On a vu jusqu'ici comment recueillir, manipuler et signaler les incidents.
Il reste une question fondamentale : qu'est-ce qui vous autorise, au départ, à recueillir et à utiliser ces renseignements ?
La réponse, dans la grande majorité des cas, c'est le consentement de la personne concernée. Cette leçon en pose le principe et brosse le portrait des droits que les personnes peuvent ensuite exercer sur leurs données.
Le principe : pas de partage sans consentement
La règle de base est simple : une entreprise ne peut pas communiquer un renseignement personnel à un tiers sans le consentement de la personne concernée (art. 13).
Quelques exceptions existent (urgence vitale, obligation légale, échanges encadrés avec certaines autorités), mais elles sont précisément définies dans la loi et seront abordées plus tard. La règle par défaut, c'est le consentement.
Concrètement, dès qu'un renseignement quitte vos systèmes vers un tiers (un fournisseur, un partenaire, un autre service), posez-vous la question : cette personne a-t-elle consenti à ce partage ?
Si vous ne savez pas, ne partagez pas. Vérifiez d'abord.
Un consentement valide a des conditions
Sans entrer dans le détail, retenez ceci : un consentement valide se reconnaît à quelques traits essentiels (art. 14).
- Il...