Cette politique explique comment le consentement et l’autorisation des utilisateurs doivent être obtenus, documentés et appliqués afin de garantir un accès légal et responsable au sein des environnements organisationnels.
L’objectif de cette politique est de définir les principes régissant le consentement des utilisateurs et l’autorisation d’accès aux systèmes, aux données et aux ressources numériques. Elle s’applique aux employés, administrateurs, sous-traitants et à toute autre personne autorisée.
Le consentement et l’autorisation sont des notions distinctes. Les deux doivent être présents lorsque la loi ou les règles internes de gouvernance l’exigent.
Le consentement désigne l’accord éclairé, volontaire et explicite d’un utilisateur ou d’une personne concernée permettant l’accès ou des activités de traitement.
L’autorisation désigne les contrôles techniques et administratifs qui déterminent quelles actions un utilisateur authentifié est autorisé à effectuer.
Le consentement n’accorde pas automatiquement un accès illimité. Les autorisations doivent toujours être limitées à des rôles définis et à des finalités légitimes.
Les privilèges administratifs, les capacités de surveillance et l’accès aux systèmes sensibles nécessitent une justification supplémentaire, une documentation appropriée et un contrôle renforcé.
Les organisations sont responsables d’obtenir le consentement des utilisateurs avant d’activer des accès, des mécanismes de surveillance ou des activités de traitement des données, lorsque la loi l’exige.
Le consentement doit être clair, documenté et communiqué d’une manière raisonnablement compréhensible pour les utilisateurs. Les mécanismes de consentement implicite ou dissimulé ne doivent pas être utilisés lorsqu’un consentement explicite est requis.
Les accès doivent être accordés sur la base de rôles définis, de responsabilités et de besoins opérationnels. Le principe du moindre privilège doit être appliqué en permanence.
Les autorisations doivent être réexaminées régulièrement et mises à jour sans délai lorsque les rôles évoluent ou que l’accès n’est plus nécessaire.
Les décisions relatives au consentement et à l’autorisation doivent être documentées de manière à permettre les contrôles internes, les audits et les demandes réglementaires.
Les enregistrements doivent indiquer quand le consentement a été obtenu, quel accès a été autorisé et qui a approuvé cet accès.
La responsabilité de l’obtention du consentement, de la définition des règles d’autorisation et de l’application des contrôles d’accès incombe entièrement à l’organisation. Les violations de cette politique peuvent entraîner la suspension des accès ou des mesures disciplinaires internes.