- Capital One (2019) : la mauvaise configuration AWS à l'origine de la violation exposant 100 millions de clients résultait d'une décision opérationnelle prise sans validation suffisante — les équipes techniques avaient déployé une configuration non conforme aux politiques internes de sécurité des données.
- Les équipes commerciales et de service client sont les premiers acteurs du consentement dans les organisations : ce sont elles qui le recueillent, qui répondent aux questions des clients et qui traitent les demandes de retrait.
- La formation sur le consentement doit être concrète et opérationnelle — pas juridique et théorique. Les collaborateurs en contact avec les clients doivent savoir quoi faire, pas seulement pourquoi c'est important.
- L'absence de procédures claires pour les équipes métiers sur la gestion des retraits de consentement est une source fréquente de non-conformité — les collaborateurs qui ne savent pas comment procéder retardent ou omettent de traiter les demandes.
- Les équipes produit et marketing jouent un rôle critique dans la conception des dispositifs de consentement — leurs décisions de design d'interface ont des conséquences juridiques directes sur la validité des consentements recueillis.
- La coordination entre les fonctions métier, juridique, informatique et DPO est structurellement nécessaire — la gouvernance du consentement est une responsabilité transversale qui ne peut être efficacement portée par une seule fonction.
Dans beaucoup d'organisations, la gouvernance du consentement est perçue comme un sujet juridique ou informatique. En pratique, la majorité des interactions qui déterminent la qualité du dispositif de consentement impliquent des équipes métiers — commerciaux, service client, équipes produit, marketing. Ce sont elles qui recueillent les consentements, qui répondent aux questions des personnes concernées, qui traitent les retraits et qui conçoivent les interfaces par lesquelles les consentements sont exprimés.
Cette réalité opérationnelle implique que la gouvernance du consentement ne peut pas être efficacement portée par une seule fonction. Elle requiert un niveau d'intégration entre les équipes métiers et les fonctions de support (juridique, informatique, DPO) qui n'est pas toujours naturel dans les organisations structurées en silos.
Les responsabilités concrètes des équipes métiers
Les équipes commerciales et de service client sont les premières concernées. Lorsqu'elles recueillent des données clients — lors d'une inscription, d'une transaction ou d'un appel — elles sont en première ligne de la validité du consentement. Une information incomplète, une formulation ambiguë ou une pression commerciale qui oriente vers l'acceptation rapide peut invalider le consentement recueilli. Ces équipes doivent comprendre les exigences essentielles du consentement valide et avoir des procédures claires pour les situations ambiguës.
Les équipes produit et marketing ont des responsabilités différentes mais tout aussi importantes. Ce sont elles qui décident de la conception des formulaires de consentement, de la formulation des options présentées, de la visibilité des boutons de refus et de la clarté des informations fournies. Ces décisions de design ont des conséquences juridiques directes : une interface conçue pour maximiser les consentements en rendant le refus difficile constitue un dark pattern qui peut invalider les consentements recueillis.
La violation Marriott/Starwood, révélée en 2018 et remontant à 2014, avait permis à des attaquants d'accéder aux données de 500 millions de clients pendant quatre ans. L'un des facteurs contributifs identifiés dans les enquêtes post-incident était l'absence de procédures opérationnelles claires pour les équipes informatiques de Starwood après l'acquisition : les responsabilités en matière de surveillance des accès aux bases de données clients n'avaient pas été clairement réattribuées lors de l'intégration des systèmes. Cette ambiguïté des responsabilités opérationnelles — ni les équipes Marriott ni les équipes Starwood ne surveillaient activement ces accès — est un exemple de ce qui se produit lorsque la gouvernance des données est traitée comme un sujet uniquement juridique plutôt que comme une responsabilité opérationnelle des équipes métiers.
La formation opérationnelle des équipes métiers
La formation efficace sur le consentement s'adresse aux comportements, pas aux concepts. Expliquer le RGPD ou la Loi 18-07 à un commercial ou à un conseiller client a peu d'impact sur ses comportements quotidiens. En revanche, lui donner des procédures précises et des scripts clairs pour les situations courantes — comment répondre à une demande de retrait, comment procéder lors d'une inscription, quoi faire en cas de question d'un client sur l'utilisation de ses données — produit des résultats mesurables.
La formation doit être périodique et actualisée lors de chaque changement significatif du dispositif de consentement. Les équipes qui n'ont été formées qu'une fois au moment de leur intégration et qui n'ont pas reçu de mise à jour lors des évolutions réglementaires ou des changements de politique interne reproduisent des comportements devenus non conformes sans en être conscientes.
La coordination inter-fonctions comme condition de la gouvernance
La gouvernance efficace du consentement requiert un mécanisme de coordination qui rassemble régulièrement les représentants des fonctions concernées. Cette instance n'a pas besoin d'être formelle ou lourde — une réunion mensuelle de trente minutes impliquant le DPO, un représentant juridique, un représentant informatique et les responsables métiers concernés suffit à identifier les décalages, les nouvelles questions et les ajustements nécessaires.
La violation T-Mobile de 2021, exposant les données de 50 millions de clients via une API non sécurisée, résultait d'une décision technique prise sans processus de validation de sécurité adéquat. Les équipes de développement avaient déployé une API dont la sécurisation n'avait pas été vérifiée conformément aux politiques internes. Cet incident illustre comment des décisions opérationnelles prises par des équipes techniques sans coordination avec les fonctions de gouvernance créent des vulnérabilités qui deviennent des violations de données. T-Mobile a payé 350 millions de dollars dans le cadre d'un règlement collectif et investi 150 millions de dollars supplémentaires dans son programme de sécurité — un coût que de meilleures procédures internes auraient largement atténué.
L'exposition des fiches de 10 millions de clients SNCF en 2022 a mis en lumière des lacunes dans la coordination entre les équipes métiers gérant les données clients et les fonctions informatique et DPO. Les données avaient été stockées dans des configurations accessibles à des acteurs non autorisés sans que les équipes responsables de ces configurations aient été informées des exigences de protection applicables à ces catégories de données. La CNIL a engagé des vérifications qui ont porté sur la qualité des procédures internes de gouvernance des données, pas seulement sur les mesures techniques de sécurité. La leçon : la sécurité technique ne remplace pas la gouvernance opérationnelle.
La violation SingHealth de 2018, la plus importante de l'histoire de Singapour, avait exposé les données de 1,5 million de patients — incluant celles du Premier Ministre. L'attaquant était présent dans les systèmes depuis trois mois avant la détection. L'enquête post-incident a relevé des défaillances dans les procédures opérationnelles : les alertes de sécurité n'avaient pas été remontées aux décideurs dans des délais appropriés, et la coordination entre les équipes IT et les responsables des données de santé était insuffisante. Des recommandations spécifiques portaient sur la formation des équipes opérationnelles à la détection et à l'escalade des incidents — une dimension humaine et organisationnelle autant que technique.