Points clés
- La prolifération des sources de données personnelles multiplie les périmètres à gouverner et les risques associés.
- Chaque nouvelle source introduit des questions de qualité, de finalité et de responsabilité qui doivent être résolues.
- La consolidation des données de plusieurs sources sans gouvernance claire crée des traitements non déclarés.
- La maîtrise des sources de données est un prérequis à la maîtrise de la conformité.
La multiplication des sources comme défi de gouvernance
Les organisations modernes collectent des données personnelles à travers une multiplicité de canaux : formulaires web, systèmes CRM, applications mobiles, partenaires commerciaux, réseaux sociaux, capteurs et objets connectés. Chaque source introduit ses propres questions de gouvernance : quelle est la base légale de la collecte ? Quelle est la finalité déclarée ? Qui est responsable de la qualité des données ? Quelle est la durée de conservation applicable ? La multiplication des sources ne multiplie pas seulement les volumes traités — elle multiplie les périmètres de conformité à gouverner simultanément.
La qualité des données comme enjeu réglementaire
Le RGPD impose un principe d'exactitude : les données personnelles doivent être exactes et, si nécessaire, tenues à jour. Quand les données personnelles proviennent de sources multiples — dont certaines de tiers — la qualité de ces données est difficile à garantir. Des données erronées, des doublons non détectés, des informations obsolètes contribuent à des profils inexacts qui peuvent produire des décisions injustes pour les personnes concernées et exposer l'organisation à des contestations. La gouvernance de la qualité des données est une obligation réglementaire autant qu'une exigence opérationnelle.
La consolidation comme risque de traitement non déclaré
La consolidation de données issues de plusieurs sources peut créer, par combinaison, de nouveaux traitements qui ne correspondent à aucune finalité déclarée dans le registre. Croiser des données de navigation avec des données de fidélité pour produire des profils comportementaux peut constituer un nouveau traitement nécessitant sa propre base légale et sa propre documentation. Ces traitements émergents, nés de la combinaison de sources existantes, sont parmi les plus difficiles à identifier et à documenter dans les registres de traitements des organisations à fort volume de données.
Les données tierces : une vigilance particulière
L'acquisition de données personnelles auprès de tiers — courtiers en données, partenaires commerciaux, plateformes d'enrichissement — soulève des questions spécifiques. L'organisation doit s'assurer que ces données ont été collectées dans des conditions légales, que la finalité de la collecte initiale est compatible avec l'utilisation envisagée, et que les personnes ont été correctement informées. La tentation de l'enrichissement data sans vérification de la provenance est une source croissante de non-conformité, particulièrement dans les secteurs du marketing et des services financiers.
Maîtriser les sources pour maîtriser la conformité
La maîtrise de la conformité data commence par la maîtrise des sources. Cette maîtrise suppose un inventaire régulier des sources actives, un processus de qualification de toute nouvelle source avant son utilisation, et une revue périodique des sources existantes pour identifier celles qui ne sont plus nécessaires ou dont la conformité n'est plus assurée. Les organisations qui investissent dans cette cartographie des sources disposent d'une base solide pour leur registre des traitements et pour leur capacité à répondre aux régulateurs et aux personnes concernées.