- SolarWinds (2020) : la compromission via la chaîne d'approvisionnement a touché 18 000 organisations dont beaucoup n'avaient aucune traçabilité des accès accordés aux solutions tierces — sans traçabilité, impossible d'évaluer l'impact réel ni de démontrer ce qui avait été compromis.
- La traçabilité du consentement doit permettre de répondre à quatre questions : qui a consenti, à quoi, quand et par quel canal — pour chaque traitement couvert par une obligation de consentement.
- Le registre des consentements doit être dynamique : il doit refléter en temps réel les retraits, les modifications et les nouvelles collectes, pas seulement l'état initial au moment de la première inscription.
- La preuve du consentement doit être conservée aussi longtemps que le traitement correspondant est actif, plus la durée de prescription applicable aux recours — ce qui peut représenter plusieurs années après la fin de la relation avec la personne concernée.
- La traçabilité multi-canal est l'un des défis techniques les plus complexes : lorsqu'une même personne interagit avec l'organisation via plusieurs canaux, la réconciliation des consentements doit être automatique et cohérente.
- Les audits internes du registre des consentements doivent être planifiés — un registre qui n'est pas vérifié périodiquement se dégrade en valeur de preuve.
La documentation des choix des personnes concernées est à la fois une obligation réglementaire et un outil de gouvernance. Elle permet de démontrer la conformité en cas de contrôle, de traiter efficacement les exercices de droits et de répondre aux exigences des partenaires commerciaux qui demandent des garanties sur les pratiques de consentement. Sans documentation rigoureuse, la conformité formelle d'un dispositif de consentement ne peut pas être prouvée.
La traçabilité du consentement est une discipline qui s'organise à plusieurs niveaux : la capture initiale de la décision de la personne, la conservation de la preuve dans un format qui résiste à l'épreuve du temps et des contrôles, la synchronisation de cette preuve avec les systèmes qui utilisent les données, et la mise à jour en temps réel lors de tout changement dans la situation de la personne concernée.
L'architecture d'un registre de consentements robuste
Un registre de consentements robuste enregistre, pour chaque personne et chaque finalité de traitement, la date et l'heure du consentement, le canal par lequel il a été recueilli (web, application, point de vente, téléphone), la version de la politique de confidentialité en vigueur au moment du consentement, et la forme exacte de l'acte de consentement (capture d'écran, log système, enregistrement). Ces quatre éléments constituent la preuve minimale que les régulateurs exigent en cas de contrôle.
La version de la politique de confidentialité est un élément souvent négligé. Lorsque la politique évolue, les anciens consentements ne couvrent pas nécessairement les nouvelles dispositions. Le registre doit donc permettre d'identifier, pour chaque consentement, quelle version de la politique était applicable — et donc quelles finalités étaient couvertes au moment du recueil.
L'incident Deutsche Bank de 2019 — transmission involontaire des données de 1 200 employés à un mauvais destinataire — illustre l'importance de la traçabilité dans les traitements internes. L'organisation n'était pas en mesure de reconstituer précisément quelles données avaient été transmises, à qui, dans quel contexte, et sur la base de quelle autorisation. Cette impossibilité de tracer l'incident a compliqué la notification au BaFin et la communication auprès des personnes concernées. La leçon s'applique directement à la traçabilité du consentement : un registre qui ne permet pas de retracer l'historique précis des décisions de traitement est insuffisant pour gérer un incident ou une demande réglementaire.
La synchronisation du registre avec les systèmes opérationnels
Un registre de consentements isolé n'a qu'une valeur limitée. Pour être opérationnel, il doit être connecté aux systèmes qui utilisent les données — le CRM, la plateforme d'emailing, les outils d'analyse, les systèmes de personnalisation. Lorsqu'un retrait de consentement est enregistré dans le registre, ce retrait doit se propager automatiquement à tous les systèmes concernés, sans intervention manuelle. Cette propagation automatique est le véritable test d'un dispositif de traçabilité efficace.
La propagation du retrait de consentement dans des architectures multi-systèmes est l'un des défis techniques les plus complexes de la gouvernance des données. Dans les organisations qui ont accumulé de nombreux outils au fil des années, certains systèmes legacy ne disposent pas des interfaces nécessaires pour recevoir et traiter des mises à jour de consentement en temps réel. Ces systèmes sont les angles morts du dispositif de traçabilité et doivent faire l'objet d'une attention particulière lors des audits internes.
Les obligations de conservation des preuves
La durée de conservation des preuves de consentement est déterminée par la durée du traitement correspondant et par le délai de prescription des recours applicables. Dans la pratique, cela signifie que les preuves de consentement doivent souvent être conservées plusieurs années après la fin de la relation avec la personne concernée. Cette exigence implique une architecture de stockage des preuves distincte des systèmes opérationnels, avec des garanties d'intégrité et d'authenticité des documents conservés.
La violation Yahoo de 2016 (3 milliards de comptes compromis, révélée deux ans après les faits) a mis en évidence l'absence de traçabilité des accès aux données d'authentification. Yahoo n'était pas en mesure de fournir aux régulateurs une reconstitution précise des accès réalisés par les attaquants, ce qui a rendu l'évaluation de l'impact réel de la violation particulièrement difficile. Le coût de cette absence de traçabilité a été direct : lors de l'acquisition de Yahoo par Verizon, le prix de rachat a été réduit de 350 millions de dollars en raison des incertitudes sur l'étendue des violations. Une meilleure traçabilité aurait permis de délimiter précisément l'impact et d'atténuer l'incertitude pour l'acquéreur.
Suite à la violation de 2020 exposant 9 millions de clients, EasyJet a dû démontrer à l'ICO quelles données avaient été compromises et dans quel périmètre. Cette démonstration a été rendue difficile par l'absence de journaux d'accès exhaustifs et d'un inventaire précis des données stockées dans les systèmes affectés. L'enquête réglementaire a duré plus d'un an, en partie parce qu'EasyJet ne pouvait pas produire rapidement les preuves documentaires demandées. Le coût de la durée prolongée de l'enquête — en termes de mobilisation interne, de gestion juridique et de communication — a largement dépassé le coût de ce qu'aurait représenté un système de traçabilité robuste.
L'incident Lapsus$ de 2022 ayant exposé des données de propriété intellectuelle de Samsung a révélé des lacunes dans la traçabilité des accès aux dépôts de code source. Samsung n'était pas en mesure de déterminer précisément quels fichiers avaient été accédés et quels employés ou prestataires avaient contribué à l'exposition. La reconstruction post-incident a nécessité un travail forensique intense, qui aurait été considérablement simplifié par une traçabilité systématique des accès aux actifs numériques sensibles. Samsung a depuis investi massivement dans des systèmes de journalisation et de traçabilité pour ses développements critiques.