Une cyberattaque récente impliquant un logiciel médical utilisé par des millions de Français rappelle une réalité que j’explique souvent aux dirigeants de PME :

👉 Le risque ne vient pas toujours des données que l’on croit.

Il peut venir surtout… de ce que vos équipes écrivent librement dans vos outils numériques.

Dans presque tous les logiciels d’entreprise, on trouve des champs de texte libre : CRM, ERP, logiciels de facturation, outils RH ou médicaux.

Et c’est là que commencent les problèmes. Car on y trouve parfois des notes comme :
🗒️ « Client compliqué, très procédurier »
🗒️ « Patient qui exagère ses symptômes »
🗒️ « Situation familiale difficile, à suivre »

Ces commentaires semblent anodins. Mais en réalité ils peuvent contenir :
– des jugements personnels
– des informations sensibles
– des données que l’entreprise n’a pas le droit de conserver

📜 Et juridiquement, ces champs comptent autant que le reste.

Pour le RGPD :
✔️ Un champ commentaire = donnée personnelle
✔️ La personne concernée peut demander à le lire
✔️ Il peut être audité par la CNIL
✔️ Il peut être réclamé par un juge
✔️ Et évidemment… volé lors d’une cyberattaque

👀 Ce que j’observe souvent dans les PME :
❌ Aucune règle sur ce qu’on peut écrire
❌ Aucune formation des équipes
❌ Impossible de retrouver ces informations lors d’une demande RGPD
❌ Ces champs ne sont même pas mentionnés dans les politiques de données

Résultat : le risque est invisible… jusqu’au jour où il devient public.

💡 La règle simple que je recommande à mes clients :

Avant d’écrire dans un champ commentaire, demandez-vous si vous seriez à l’aise que la personne concernée, votre DPO ou un journaliste le lise demain matin, signé par vous ?

La gouvernance des données, ce n’est pas seulement de la technologie : c’est aussi ce que les humains écrivent !

👉 Et chez vous, savez-vous ce que vos équipes ont écrit en commentaires ?

Numériquement vôtre,
Monsieur Projets Numériques 🌟
L’expert qui vous explique le numérique