer légalement avec le DPO.

   Notre équipe est sollicitée pour exécuter la demande RGPD, mais nous commençons par vérifier qu’elle est bien légitime. Certaines requêtes reçues dans le passé se sont révélées farfelues ou impossibles à traiter. Nous confirmons donc avec le DPO que la demande entre bien dans le cadre légal et qu’elle concerne uniquement les données à caractère personnel. Ce travail préliminaire évite d’engager des heures d’analyse sur une mauvaise interprétation et pose les bases d’un traitement rigoureux, conforme à la réglementation et proportionné à la finalité de la demande.

2. Benchmark pairs : retours d’expérience pour éviter les impasses.

   Avant d’avancer, nous décidons de confronter notre expérience à celle d’autres RSSI. L’objectif : savoir comment eux gèrent ce type de requête RGPD quand elle implique plusieurs téraoctets de données. Les retours sont unanimes : tout le monde en souffre. Chaque réponse prend un temps considérable, les outils sont inadaptés et les risques d’erreur nombreux. Certains passent des semaines à trier des emails manuellement, d’autres renoncent à tout vérifier faute de moyens. Ce constat collectif confirme que la suite sera longue et difficile, sans solution miracle pour simplifier le travail à venir.

3. Purview : recherche/eDiscovery : traçable, mais exigeant.

   Pour avancer, nous demandons l’accès à Microsoft Purview, la solution de conformité intégrée à Microsoft 365. C’est le seul outil rapidement disponible pour nous. L’objectif est d’utiliser ses fonctions de recherche et d’eDiscovery afin d’identifier les emails concernés. L’autorisation est obtenue sans difficulté, mais l’usage se révèle laborieux : filtres trop limités, exports lents et navigation complexe entre les boîtes mail. Purview n’a clairement pas été conçu pour gérer un tel volume dans un cadre RGPD. Malgré ses contraintes, il reste à ce stade la seule option fiable et traçable à notre disposition.

4. Extraction & structuration : exports bruts → Excel exploitable.

   Une fois les recherches effectuées dans Purview, nous lançons l’extraction des emails concernés. Le résultat se présente sous forme de listes brutes, impossibles à exploiter directement. Nous importons donc les données dans Excel pour les rendre lisibles et manipulables. Le fichier contient rapidement plusieurs dizaines de milliers de lignes : expéditeurs, destinataires, objets et dates. Ce travail permet enfin d’avoir une vue d’ensemble, mais la masse reste impressionnante. Chaque filtrage, chaque tri prend du temps, et la moindre erreur de formule peut invalider des heures d’effort.

5. Affinage : mentions indirectes : filtres itératifs, requêtes avancées.

   On passe alors aux emails où la collaboratrice n’est ni émettrice ni destinataire, et c’est là que les choses se compliquent. Nous savons d’avance que nous allons souffrir. Il faut créer des filtres avancés pour isoler uniquement les messages où elle est citée, évoquée ou en copie cachée. Le travail est fastidieux, souvent itératif : tester des mots-clés, ajuster les requêtes, relancer des exports. Chaque itération réduit un peu le volume, mais jamais assez. Le tri devient un exercice de patience, exigeant rigueur, méthode et une bonne dose de persévérance pour ne pas s’y noyer.

6. Revue manuelle : zone grise : jugement, contexte, double vérification.

   Vient ensuite la phase la plus longue : la revue manuelle. Des centaines d’emails restent en zone grise, impossibles à trancher automatiquement. Il faut les ouvrir un à un pour comprendre le contexte, vérifier s’ils contiennent des données personnelles ou simplement des échanges de travail. Le risque d’erreur est permanent : supprimer un message légitime ou au contraire en transmettre un sensible. Les heures s’enchaînent, le rythme ralentit, la fatigue s’installe. Chaque décision nécessite un jugement humain, et malgré la rigueur, l’incertitude demeure. C’est un travail d’artisan, loin de toute automatisation.

7. Anonymisation : rôles génériques, cohérence conversationnelle.

   Dernière étape : l’anonymisation. Une fois les emails sélectionnés, il faut protéger les autres collaborateurs cités dans les échanges. Chaque nom, prénom ou signature doit être remplacé par un rôle générique type “responsable RH”, “conducteur”, “chef de site”. Le processus paraît simple, mais il demande une attention extrême. Certains échanges mêlent plusieurs interlocuteurs, d’autres contiennent des informations indirectement identifiantes. Nous avançons prudemment, ligne après ligne, pour préserver la cohérence des conversations sans compromettre la confidentialité. Cette phase clôture un chantier long, minutieux et souvent sous-estimé dans sa complexité.

Recommandations

1. Avant de se lancer, il faut vérifier ce que font les autres. On réalise vite que ces demandes RGPD sont de plus en plus fréquentes, mais toujours aussi folles à gérer. Chaque retour d’expérience confirme la même chose : c’est dur, long et frustrant. Discuter avec ses pairs permet d’éviter les impasses, de repérer les astuces utiles et de garder le moral. Ce partage de vécu vaut bien plus qu’un tutoriel : il prépare à la réalité du terrain.

2. Avant d’aller chercher des solutions miracles sur le marché, il faut regarder ce qu’on a déjà. Beaucoup d’outils internes peuvent suffire, parfois avec une simple licence complémentaire ou un module oublié. Exploiter au maximum l’existant fait gagner un temps fou et évite les déploiements inutiles. Dans notre cas, Purview a été imparfait, mais il a permis d’avancer.

3. Certaines tâches sont faites pour des humains, d’autres clairement pour des robots. Quand il faut parcourir des milliers d’emails, filtrer, renommer ou anonymiser, les scripts deviennent essentiels. Chez nous, on y croit vraiment : l’âme tech de l’équipe, c’est d’automatiser dès que possible. On préfère écrire du code plutôt que d’ouvrir cent fois le même fichier. Ces développements ne remplacent pas l’analyse, ils la soutiennent. Coder, c’est transformer la contrainte en levier, et rendre un processus épuisant enfin supportable.

   La version 2.5 de notre Kit RSSI désormais disponible en téléchargement sans RDV

   Téléchargez votre Kit RSSI

Conclusion

Une simple demande RGPD peut vite se transformer en marathon. Derrière la conformité, il y a des dizaines d’heures de tri, de vérification et de doutes. La technique aide, mais seulement si on accepte d’y mettre les mains : scripter, automatiser, tester. C’est la condition pour ne pas sombrer sous la charge. Travailler dur reste indispensable, car même avec les bons outils, rien ne remplace la rigueur et la méthode. La fatigue fait partie du jeu, mais elle forge l’expérience.

Si l’article vous a plu, n’hésitez pas à le faire circuler dans votre réseau : un simple partage nous aide beaucoup.

Partager