- Uber (2022) : l'absence d'indicateurs sur les tentatives d'authentification inhabituelles a permis une attaque de fatigue MFA de passer sous les radars — sans tableau de bord de sécurité couvrant les accès, les signaux précurseurs ne sont jamais vus.
- Les taux de consentement par canal et par finalité sont des indicateurs clés : une chute soudaine du taux de consentement peut signaler un problème dans le dispositif de collecte ou une perte de confiance des utilisateurs.
- Le délai moyen de traitement des demandes d'exercice de droits est un indicateur de maturité opérationnelle — un délai supérieur à 15 jours révèle des dysfonctionnements dans les processus internes.
- Le pourcentage de traitements couverts par un consentement valide ou une base légale documentée est l'indicateur de complétude du registre des activités de traitement — un chiffre inférieur à 100 % indique des zones de non-conformité.
- Le nombre de retraits de consentement mensuels est un indicateur de confiance des utilisateurs — une hausse soudaine doit déclencher une investigation sur les causes.
- Le taux de couverture des sous-traitants par des contrats de traitement conformes aux exigences réglementaires est un indicateur de gouvernance de la chaîne de sous-traitance souvent sous-mesuré.
La conformité des pratiques de consentement ne peut pas être pilotée par déclaration — il faut des indicateurs opérationnels qui permettent d'évaluer en continu l'état réel du dispositif. Sans ces indicateurs, la direction générale ne dispose pas des informations nécessaires pour détecter les dérives, prioriser les actions correctives et démontrer aux régulateurs que la gouvernance est active et non seulement formelle.
La construction d'un tableau de bord de conformité du consentement est un exercice qui dépasse la simple comptabilité des consentements recueillis. Il doit couvrir la qualité du processus de collecte, l'efficacité du traitement des demandes de droits, la robustesse du registre des traitements et la solidité de la chaîne de sous-traitance. Chacun de ces axes se décline en indicateurs mesurables, comparables dans le temps et répartis entre les fonctions responsables.
Les indicateurs de qualité du processus de collecte
Le taux de consentement effectif par canal et par finalité est le premier indicateur à suivre. Un taux très élevé (proche de 100 %) peut paradoxalement signaler un problème : il peut indiquer que le dispositif de collecte est conçu de manière à rendre le refus difficile, ce qui invalide la qualité du consentement recueilli. Un taux variant significativement entre canaux peut indiquer des incohérences dans la qualité de l'information délivrée selon le canal.
Le taux de complétude des consentements — la proportion de personnes pour lesquelles un consentement valide est documenté pour l'ensemble des traitements qui les concernent — est un indicateur de couverture. Dans les organisations qui ont des bases de clients anciennes, ce taux peut être significativement inférieur à 100 % en raison de consentements recueillis avant les évolutions réglementaires. Ces écarts doivent être identifiés, quantifiés et traités selon un plan de régularisation documenté.
La violation EasyJet de 2020, révélée plusieurs mois après sa découverte, a illustré les limites d'un pilotage de la sécurité et de la conformité par indicateurs insuffisants. L'entreprise ne disposait pas des outils de détection qui lui auraient permis de détecter rapidement la compromission de ses systèmes. La même logique s'applique aux indicateurs de conformité du consentement : sans tableau de bord permettant de détecter les anomalies — pic de retraits de consentement, hausse des demandes d'exercice de droits, taux de couverture en baisse — les dérives ne sont identifiées qu'au moment où elles sont devenues des violations avérées.
Les indicateurs d'efficacité opérationnelle des processus de droits
Le délai moyen de traitement des demandes d'exercice de droits est un indicateur opérationnel direct de la maturité du dispositif. La réglementation impose des délais précis — généralement un mois, prolongeable dans des cas justifiés. Un délai moyen interne supérieur à quinze jours signale que l'organisation utilise une partie de son délai réglementaire pour des tâches qui pourraient être optimisées, réduisant sa marge de manœuvre pour les cas complexes.
Le taux de demandes ne pouvant être honorées faute de données disponibles est un indicateur de qualité du registre des consentements. Si certaines demandes d'accès aux données ne peuvent être honorées parce que l'organisation ne sait pas où les données de la personne concernée sont stockées, c'est un signal d'alerte majeur sur la qualité de la cartographie des traitements.
Les indicateurs de robustesse de la chaîne de sous-traitance
Le taux de sous-traitants couverts par des contrats de traitement conformes aux exigences réglementaires est souvent sous-mesuré. Beaucoup d'organisations ont des contrats de traitement pour leurs principaux prestataires mais ont oublié des fournisseurs secondaires qui accèdent pourtant à des données personnelles — outils d'analyse, services d'hébergement, prestataires de maintenance. Un audit annuel de la couverture contractuelle de la chaîne de sous-traitance est un indicateur fondamental.
La violation Home Depot de 2014 (56 millions de cartes bancaires via les credentials d'un prestataire) aurait pu être détectée plus tôt si des indicateurs de surveillance des accès tiers avaient été en place. L'attaquant a utilisé les identifiants du prestataire pendant plusieurs mois avant que la violation ne soit détectée — pas par Home Depot lui-même, mais par des établissements bancaires qui ont identifié un schéma de fraude inhabituel. L'absence d'indicateurs internes sur les accès des prestataires est une lacune de gouvernance qui a aggravé l'impact de l'incident. Home Depot a versé 19,5 millions de dollars dans un règlement avec les consommateurs affectés et 25 millions avec les institutions financières.
La publication de 9,5 Go de données Thales par le groupe LockBit en 2022 a mis en évidence l'absence d'indicateurs suffisants pour détecter l'exfiltration de données. L'entreprise n'avait pas de système permettant de mesurer en temps réel les volumes de données sortant de ses systèmes — un indicateur fondamental dans un contexte où la menace des ransomwares avec double extorsion est dominante. Dans le contexte de la gouvernance du consentement, le parallèle est direct : sans indicateurs sur les accès effectués aux données personnelles et les volumes traités, il est impossible de détecter des anomalies qui signaleraient une utilisation non conforme aux finalités déclarées.
La violation Medibank de 2022 (9,7 millions de clients) a illustré l'importance des indicateurs de détection dans les systèmes de santé. L'assureur ne disposait pas d'indicateurs suffisants pour détecter rapidement l'accès non autorisé à sa base de données clients. L'Office of the Australian Information Commissioner a relevé dans son rapport que des indicateurs de surveillance adaptés au niveau de sensibilité des données traitées — des données de santé extrêmement sensibles — auraient dû permettre une détection plus rapide. L'impact de cette absence de pilotage a été amplifié par le fait que l'organisation n'a pas pu démontrer aux régulateurs la qualité de ses pratiques de gouvernance des données de santé.