- SoftBank (2023) : l'utilisation par des employés d'outils d'IA générative sans politique de gouvernance illustre comment un nouveau service numérique adopté rapidement peut créer des violations de la confidentialité des données sans que l'organisation en ait conscience.
- Le principe de privacy by design impose que les mécanismes de consentement soient intégrés dès la conception des nouveaux services — pas ajoutés après coup comme une couche supplémentaire.
- Les services utilisant des données de localisation, des données biométriques ou des données de comportement en temps réel requièrent des dispositifs de consentement plus exigeants que les services de collecte de données classiques.
- Les applications mobiles créent des points de collecte spécifiques (géolocalisation, accès aux contacts, accès à la caméra) qui doivent faire l'objet de consentements granulaires et révocables à tout moment.
- L'intelligence artificielle utilisée pour personnaliser des services constitue souvent une finalité de traitement supplémentaire qui n'est pas couverte par le consentement initial à la collecte des données.
- Les partenariats technologiques et l'intégration de SDK tiers dans les applications introduisent des traitements de données dont l'organisation peut ne pas avoir pleine conscience.
Le rythme d'introduction de nouveaux services numériques dans les organisations s'est considérablement accéléré. Chaque nouveau service — application mobile, fonctionnalité de personnalisation, outil d'analyse comportementale, intégration d'un service tiers — introduit potentiellement de nouvelles catégories de données collectées, de nouvelles finalités de traitement et de nouveaux flux de données vers des tiers. Sans processus structuré d'intégration du consentement dans le cycle de développement, chaque lancement crée une zone de non-conformité.
La direction générale doit s'assurer que les processus de développement et de lancement de nouveaux services intègrent systématiquement une évaluation des implications en matière de consentement. Cette évaluation n'est pas un contrôle juridique a posteriori — elle doit être intégrée dans les phases de conception, avant que les décisions techniques ne soient prises et les investissements engagés.
Les catégories de données des nouveaux services et leurs implications
Les nouveaux services numériques tendent à collecter des catégories de données de plus en plus riches et sensibles. La géolocalisation en temps réel, les données biométriques (reconnaissance faciale, empreinte vocale), les données de comportement en ligne (navigation, temps passé, interactions) et les données d'usage des objets connectés constituent des catégories qui requièrent des dispositifs de consentement spécifiques. Ces catégories sont souvent soumises à des exigences de consentement explicite — un niveau d'exigence supérieur au consentement standard.
La combinaison de données de catégories différentes crée des risques supplémentaires. Un service qui combine des données de localisation avec des données d'habitudes de consommation peut permettre des inférences sur la vie privée que les données prises isolément ne permettraient pas. Cette capacité d'inférence doit être évaluée et, si elle produit des profils sensibles, faire l'objet d'un consentement spécifique.
Toyota a révélé en 2023 que les données de localisation de 2 millions de véhicules avaient été exposées pendant dix ans en raison d'une mauvaise configuration d'une base de données cloud. Le service de télématique en question avait été lancé sans que la question de la configuration sécurisée des accès aux données de localisation soit formellement résolue. La donnée de localisation — collectée avec le consentement des propriétaires pour le service de navigation et d'assistance — avait été stockée dans une base accessible publiquement. Toyota a dû revoir l'ensemble de son architecture cloud pour ses services connectés et notifier les personnes affectées. L'incident illustre comment le lancement d'un nouveau service sans audit de conformité complet peut créer une exposition durable.
L'intégration de SDK et de services tiers
L'intégration de SDK (Software Development Kits) tiers dans les applications mobiles est une pratique courante qui crée une catégorie de risque particulière en matière de consentement. Ces SDK — outils d'analyse, de publicité, de paiement, de réseaux sociaux — collectent souvent des données pour leurs propres finalités, en plus des données collectées pour le compte de l'application principale. L'organisation qui intègre un SDK devient de facto un canal de collecte pour les finalités du fournisseur du SDK, sans nécessairement en informer les utilisateurs.
Les régulateurs ont progressivement durci leur position sur la responsabilité des organisations dans le contrôle des SDK qu'elles intègrent. La présomption que "c'est le fournisseur du SDK qui est responsable" n'est plus tenable : l'organisation qui intègre le SDK dans son application est responsable de l'information donnée à ses utilisateurs sur les traitements réalisés via cet SDK.
Le processus d'évaluation pour les nouveaux services
Un processus d'évaluation efficace pour les nouveaux services comprend au minimum : une cartographie des données collectées et de leurs finalités, une identification des bases légales applicables pour chaque finalité, une évaluation des risques spécifiques aux données collectées, et un design du mécanisme de consentement adapté à ces exigences. Ce processus doit être formalisé dans les procédures de développement et son respect doit être une condition au lancement du service.
Twitter a payé 150 millions de dollars d'amende à la FTC en 2022 pour avoir utilisé des données d'emails et de numéros de téléphone collectées pour la double authentification à des fins publicitaires ciblées. Cette finalité supplémentaire — non couverte par le consentement initial — avait été introduite par les équipes produit sans vérification de la compatibilité avec les engagements pris envers les utilisateurs. L'incident illustre exactement le risque de l'ajout de finalités sans révision du dispositif de consentement : les nouvelles fonctionnalités génèrent de nouveaux traitements, qui nécessitent de nouvelles bases légales, qui nécessitent souvent de nouveaux consentements.
La violation de données EasyJet de 2020 (9 millions de clients) a révélé des lacunes dans la sécurisation des données collectées dans le cadre de ses services en ligne. L'enquête de l'ICO a porté sur la cohérence entre les engagements de protection pris au moment du consentement et les mesures techniques effectives. L'expansion rapide des services numériques d'EasyJet — réservation en ligne, application mobile, programmes de fidélité — avait créé plusieurs points de collecte dont la sécurisation n'était pas uniformément assurée. Chaque canal de collecte avait ses propres vulnérabilités, et l'absence d'une revue consolidée des pratiques de protection avait laissé des angles morts.
L'incident Lapsus$ ayant exposé des données de Samsung en 2022 — codes source et données biométriques — a soulevé des questions sur la gestion du consentement dans les processus de développement. Des données biométriques (utilisées dans les fonctionnalités de reconnaissance de Samsung) faisaient partie des données exposées. Ces données requièrent des dispositifs de consentement explicite, et leur exposition a directement affecté la confiance des utilisateurs dans ces fonctionnalités. Samsung a dû revoir ses politiques d'accès aux données de développement et renforcer les protections autour des données biométriques dans ses processus de R&D.