Un dirigeant, un délégué à la protection des données ou un responsable RH se pose régulièrement la même question juste avant de cliquer sur « envoyer » : est-ce que ce fichier contient des données personnelles qui ne devraient pas en sortir ? Un export client de 50 000 lignes, une pièce jointe à un partenaire, un jeu de données transmis à un prestataire. Vérifier à la main est irréaliste.
Les outils existants posent un problème de fond. Les solutions de prévention de fuite en entreprise sont hors de prix pour une TPE/PME. Et les services en ligne qui font ce travail exigent que vous téléversiez le fichier sur leur serveur, ce qui est le paradoxe absolu : pour vérifier qu'un fichier ne doit pas sortir de chez vous, vous commencez par l'envoyer chez quelqu'un d'autre.
pii-scanner-web répond à ce besoin précis : vérifier à froid, en quelques secondes, depuis votre navigateur, sans rien envoyer nulle part.
Tout se passe dans votre navigateur
C'est le point d'identité de l'outil, alors disons-le sans détour : le fichier que vous déposez ne quitte jamais votre navigateur. Aucun octet n'est envoyé sur le réseau. L'analyse tourne entièrement sur votre machine.
Et ce n'est pas une promesse que vous devez croire sur parole, c'est une promesse que vous pouvez vérifier en direct. Ouvrez les outils de développement de votre navigateur (la touche F12), allez dans l'onglet Réseau, puis déposez votre fichier dans l'outil : vous verrez qu'aucune requête sortante n'est émise. La démarche est volontaire. Pour un outil dont toute la valeur repose sur la confidentialité, la confiance ne se déclare pas, elle se prouve. L'application est d'ailleurs verrouillée par une politique de sécurité stricte qui interdit techniquement tout appel vers l'extérieur.
Ce que l'outil détecte
La version actuelle reconnaît douze types de données personnelles, dans dix formats de fichier courants (Excel, CSV, PDF, Word, JSON, HTML et leurs variantes texte). Parmi les détecteurs, plusieurs ne se contentent pas de reconnaître une forme : ils valident une clé de contrôle, ce qui élimine une grande partie des fausses alertes.
Concrètement, l'outil distingue un vrai numéro de sécurité sociale, un vrai SIRET, un vrai IBAN ou un vrai numéro de carte bancaire d'une suite de chiffres qui leur ressemble, parce qu'il vérifie la clé mathématique que ces identifiants portent. Il repère aussi les emails, les téléphones français, les numéros de TVA, les codes postaux et adresses, les plaques d'immatriculation et les dates de naissance en contexte.
Le résultat se lit de trois façons selon votre interlocuteur : un rapport interactif directement dans l'application, un export pour un délégué à la protection des données, et un export technique pour alimenter un autre outil. Chaque export reste un fichier autonome et sans script, cohérent avec la promesse de confidentialité.
Ce qui a changé en v1.2
Cette version est avant tout une mise à niveau technique, sans changement du côté des détecteurs ni des formats. Trois chantiers menés ensemble.
D'abord, la montée de toute la base technique vers Angular 21, la version courante du socle sur lequel l'application est construite. Garder une application à jour, c'est bénéficier des correctifs de sécurité et éviter la dette qui rend les futures évolutions coûteuses.
Ensuite, la réactivation du traitement en parallèle. L'analyse s'appuie sur un mécanisme qui répartit le travail sur plusieurs fils d'exécution, pour que l'interface reste réactive même sur un gros fichier. Une régression l'avait silencieusement désactivé dans une version antérieure ; il est de nouveau pleinement opérationnel.
Enfin, le traitement de trois failles de sécurité connues présentes dans des composants tiers de la chaîne de construction. Le point intéressant : ces failles ne venaient pas de mon code mais de bibliothèques dont l'application dépend indirectement. Les laisser traîner sous prétexte qu'elles sont « chez les autres » serait une faute. Elles ont été corrigées en forçant les versions saines, et l'audit de sécurité repasse à zéro alerte.
Pourquoi je publie cet outil
pii-scanner-web est gratuit et son code est ouvert, consultable par n'importe qui. C'est une vitrine de méthode : confidentialité vérifiable, détecteurs sourcés et testés, application maintenue à jour, sécurité auditée. Si cette manière de travailler vous parle, c'est exactement celle que j'applique sur les missions data que je réalise pour les TPE/PME.
Et si le scanner remonte dans vos fichiers des données personnelles que vous ne soupçonniez pas, c'est souvent le signe d'un sujet plus large : des exports trop larges, des fichiers qui circulent sans contrôle, une cartographie des données à faire. C'est précisément ce qu'un audit permet d'objectiver. Parlons-en.