- T-Mobile (2021) : la violation exposant 50 millions de clients via une API non sécurisée illustre comment une mauvaise maîtrise des accès aux données se double souvent d'une mauvaise maîtrise des traitements effectués — deux dimensions qui auraient dû être gouvernées ensemble.
- L'absence de registre des consentements mis à jour est le premier signal d'un dispositif sous-maîtrisé — si l'organisation ne peut pas répondre à la question "qui a consenti à quoi, quand et par quel canal", elle est en situation de fragilité réglementaire.
- Des délais de traitement des demandes d'exercice des droits supérieurs à un mois sont un signal opérationnel fort — ils révèlent l'absence de procédure standardisée et de systèmes connectés permettant une exécution fiable.
- La présence de finalités de traitement non documentées dans le registre des activités de traitement (RAT) ou non couvertes par un consentement valide est une vulnérabilité réglementaire directe.
- Des dispositifs de consentement différents selon les canaux (web, mobile, point de vente) sans mécanisme de réconciliation centralisée signalent une fragmentation organisationnelle difficile à corriger sans refonte du dispositif.
- L'absence de formation des équipes opérationnelles sur les obligations de consentement génère des écarts entre la politique formelle et les pratiques réelles sur le terrain.
Un dispositif de consentement défaillant ne se manifeste pas nécessairement par un incident visible. Il se révèle à travers une série de signaux organisationnels qui, pris isolément, semblent mineurs mais qui, cumulés, indiquent une fragilité structurelle. La direction générale qui sait lire ces signaux peut agir de manière préventive plutôt que curative — à un coût significativement moindre.
Le diagnostic d'un dispositif de consentement se fait rarement lors d'une inspection spécifique. Il émerge lors d'audits internes, lors des travaux de mise en conformité annuelle, ou lors de demandes d'exercice de droits difficiles à honorer. Chaque moment de difficulté opérationnelle dans la gestion du consentement est un indicateur de la solidité du dispositif global.
Les signaux opérationnels d'une gouvernance insuffisante
Le signal le plus immédiat est la difficulté à répondre à une demande d'exercice de droits dans les délais réglementaires. Lorsqu'une personne demande l'accès à ses données, la rectification d'une information ou la suppression de ses données, l'organisation doit être en mesure d'identifier toutes les données concernées dans l'ensemble de ses systèmes, de les extraire ou de les supprimer selon le cas, et de confirmer l'exécution à la personne concernée. Si cette opération requiert plus d'un mois ou nécessite des interventions manuelles dans de nombreux systèmes, le dispositif est sous-maîtrisé.
Un autre signal fort est l'incapacité à produire, sur demande d'un auditeur ou d'un régulateur, la preuve du consentement pour un traitement spécifique. "Nous avons un système de consentement" n'est pas suffisant — il faut pouvoir démontrer qu'un consentement valide a été recueilli pour le traitement en question, à une date précise, dans des conditions précises. L'absence de cette traçabilité est un défaut majeur.
Lors de l'épidémie WannaCry de 2017, Renault a été l'une des entreprises françaises les plus touchées, avec plusieurs usines arrêtées. Au-delà de l'impact opérationnel, l'incident a révélé des lacunes dans la gouvernance des traitements de données industrielles. Les systèmes affectés comprenaient des processus qui n'étaient pas inventoriés dans la cartographie des risques IT, révélant une sous-maîtrise du périmètre des traitements. Cet angle organisationnel de l'incident — pas seulement technique — illustre comment une mauvaise maîtrise du périmètre des traitements crée des angles morts que ni les équipes opérationnelles ni les auditeurs ne peuvent détecter à temps.
Les signaux structurels d'un dispositif dépassé
La fragmentation des dispositifs de consentement selon les canaux est un signal structurel caractéristique des organisations qui ont développé leurs canaux numériques sans gouvernance unifiée. Un client peut avoir consenti en ligne à certaines utilisations de ses données, refusé sur l'application mobile, et avoir des paramètres différents enregistrés dans le système CRM. Dans ce contexte, quelle est la volonté réelle de la personne ? Quelle version du consentement s'applique ? L'organisation est incapable de répondre à ces questions de manière cohérente.
La datation des politiques de confidentialité est également un signal révélateur. Une politique de confidentialité qui n'a pas été mise à jour depuis plus de deux ans dans une organisation dont les activités numériques ont évolué est très probablement obsolète. Elle peut couvrir des traitements qui n'existent plus et ne pas couvrir des traitements qui ont été mis en place entretemps. Cette obsolescence est un signal de gouvernance insuffisante.
Comment mettre en place un diagnostic interne du dispositif
Un diagnostic structuré du dispositif de consentement commence par trois questions opérationnelles : l'organisation peut-elle produire la preuve de consentement pour n'importe quel traitement, en moins d'une heure ? Peut-elle exécuter un retrait de consentement de manière complète dans tous ses systèmes en moins d'une semaine ? Peut-elle identifier l'ensemble des traitements pour lesquels un consentement explicite est requis et vérifier que ce consentement a été recueilli ? Si la réponse à l'une de ces questions est "non" ou "peut-être", le dispositif présente des lacunes qui justifient une action corrective.
L'attaque par ransomware sur Colonial Pipeline en 2021, qui a conduit à payer une rançon de 4,4 millions de dollars et à interrompre la distribution de carburant sur une grande partie de la côte est américaine, a révélé un signal d'alerte critique : un VPN d'un ancien employé était resté actif après son départ. Ce signal — la présence d'accès non révoqués — est directement analogue aux dispositifs de consentement non révoqués. Dans les deux cas, l'organisation avait accordé un accès qu'elle n'avait pas retiré lors du changement de situation. La maîtrise des droits accordés, qu'ils concernent des accès techniques ou des consentements de traitement, repose sur les mêmes processus de gouvernance.
L'impact de NotPetya sur Maersk en 2017 — 300 millions de dollars de pertes, réseau mondial paralysé — a révélé une sous-maîtrise du périmètre des systèmes interconnectés. Dans le contexte de la gouvernance du consentement, la leçon est identique : les organisations qui ne maîtrisent pas l'inventaire de leurs traitements de données ne peuvent pas gérer correctement les consentements associés. Maersk a dû reconstruire entièrement son infrastructure IT en moins de dix jours, ce qui a également révélé l'absence d'inventaire précis des systèmes et des données qu'ils traitaient. La cartographie des systèmes et la cartographie des traitements sont les deux faces d'un même exercice de gouvernance.
La violation de données Air India en 2021 a exposé les informations de 4,5 millions de passagers via une faille chez son prestataire SITA. Le signal d'alerte ici était le manque de maîtrise des traitements réalisés par les sous-traitants : Air India avait confié des données personnelles à un prestataire dont le niveau de sécurité et les pratiques de consentement n'étaient pas suffisamment audités. La relation prestataire-donneur d'ordre dans le traitement des données impose que le donneur d'ordre conserve la maîtrise réelle des traitements effectués en son nom — une exigence que beaucoup d'organisations vérifient insuffisamment.