- Colonial Pipeline (2021) : l'absence de traçabilité des comptes utilisateurs actifs — notamment les comptes d'anciens employés — a permis l'accès initial qui a conduit à l'attaque ransomware. La traçabilité des droits accordés est le pendant direct de la traçabilité des consentements.
- En l'absence de preuve du consentement, la charge de la preuve s'inverse en faveur de la personne concernée dans de nombreuses juridictions — l'organisation doit démontrer qu'elle a bien recueilli un consentement valide, faute de quoi elle est présumée en violation.
- Un défaut de traçabilité rend impossible le traitement des demandes d'accès (DSAR), qui est un droit fondamental des personnes concernées — son inexécution dans les délais réglementaires expose à des mises en demeure supplémentaires.
- La traçabilité insuffisante complique la gestion des incidents : sans journaux d'accès précis, il est impossible de déterminer l'étendue d'une violation et donc d'évaluer les obligations de notification qui en découlent.
- Les systèmes legacy sans capacité de journalisation des accès aux données personnelles sont une vulnérabilité réglementaire identifiée par les autorités de contrôle lors des inspections.
- La conservation des preuves de consentement au format immuable (non modifiable rétrospectivement) est une exigence implicite de la réglementation — une trace modifiable n'a pas de valeur probante.
La traçabilité des choix des personnes concernées est la condition sans laquelle le reste du dispositif de consentement ne peut pas fonctionner. Sans preuve du consentement, l'organisation est incapable de démontrer sa conformité, de gérer efficacement les demandes d'exercice de droits et de reconstituer l'étendue d'un incident affectant des données personnelles. Ce défaut structurel est l'une des vulnérabilités les plus fréquemment identifiées lors des contrôles des autorités de protection des données.
Pour la direction générale, la traçabilité n'est pas un sujet purement technique — c'est une question de responsabilité organisationnelle. Les organisations qui ne peuvent pas produire rapidement la preuve de consentement pour n'importe quel traitement sont dans une position de fragilité réglementaire permanente, indépendamment de la qualité de leurs autres pratiques de gouvernance des données.
Les conséquences réglementaires directes
L'absence de traçabilité des consentements est un manquement autonome, distinct de la violation éventuelle à laquelle il est associé. Les autorités de protection des données peuvent sanctionner une organisation uniquement pour son incapacité à démontrer la conformité de ses pratiques de consentement, sans qu'il y ait eu de violation des données. Cette dimension préventive des sanctions est souvent méconnue des organisations qui pensent que la conformité réglementaire ne s'évalue qu'en cas d'incident.
En cas de contrôle, la demande de production des preuves de consentement est systématique. L'organisation qui ne peut pas y répondre dans des délais raisonnables — généralement quelques jours — est présumée en violation des obligations de traçabilité. Cette présomption est difficile à renverser sans les preuves documentaires correspondantes.
La violation LastPass de 2022, dans laquelle les coffres cryptés de clients ont été exfiltrés après la compromission d'un poste de développeur, a illustré les conséquences d'un défaut de traçabilité des accès aux environnements de développement. LastPass n'était pas en mesure de déterminer précisément quelles données avaient été accédées par l'attaquant ni quels environnements avaient été compromis. Cette incapacité à tracer précisément l'incident a obligé l'entreprise à notifier l'ensemble de ses clients sur la base d'une hypothèse large — une décision plus coûteuse en termes de gestion de crise que ce qu'aurait permis une traçabilité précise. Le parallèle avec la traçabilité des consentements est direct : sans registre précis, la gestion de tout événement lié aux données — exercice de droits, incident, contrôle — devient plus coûteuse et moins fiable.
L'impact sur la gestion des exercices de droits
Le droit d'accès aux données personnelles (DSAR — Data Subject Access Request) est l'un des droits les plus fréquemment exercés par les personnes concernées. Ce droit impose à l'organisation de fournir, dans un délai d'un mois, l'ensemble des données détenues sur la personne qui en fait la demande. Sans système de traçabilité permettant d'identifier et d'extraire toutes les données d'une personne dans tous les systèmes de l'organisation, honorer ce droit dans le délai réglementaire est structurellement impossible.
Le même raisonnement s'applique au droit à l'effacement. Lorsqu'une personne exerce son droit à l'effacement, l'organisation doit pouvoir identifier toutes les données la concernant dans l'ensemble de ses systèmes et les supprimer ou les anonymiser. Sans traçabilité, cette opération est nécessairement incomplète, créant une violation résiduelle que la personne peut soulever devant le régulateur.
La valeur probante des journaux et registres
La valeur probante d'un registre de consentements dépend de son intégrité : un registre que l'organisation peut modifier rétrospectivement n'a pas de valeur probante devant un régulateur ou un tribunal. Les bonnes pratiques recommandent de stocker les preuves de consentement dans des systèmes qui garantissent leur immuabilité — des systèmes avec des logs d'audit intégrés, des mécanismes de hachage des enregistrements ou des systèmes de signature électronique des preuves.
La violation Yahoo (3 milliards de comptes, révélée deux ans après les faits) a mis en évidence l'absence de traçabilité adéquate des accès aux bases de données d'authentification. Yahoo n'était pas en mesure de reconstituer précisément quels comptes avaient été accédés, quand et par qui. Cette incapacité a conduit à une notification conservatoire à l'ensemble des 3 milliards de titulaires de comptes — une décision prise par défaut faute de traçabilité permettant de délimiter l'impact réel. Le coût de cette notification à grande échelle, et l'impact sur la transaction d'acquisition par Verizon (réduction de 350 millions de dollars), illustrent concrètement le coût d'un défaut de traçabilité.
L'incident Deutsche Bank de 2019 — transmission involontaire de données de 1 200 employés à un mauvais destinataire — illustre les conséquences d'une traçabilité insuffisante des transmissions de données personnelles. Deutsche Bank n'a pas pu reconstituer rapidement le circuit exact de transmission des données, ce qui a compliqué la notification au régulateur et la communication aux personnes concernées. La banque a dû mener une investigation manuelle dans ses systèmes de messagerie et de gestion documentaire pour reconstituer l'incident — une démarche longue et coûteuse qui aurait été considérablement simplifiée par des journaux de transmission automatiques.
La violation Medibank de 2022 (9,7 millions de clients) a révélé des lacunes dans la traçabilité des accès aux bases de données de santé. L'organisation n'a pas détecté immédiatement l'accès non autorisé à ses systèmes, et lorsqu'elle l'a découvert, elle n'a pas pu délimiter précisément l'étendue des données accédées. Cette incertitude a conduit à une notification large et à une communication de crise particulièrement coûteuse. L'Office of the Australian Information Commissioner a relevé dans son enquête que des systèmes de surveillance et de journalisation adaptés au niveau de sensibilité des données de santé auraient dû être en place — une défaillance de gouvernance, pas seulement de sécurité technique.