- Citibank (2011) : la violation par traversal d'API qui a exposé 360 000 comptes résultait d'une absence de maîtrise du périmètre exact des traitements réalisés par les applications web — sans cartographie précise des traitements, les angles morts se multiplient.
- Le registre des activités de traitement (RAT) est à la fois une obligation réglementaire et l'outil central de la gouvernance des données — sans registre à jour, il est impossible de piloter la conformité de manière active.
- La cartographie des traitements doit inclure les traitements réalisés par des sous-traitants pour le compte de l'organisation — une omission fréquente qui laisse une partie significative des risques hors du champ de la gouvernance.
- Les analyses d'impact relatives à la protection des données (AIPD) sont obligatoires pour les traitements à risques élevés — et leur réalisation avant le lancement d'un traitement est une mesure préventive efficace.
- La maîtrise des traitements requiert une gouvernance des données transversale : chaque service qui crée un nouveau traitement doit le déclarer et obtenir une validation avant sa mise en production.
- Le pilotage de la conformité des traitements est un processus continu, pas un état — les traitements évoluent, les réglementations changent, les risques se déplacent.
La maîtrise des traitements de données est le fondement sur lequel repose toute gouvernance efficace de la protection des données. Sans une connaissance précise et à jour des traitements réalisés — qui collecte quoi, dans quel but, avec quelle base légale, pour combien de temps et avec quels accès — il est impossible de gérer correctement le consentement, de traiter les exercices de droits, de gérer les incidents et de démontrer la conformité aux régulateurs.
Cette maîtrise des traitements est également la condition préalable à la transparence. On ne peut communiquer aux personnes concernées que ce que l'on sait — et si l'organisation ne sait pas précisément quels traitements elle réalise sur quelles données, sa communication ne peut être qu'approximative et donc potentiellement inexacte.
Le registre des activités de traitement comme outil central
Le registre des activités de traitement (RAT) est l'instrument central de la maîtrise des traitements. Il documente, pour chaque traitement, les finalités, les catégories de données concernées, les personnes concernées, les bases légales, les sous-traitants impliqués, les transferts hors territoire, les mesures de sécurité et les durées de conservation. Ce document, exigé par les réglementations modernes pour les organisations dépassant certains seuils, est en pratique utile pour toutes les organisations qui traitent des données personnelles.
La valeur du RAT dépend entièrement de sa qualité et de son actualité. Un RAT exhaustif et à jour permet de répondre en quelques minutes à n'importe quelle question sur les traitements de l'organisation — ce qu'un régulateur peut demander lors d'un contrôle. Un RAT incomplet ou obsolète donne une fausse assurance de maîtrise tout en laissant des zones de non-conformité non identifiées.
La violation Equifax de 2017 a mis en lumière une lacune dans la maîtrise des traitements qui va au-delà de la gestion des vulnérabilités techniques. Equifax traitait des données sur 147 millions de personnes qui n'avaient pas de relation directe avec l'entreprise — des données achetées à des sources commerciales. La cartographie de ces traitements — qui collectait ces données, sur quelle base légale, dans quel système, avec quelles mesures de sécurité — n'était pas documentée de manière à permettre une gestion efficace du risque. La violation a révélé non seulement une faille technique mais une absence de maîtrise globale du périmètre des traitements de données de crédit. Equifax a dû reconstruire entièrement son programme de gouvernance des données après l'incident, à un coût estimé à plusieurs centaines de millions de dollars.
La cartographie des traitements réalisés par des sous-traitants
La cartographie des traitements est incomplète si elle ne couvre pas les traitements réalisés par des sous-traitants pour le compte de l'organisation. Ces traitements — hébergement de données, traitement des paiements, service client externalisé, outils d'analyse — sont soumis aux mêmes obligations réglementaires que les traitements internes, et l'organisation reste responsable de leur conformité.
La cartographie des traitements sous-traités requiert un inventaire des prestataires qui accèdent aux données personnelles, une description précise des traitements qu'ils réalisent et la vérification que des contrats de traitement conformes sont en place pour chacun d'eux. Cet exercice révèle régulièrement des prestataires oubliés — des outils SaaS adoptés par des équipes sans validation par le DPO, des prestataires de maintenance qui ont des accès aux données de production — autant d'angles morts de la gouvernance.
Les analyses d'impact : un outil préventif sous-utilisé
Les analyses d'impact relatives à la protection des données (AIPD) sont souvent perçues comme une contrainte réglementaire applicable uniquement à certains traitements spécifiques. En pratique, leur utilisation préventive — même lorsqu'elle n'est pas formellement obligatoire — est l'un des outils les plus efficaces pour identifier les risques avant le lancement d'un traitement et adapter le design du service en conséquence. Une AIPD bien conduite permet d'éviter de lancer un traitement non conforme et de devoir le corriger après coup, à un coût significativement plus élevé.
La violation Home Depot de 2014 (56 millions de cartes bancaires via les credentials d'un prestataire HVAC) illustre une lacune dans la maîtrise des traitements réalisés via des tiers. L'inventaire des prestataires ayant accès aux systèmes de paiement n'était pas complet — le prestataire HVAC avait un accès réseau non segmenté qui lui permettait d'atteindre les systèmes de point de vente. Un exercice de cartographie des accès accordés aux prestataires, intégré dans la maîtrise des traitements, aurait identifié cet accès disproportionné et permis de le corriger avant l'incident. Home Depot a versé 19,5 millions de dollars dans un règlement avec les consommateurs et 25 millions avec les institutions financières.
La violation EasyJet de 2020 (9 millions de clients) a révélé des lacunes dans la cartographie des traitements de données clients. Les données compromises provenaient de plusieurs systèmes distincts — réservations, paiements, programmes de fidélité — dont la cartographie n'était pas suffisamment précise pour permettre d'identifier rapidement l'étendue de la violation. L'enquête de l'ICO a relevé que la cohérence entre les politiques de protection des données et les mesures techniques effectives n'était pas assurée dans tous les systèmes — un signe de maîtrise incomplète du périmètre des traitements. La leçon : la cartographie des traitements doit couvrir chaque système qui traite des données personnelles, pas seulement les systèmes considérés comme principaux.
La violation Air India via le prestataire SITA en 2021 (4,5 millions de passagers) a mis en évidence un angle mort dans la maîtrise des traitements : Air India n'avait pas une visibilité complète sur les traitements réalisés par SITA sur ses données de passagers. SITA, qui gère les systèmes de réservation de nombreuses compagnies aériennes, traitait des données d'une sensibilité significative (informations de voyage, données de passeport, informations de fidélité) dans des systèmes partagés entre plusieurs compagnies. La cartographie des traitements d'Air India aurait dû inclure précisément ce que SITA faisait avec ses données — pas seulement une description générale du service fourni. Cette lacune de maîtrise a conduit à une notification imprécise aux personnes affectées, aggravant l'impact réputationnel.