- Marriott/Starwood (2018) : la fusion de deux organisations ayant des systèmes distincts et des pratiques de gestion des données différentes a créé une complexité de réconciliation des consentements qui n'a pas été résolue — illustrant les défis de la multiplicité des points de collecte dans un contexte de croissance externe.
- Chaque canal de collecte (web, application mobile, point de vente, centre d'appels, partenaire commercial) doit être documenté dans le registre des activités de traitement avec ses propres caractéristiques de collecte.
- La réconciliation des consentements entre canaux est le défi technique central : une personne qui a retiré son consentement sur l'application mobile doit voir ce retrait appliqué dans tous les autres systèmes qui utilisent ses données.
- Les organisations ayant réalisé des fusions-acquisitions ont souvent des bases de données clients avec des historiques de consentement hétérogènes — une source de risque réglementaire qui doit être identifiée et traitée lors de l'intégration.
- La prolifération des outils SaaS dans les organisations crée des points de collecte invisibles — des services utilisés par les équipes qui collectent des données sans que le DPO en soit informé.
- Un inventaire annuel des points de collecte est une pratique de gouvernance fondamentale — sans inventaire à jour, la cartographie des traitements ne peut pas être maintenue.
La multiplication des canaux numériques est une réalité incontournable pour les organisations qui développent leur présence digitale. Chaque nouveau canal — site web, application mobile, borne interactive, partenaire commercial, chatbot — est un nouveau point de collecte de données personnelles, avec ses propres spécificités techniques et ses propres implications en matière de consentement. La gestion cohérente de cette multiplicité est l'un des défis opérationnels les plus complexes de la gouvernance des données.
La fragmentation des consentements n'est pas seulement un problème technique — c'est un problème de gouvernance. Lorsque chaque canal a développé son propre mécanisme de consentement de manière indépendante, la réconciliation des données de consentement entre canaux devient une tâche complexe qui nécessite une intervention manuelle et produit des résultats peu fiables.
La cartographie des points de collecte comme préalable
La première étape de la gouvernance de la multiplicité des points de collecte est la cartographie. L'organisation doit être capable de répondre précisément à la question : "où collectons-nous des données personnelles ?" Cette cartographie doit inclure non seulement les canaux officiels et gérés centralement, mais aussi les outils SaaS utilisés par les équipes métiers, les intégrations de partenaires commerciaux, les outils de support client, et les formulaires de contact dispersés sur le site web.
La cartographie des points de collecte est un exercice itératif, pas une opération ponctuelle. De nouveaux points de collecte apparaissent régulièrement — lors du lancement de nouvelles fonctionnalités, lors de l'adoption de nouveaux outils par les équipes, lors de la mise en place de partenariats commerciaux. Un processus de déclaration des nouveaux points de collecte, intégré dans les procédures de validation des projets, est la seule manière de maintenir la cartographie à jour.
La violation de Citibank en 2011, qui avait exposé les comptes de 360 000 clients via une faille de traversal d'API, avait pour contexte une architecture multi-canaux complexe où les applications web et les API n'étaient pas soumises aux mêmes niveaux de contrôle. Le portail client web avait ses propres mécanismes d'authentification et de contrôle d'accès, distincts de ceux des API — une fragmentation technique qui avait créé des angles morts. Dans le contexte de la gouvernance du consentement, cette fragmentation illustre comment des systèmes gérant les mêmes données clients mais développés séparément peuvent créer des incohérences qui ne sont détectées qu'au moment d'un incident.
L'architecture de réconciliation des consentements
La réconciliation des consentements entre canaux requiert une architecture centralisée : un système de référence unique qui stocke l'état courant des consentements de chaque personne et qui propage les mises à jour à tous les systèmes consommateurs. Cette architecture de type "consent management platform" (CMP) est la solution technique au problème de la fragmentation, mais son efficacité dépend de la complétude de l'intégration : si certains systèmes ne sont pas connectés à la plateforme centrale, la réconciliation reste incomplète.
L'intégration des systèmes legacy est souvent le défi principal. Les organisations ayant des systèmes anciens qui ne disposent pas d'interfaces modernes pour recevoir des mises à jour de consentement en temps réel doivent développer des solutions intermédiaires ou planifier la migration de ces systèmes. L'absence de solution pour les systèmes legacy est une vulnérabilité que les régulateurs identifient lors des contrôles.
Le cas particulier des fusions-acquisitions
Les fusions-acquisitions créent une catégorie de défi spécifique : deux organisations avec des bases de données clients distinctes, des historiques de consentement différents et des systèmes de gestion des données potentiellement incompatibles. La due diligence en matière de protection des données doit inclure une évaluation précise de la qualité des consentements existants dans l'entité acquise — des consentements recueillis sous des politiques de confidentialité différentes peuvent ne pas être transférables à la nouvelle entité sans recueil de nouveaux consentements.
La violation Capital One de 2019 (100 millions de clients, mauvaise configuration AWS) avait pour contexte une architecture cloud complexe où les contrôles d'accès n'avaient pas été correctement configurés lors de la migration depuis les systèmes on-premise. La multiplicité des environnements — cloud, on-premise, systèmes legacy — avait créé des angles morts dans la surveillance des accès aux données clients. La gouvernance des consentements dans un contexte multi-environnements requiert la même vigilance : les politiques de consentement doivent s'appliquer de manière cohérente dans tous les environnements, y compris les environnements cloud où la configuration par défaut peut différer des standards internes.
La violation Marriott/Starwood illustre parfaitement les risques de la multiplicité des points de collecte dans un contexte de fusion. Les systèmes Starwood, acquis en 2016, n'avaient pas été pleinement intégrés dans la gouvernance de sécurité de Marriott avant que la violation ne soit découverte en 2018 — une violation dont l'origine remontait à 2014, avant même l'acquisition. Les deux organisations avaient des systèmes de gestion des données clients distincts, des pratiques de consentement différentes et des niveaux de sécurité hétérogènes. L'ICO a sanctionné Marriott de 18,4 millions de livres, notant que les risques étaient prévisibles lors de l'intégration post-acquisition.
La violation Air India de 2021 (4,5 millions de passagers via une faille chez le prestataire SITA) illustre les risques de la multiplicité des points de collecte dans un contexte de chaîne de valeur aérienne. Les données de passagers transitent par de nombreux systèmes : compagnie aérienne, GDS (Global Distribution System), prestataire de services d'escale, programme de fidélité. SITA, qui gère les systèmes informatiques de nombreuses compagnies aériennes, avait accès à des données collectées par plusieurs acteurs. L'exposition de ces données a affecté des passagers qui avaient consenti à la collecte par Air India sans savoir que leurs données passeraient par les systèmes d'un prestataire tiers commun à de nombreuses compagnies.