- Home Depot (2014) : la violation via les credentials d'un prestataire a exposé 56 millions de cartes bancaires — un rappel que les erreurs dans la gestion des accès et des consentements de partage de données avec des tiers sont souvent les plus coûteuses.
- La première erreur systémique est l'absence de registre centralisé des consentements — sans inventaire des consentements recueillis, il est impossible de vérifier leur validité, de traiter les retraits ou de répondre à un exercice de droits.
- La deuxième erreur est la non-mise à jour du dispositif de consentement lors des évolutions des traitements ou des outils — un consentement recueilli pour une version antérieure d'un traitement ne couvre pas nécessairement la version actuelle.
- L'absence de procédure pour traiter les retraits de consentement dans des délais raisonnables est une source fréquente de mise en demeure réglementaire — le droit au retrait doit être aussi facile à exercer que le consentement initial.
- La coordination insuffisante entre les équipes marketing, juridique, informatique et produit conduit à des dispositifs de consentement fragmentés où chaque service a sa propre version du mécanisme.
- L'utilisation de dark patterns — cases pré-cochées, boutons de refus difficiles à trouver, textes trompeurs — est désormais explicitement sanctionnée dans plusieurs juridictions et constitue un risque réglementaire direct.
Les erreurs dans la gestion des consentements ne sont généralement pas le fruit d'une intention malveillante. Elles résultent le plus souvent de processus construits par sédimentation — un dispositif initial adapté à un traitement limité, étendu sans révision globale à mesure que les activités de l'organisation évoluaient. Ce phénomène d'accumulation non maîtrisée est particulièrement visible dans les organisations qui ont développé leurs activités numériques rapidement, en ajoutant des fonctionnalités et des outils sans reconstruire la gouvernance des données à chaque étape.
Le coût de ces erreurs accumulées n'est pas immédiatement visible — jusqu'au jour où une autorité de contrôle engage une inspection ou qu'un incident révèle les lacunes du dispositif. À ce moment, la remédiation est à la fois urgente, coûteuse et réalisée dans un contexte de pression médiatique et réglementaire défavorable.
Les erreurs de conception initiale du dispositif
La première catégorie d'erreurs touche la conception initiale du mécanisme de consentement. Beaucoup d'organisations ont conçu leur dispositif de consentement en partant de ce qu'elles voulaient faire plutôt qu'en partant des droits des personnes concernées. Cette inversion de perspective conduit à des interfaces qui maximisent les taux de consentement plutôt que la qualité de l'information délivrée. Lorsque les régulateurs examinent ces dispositifs, ils identifient rapidement les mécanismes conçus pour obtenir le consentement plutôt que pour l'informer.
Une erreur fréquente de conception est le regroupement de plusieurs finalités dans un seul acte de consentement. Un utilisateur qui consent à la création d'un compte est présenté comme ayant simultanément consenti à l'utilisation de ses données à des fins de prospection commerciale, de partage avec des partenaires et d'analyse comportementale. Ce regroupement est de plus en plus contesté par les autorités de protection des données qui exigent une granularité par finalité.
En 2020, Twitter a révélé que des données téléphoniques et d'adresses email collectées pour la double authentification avaient été utilisées à des fins publicitaires ciblées — une finalité non couverte par le consentement initial. La FTC a infligé à Twitter une amende de 150 millions de dollars en 2022 pour cette violation. L'erreur était organisationnelle : les équipes produit avaient utilisé des données disponibles sans vérifier si le consentement recueilli couvrait cette nouvelle finalité. L'incident illustre comment une erreur de coordination interne peut devenir une violation réglementaire majeure — les données étaient là, les outils pour les exploiter aussi, mais la vérification du périmètre du consentement n'avait pas été faite.
Les erreurs d'exploitation et de maintenance
La deuxième catégorie d'erreurs survient dans la phase d'exploitation courante du dispositif. La plus fréquente est l'absence de procédure opérationnelle pour traiter les demandes de retrait de consentement. Lorsqu'une personne retire son consentement, l'organisation doit cesser le traitement correspondant dans un délai raisonnable. En pratique, dans beaucoup d'organisations, la demande de retrait est reçue par une équipe qui n'a pas les accès ou les procédures pour l'exécuter efficacement dans tous les systèmes concernés.
La non-actualisation du registre des consentements est une erreur courante dans les organisations qui ont fait cet investissement initial sans prévoir la maintenance. Un registre qui n'est pas mis à jour lors des nouveaux traitements, des nouvelles intégrations de prestataires ou des évolutions des finalités devient rapidement inexact et ne peut plus servir de preuve de conformité en cas de contrôle.
La dimension inter-services des erreurs de consentement
Les erreurs les plus difficiles à corriger sont celles qui résultent d'une absence de coordination entre les services. Lorsque le marketing, le juridique, l'informatique et le produit gèrent chacun leur version du mécanisme de consentement sans instance de coordination, les incohérences s'accumulent. Un consentement recueilli via l'interface web peut ne pas être synchronisé avec le système CRM, qui lui-même n'est pas connecté à la plateforme d'emailing. Le résultat est une impossibilité pratique de gérer les retraits de manière cohérente.
En 2022, Morgan Stanley a conclu un accord de 35 millions de dollars avec la SEC à la suite de la revente de serveurs d'anciens data centers sans effacement adéquat des données clients. L'erreur était organisationnelle : l'absence de procédure contraignante pour le traitement des équipements en fin de vie avait conduit à une violation des engagements pris envers les clients sur la protection de leurs données. Le consentement des clients portait sur des finalités précises de traitement — pas sur une conservation résiduelle sur des matériels revendus. Ce cas illustre comment une erreur de processus peut invalider rétrospectivement les engagements de consentement pris.
En 2022, le groupe LockBit a publié 9,5 Go de données appartenant à Thales, incluant des informations sur des projets sensibles et des données internes. L'incident a soulevé des questions sur la gestion des consentements de partage de données avec des sous-traitants et des partenaires : dans quelle mesure les données exposées avaient-elles été partagées avec des tiers dans le cadre de processus validés ? L'enquête interne engagée par Thales a mis en lumière des lacunes dans le suivi des accès accordés à des prestataires extérieurs, dont certains avaient conservé des accès après la fin de leur engagement — une erreur classique de non-révocation.
Toyota a révélé en 2023 que les données de localisation de 2 millions de véhicules avaient été exposées pendant dix ans en raison d'une mauvaise configuration d'une base de données cloud. La donnée de localisation est particulièrement sensible au regard du consentement : les propriétaires avaient consenti à un service de télématique, pas à une exposition publique de leurs déplacements. L'erreur résidait dans l'absence de vérification systématique de la configuration des accès aux données lors des déploiements et des évolutions de l'infrastructure cloud. Toyota a dû notifier les personnes concernées et réviser l'ensemble de sa gouvernance des données connectées.