OneTrust ne communique pas les données à caractère personnel de ses clients aux autorités gouvernementales de son propre chef et ne leur donne pas non plus accès à ces données de quelque manière que ce soit. En outre, OneTrust n’a pas construit, et ne construira pas de manière intentionnelle, de portes dérobées pour permettre aux acteurs gouvernementaux d’accéder à ses données ou à ses systèmes d’information et n’a pas changé, et ne changera pas de manière intentionnelle, ses processus d’une façon qui faciliterait l’accès aux données par le gouvernement.
Cependant, il est possible que OneTrust reçoive une assignation, un mandat ou toute autre ordonnance juridiquement contraignante de la part d’une autorité gouvernementale lui demandant de communiquer les données personnelles d’un client. OneTrust ne fournira les données client demandées qu’en réponse à une procédure légale formelle et valide. Lorsque OneTrust reçoit une telle demande, son équipe juridique la passe en revue pour s’assurer qu’elle respecte les exigences légales en vigueur. Dans le cas où l’évaluation juridique révèle des motifs légitimes et légaux pour contester la demande, OneTrust le fera le cas échéant. La politique de OneTrust consiste à interpréter ces demandes de manière stricte, dans le but de limiter la portée des données personnelles fournies.
Pour que OneTrust communique des données clients, la demande doit également satisfaire aux exigences suivantes :
- être faite par écrit et sur papier à en-tête officiel,
- identifier et être signée par un représentant autorisé de la partie requérante et fournir les coordonnées du contact officiel, notamment une adresse électronique valide,
- indiquer la raison et la nature de la demande,
- identifier le client ou le compte client qui est la cible de la demande,
- décrire avec précision les données/informations recherchées et leur relation avec l’enquête et
- être émise et signifiée dans le respect de la loi en vigueur.
Lorsque OneTrust reçoit une demande juridiquement contraignante concernant les données personnelles d’un client, sa politique est d’en informer ce client par e-mail avant de communiquer quelque information que ce soit. Dans la mesure permise par la demande et/ou la loi en vigueur, la notification par e-mail décrira les données personnelles demandées, l’autorité qui fait la demande, la base légale de la demande et toutes les réponses déjà fournies. Cette notification donne au client la possibilité d’intenter un recours juridique, par exemple en déposant une objection auprès d’un tribunal ou de l’autorité requérante.
Exceptions à la politique de OneTrust concernant les demandes de données personnelles par les autorités gouvernementales :
- une loi ou une décision de justice peut interdire à OneTrust d'informer le client de la demande, mais OneTrust fera des efforts raisonnables pour obtenir une dérogation à cette interdiction ou pour fournir une notification dès que l'exigence d'interdiction prend fin.
- OneTrust peut ne pas informer le client dans des circonstances exceptionnelles impliquant un danger imminent de décès ou de blessures corporelles graves à toute personne ou pour éviter de nuire aux services de OneTrust.
- OneTrust peut ne pas informer le client lorsqu’il a des raisons de croire que la personne qui recevra la notification n’est pas le titulaire réel du compte client, par exemple dans le cas où un compte a été détourné.
- lorsque OneTrust identifie une activité illégale ou nuisible, ou soupçonne une telle activité, liée au compte d’un client, il peut informer les autorités compétentes, par exemple en cas de piratage.