- Marriott/Starwood (2018) : la présence non détectée d'un attaquant pendant quatre ans dans les systèmes a exposé 500 millions de personnes dont les données avaient été collectées avec un consentement formel — sans que les traitements effectivement réalisés correspondent aux engagements de transparence pris.
- La transparence réelle exige que les personnes concernées puissent comprendre, sans effort particulier, qui accède à leurs données, dans quel but et pour quelle durée — des critères rarement satisfaits par les politiques de confidentialité standard.
- Les régulateurs évaluent de plus en plus la substance de la transparence, pas seulement sa forme : un document long et complet qui n'est pas compris n'équivaut pas à une information effective.
- L'écart entre consentement formel et transparence réelle est une vulnérabilité juridique : en cas de litige, les tribunaux examinent si la personne concernée était raisonnablement en mesure de comprendre ce à quoi elle consentait.
- Les pratiques de dark patterns — interfaces conçues pour orienter vers le consentement plutôt qu'informer — sont de plus en plus sanctionnées par les autorités de protection des données en Europe et en Amérique du Nord.
Les politiques de confidentialité comptent en moyenne plusieurs milliers de mots et nécessitent un niveau de lecture universitaire pour être comprises. La plupart des personnes ne les lisent pas, et celles qui le font n'en retiennent qu'une fraction. Pourtant, en cliquant sur un bouton, elles sont réputées avoir consenti à l'ensemble des traitements qui y sont décrits. Ce décalage entre la forme juridique du consentement et la réalité de l'information délivrée est au cœur d'une tension croissante entre les régulateurs, les organisations et les personnes concernées.
Pour la direction générale, cette tension a des implications pratiques : un consentement formellement valide peut être remis en cause si la transparence qui l'accompagnait était insuffisante. Les autorités de protection des données ont développé des grilles d'analyse qui vont au-delà de la vérification de l'existence d'un consentement pour évaluer la qualité de l'information délivrée au moment de ce consentement.
Les limites structurelles du consentement par formulaire
Le consentement délivré via un formulaire long et exhaustif satisfait les exigences de forme mais pas nécessairement les exigences de fond. La jurisprudence européenne a progressivement précisé que le caractère "éclairé" du consentement impose que les informations soient présentées de manière claire, compréhensible et facilement accessible. Cette exigence de lisibilité crée une obligation de design de l'information qui va bien au-delà de la rédaction juridique.
La notion de "granularité" du consentement est également devenue centrale : un consentement global pour l'ensemble des traitements n'est plus considéré comme valide lorsque ces traitements ont des finalités distinctes. Les organisations qui ont construit leur dispositif de consentement sur un modèle "tout ou rien" doivent le revoir pour permettre aux personnes de consentir sélectivement selon les finalités.
La violation de données de Yahoo, révélée en 2016 mais survenue dès 2013-2014, a exposé les données de 3 milliards de comptes. Au-delà de l'ampleur technique, l'incident a soulevé des questions précises sur la transparence des traitements de données : Yahoo avait-elle informé ses utilisateurs de manière adéquate sur les finalités pour lesquelles leurs données d'authentification et leurs métadonnées étaient conservées ? Les délais de notification — près de deux ans entre la découverte et l'annonce publique — ont aggravé les critiques sur la transparence organisationnelle. Les autorités réglementaires ont pointé l'écart entre les engagements formels de la politique de confidentialité et les pratiques effectives de gestion des données, notamment concernant la durée de conservation et les accès non documentés.
Ce que la transparence réelle implique pour les organisations
La transparence réelle commence par un travail de cartographie des traitements : l'organisation doit être en mesure de décrire avec précision, pour chaque catégorie de données collectées, qui y accède, à quelle fréquence, dans quel but et pour combien de temps. Cette cartographie est la condition préalable à une communication transparente avec les personnes concernées.
La transparence implique également une obligation de notification en cas de changement significatif dans les traitements. Lorsqu'une organisation modifie ses pratiques — intégration d'un nouvel outil d'analyse, transfert à un nouveau prestataire, extension de la durée de conservation — elle doit en informer les personnes concernées et, le cas échéant, recueillir un nouveau consentement. Cette obligation de notification proactive distingue les organisations réellement engagées dans la transparence de celles qui se limitent au formalisme initial.
La transparence comme différenciateur commercial
Dans les secteurs où la confiance est un actif central, les organisations qui ont fait de la transparence un engagement visible — et pas seulement juridique — bénéficient d'un avantage concurrentiel mesurable. Les études menées après les grandes violations de données montrent que les organisations perçues comme transparentes dans leur gestion de l'incident récupèrent la confiance des utilisateurs plus rapidement que celles qui ont semblé minimiser ou retarder l'information.
La violation Equifax de 2017 (147 millions de personnes exposées, amende de 700 millions de dollars) a révélé un écart majeur entre les engagements de transparence et les pratiques réelles. Equifax avait collecté des données très sensibles sur des centaines de millions d'Américains sans que ces personnes aient eu un consentement explicite sur ces traitements — les données provenaient de sources commerciales. La transparence sur l'étendue des données détenues et sur les risques associés était inexistante. L'absence de notification rapide après la découverte de la violation (plusieurs mois de délai) a été le signal le plus marquant du déficit de transparence organisationnelle.
En 2019, Deutsche Bank a involontairement transmis les données personnelles de 1 200 employés à un mauvais destinataire, révélant des lacunes dans ses processus de gestion des données internes. L'incident a illustré que la transparence sur les traitements de données ne concerne pas seulement les données clients mais aussi celles des collaborateurs. La banque a dû notifier le BaFin et engager une révision de ses procédures de gestion documentaire. Au-delà de l'incident lui-même, l'affaire a mis en lumière l'absence de procédures claires pour vérifier la destination des communications contenant des données personnelles sensibles — une lacune de gouvernance plutôt qu'une défaillance technique.
Cathay Pacific a subi en 2018 une violation exposant les données de 9,4 millions de passagers. L'attaquant était présent dans les systèmes depuis au moins deux mois avant la découverte. La compagnie aérienne a été critiquée pour le délai de notification aux personnes concernées et pour l'absence de transparence sur l'étendue exacte des données compromises. L'autorité de protection des données de Hong Kong a engagé une enquête qui a notamment porté sur la qualité de l'information fournie aux voyageurs sur les finalités de la collecte de leurs données. La décision de retarder l'annonce pour affiner l'évaluation technique a été interprétée comme un choix de communication plutôt qu'une démarche de transparence.