GDPR

Approche RGPD (GDPR) Lightspeed

Dernière mise à jour : 1er février 2018

Le Règlement général sur la protection des données (AVG ou GDPR General Data Protection Regulation) arrive, et Lightspeed soutient pleinement les normes strictes de confidentialité qu’elle met en avant dans ses activités. Le RGPD (GDPR) est une nouvelle loi qui entrera en vigueur le 25 mai 2018. Le règlement vise à harmoniser et à renforcer la législation en matière de protection des données pour tous ceux qui vivent dans l’Union européenne.

Lightspeed s’est fixé comme objectif de se conformer pleinement au GDPR avant l’entrée en vigueur de la loi.

  1. Que fait Lightspeed au niveau du RGPD ?
  2. Que doivent faire les clients de Lightspeed ?
  3. Informations générales relatives au RGPD.

1. Que fait Lightspeed au niveau du RGPD ?

Depuis 2017, Lightspeed a mis sur pied une équipe de conseillers internes et externes chargée d’identifier les améliorations et les exigences pour nos produits. Nous avons démarré ce processus assez tôt parce que nous accordons énormément d’importance au respect de la confidentialité de nos clients (et de leurs clients). En tant qu’entreprise, nous voulons toujours respecter les lois (internationales) qui protègent la vie privée.

Lightspeed assume deux rôles dans le cadre du RGPD. D’une part, Lightspeed est responsable du traitement (controller) des données à caractère confidentiel de ses clients. Ces données à caractère confidentiel concernent principalement le nom et les coordonnées de nos clients.

En outre, Lightspeed agit en tant que sous-traitant des données personnelles que les clients de Lightspeed reçoivent de leurs clients. Cela signifie que Lightspeed doit soutenir ses clients dans le traitement des données à caractère confidentiel. Notre responsabilité principale consiste à s’assurer que nous protègeons de manière adéquate toutes les données de nos clients. En outre, nous aiderons nos clients à satisfaire leurs demandes de consultation, de suppression ou d’adaptation des données à caractère personnel.

Afin de remplir ces deux rôles le mieux possible, Lightspeed optimise la manière dont elle traite les données à caractère confidentiel. Lightspeed se prépare en outre à prendre les mesures techniques nécessaires pour satisfaire aux nouveaux droits des personnes dans le cadre du RGPD.

Nous avons commencé à prendre des mesures immédiatement après l’annonce de l’entrée en vigueur du GDPR. Nous finalisons actuellement notre analyse interne et nous proposerons prochainement une mise à jour détaillée. Surveillez cette page, nous en adapterons le contenu régulièrement, et nous y informerons nos clients de la progression de nos travaux.

2. Que doivent faire les clients de Lightspeed ?

Chaque client de Lightspeed a la responsabilité de veiller à agir conformément à la nouvelle législation. Dans le rôle du contrôleur (controller), les clients de Lightspeed sont responsables du traitement régulier des données à caractère personnel de leurs clients. Pour y satisfaire, nous conseillons de suivre au moins les étapes suivantes :

a) Assurez-vous que vos conditions d’utilisation, votre politique de confidentialité et votre politique de cookies informent correctement vos clients sur les données personnelles que vous traitez et à quelles fins.

b) Vous devez autoriser les personnes dont vous traitez les données à recevoir une copie de leurs données personnelles ou, dans certaines circonstances, à les faire rectifier ou effacer.

c) Vous devez conclure un accord de traitement de données avec toutes les parties qui traitent des données à caractère personnel en votre nom afin de parvenir à un accord sur les finalités pour lesquelles ces entreprises peuvent utiliser les données à caractère personnel. Et donc avec Lightspeed également. Ces prochaines semaines, nous allons contacter nos clients pour leur donner la possibilité de signer notre convention standard sur le traitement des données à caractère personnel (DPA).

d) Vous devez vous assurer que les données à caractère personnel que vous conservez sont suffisamment sécurisées et protégées.

e) Vous devez vous assurer que vous ne conservez pas plus longtemps que nécessaire les données à caractère personnel aux fins pour lesquelles vous les avez reçues.

f) Soyez prêt à informer rapidement les personnes concernées (dans les 72 heures) en cas de fuite de données.
Sachez que ce qui précède n’est pas exhaustif et nous vous conseillons de vous renseigner (au niveau juridique) sur les implications précises du GDPR pour votre entreprise.

3. Informations générales relatives au RGPD

Qu’est-ce que le RGPD ?

Le RGPD est une nouvelle législation visant à donner aux citoyens de l’Union européenne plus de contrôle sur leurs données. Elle remplacera la directive relative à la protection des données de 1995. Le RGPD réglemente la collecte, le stockage, le transfert et l’utilisation des données à caractère personnel. Cela signifie tous les « traitements » des données à caractère personnel, y compris le suivi des appareils. C’est pourquoi toute entreprise ou toute organisation qui traite des données pour ses clients, ou des clients de ses clients, est concernée par cette législation.

Les données à caractère personnel sont toutes les informations qui concernent une personne (appelée data-subject).
Pour les citoyens de l’UE, cela signifie qu’ils auront davantage de contrôle sur leurs données. Elle réglemente désormais la manière dont les entreprises doivent traiter et stocker les données à caractère personnel qu’elles collectent.

Changements importants qui entreront en vigueur en mai 2018

  • Signalisation de fuite de données et sécurisation. Dans le cadre du RGPD, tous les responsables du traitement sont tenus de signaler certaines fuites aux responsables du contrôle du respect de la vie privée nationaux. Dans certaines conditions, ces infractions doivent être communiquées aux personnes concernées. Outre l’obligation de signalisation, d’autres obligations de sécurité sont imposées aux organisations.
  • Droits étendus pour les particuliers . Avec le RGPD, l’Union européenne accorde de nouveaux droits aux citoyens : le droit d’être oublié et le droit de recevoir une copie de toutes les données à caractère personnel dont dispose le responsable du traitement des données.
  • Obligations de conformité. Les organisations doivent implémenter des règles de politique et des protocoles de sécurité, conserver des données détaillées de leurs activités avec ces données, réaliser des évaluations de confidentialité et conclure des conventions écrites avec les fournisseurs.

 


FAQ

  • Que sont les données personnelles ?

Selon le RGPD (GDPR), les données personnelles incluent toutes les informations concernant une personne physique identifiée ou identifiable. Cette personne est appelée le « sujet des données ». Cela comprend les données évidentes telles que le nom, l’adresse, l’adresse e-mail et le numéro de téléphone, mais aussi l’adresse IP ou les données spécifiques à l’identité physique, physiologique, génétique, économique, culturelle ou sociale de cette personne physique.

 

  • Qu’est-ce que le traitement des données personnelles ?

Le traitement désigne tout ce que vous pouvez faire avec les données à caractère personnel et comprend la visualisation, le stockage, la modification, le transfert et même la suppression des données personnelles.

 

  • Quelle est la différence entre un contrôleur et un processeur de données personnelles ?

Le contrôleur est la personne qui détermine le but et les moyens donnés au traitement des données personnelles. Le processeur est une personne qui traite les données personnelles au nom du contrôleur et en conformité avec les instructions et la portée dont le contrôleur et le processeur ont convenu mutuellement. Selon le RGPD, Lightspeed est le contrôleur de données personnelles de ses employés et des données personnelles qui concernent directement les contacts de nos marchands. Lightspeed est un processeur de données personnelles que les marchands reçoivent de leurs clients.

 

  • Quelles sont les obligations des marchands Lightspeed selon le RGPD ?

Selon le RGPD, les marchands sont les contrôleurs des données personnelles de leurs clients. Cela signifie qu’en tant que contrôleurs, ils sont tenus de traiter les données conformément au RGPD. Certains des points clés sont les suivants :

  1. Déterminer les données personnelles qui sont traitées et à quelles fins ;
  2. Tenir compte des droits des marchands relatifs aux données traitées ;
  3. Assurer que la protection des données personnelles traitées a été effectuée de manière adéquate ;
  4. Établir un processus clair pour identifier et signaler les violations de données dans les délais énoncés sous le RGPD ;
  5. Conclure un accord de traitement des données avec tous les tiers qui traitent des données personnelles au nom de Lightspeed ;
  6. Informer les marchands au moyen d’une politique de confidentialité, d’une manière claire et compréhensible, sur le traitement de leurs données et ce qui a été réalisé afin de se conformer aux conditions du RGPD.

 

  • Qu’établit le RGPD sur le traitement des données personnelles ?

Le RGPD stipule que les principes suivants devraient être pris en compte dans le traitement des données personnelles :

  1. Les données personnelles doivent être traitées de manière juste et transparente envers le sujet de données ;
  2. Les données personnelles peuvent être recueillies à des fins qui ont été communiquées au sujet de données et pour lesquelles vous avez un but légitime ;
  3. Les données personnelles doivent être exactes et mises à jour ; les données inexactes doivent être corrigées ou effacées sans délai ;
  4. Les données personnelles doivent uniquement être conservées durant la période pendant laquelle celles-ci sont nécessaires ;
  5. Les données personnelles doivent être manipulées de façon sécurisée.

 

  • Quelles sont les obligations de Lightspeed vis-à-vis de ses marchands selon le RGPD ?

Les marchands ont choisi Lightspeed comme processeur des données personnelles de leurs clients. Cela signifie que Lightspeed les aidera dans leurs obligations de contrôleur. En outre, Lightspeed est le contrôleur des données personnelles ayant un lien direct avec le marchand. Pour plus d’informations sur la façon dont nous traitons les données personnelles relatives à nos marchands directs, veuillez consulter la politique de confidentialité sur notre site Web.

 

  • De quels droits spécifiques jouissent les personnes en ce qui concerne les données personnelles qui sont traitées selon le RGPD ?

Une personne jouit des droits suivants (chacun d’entre eux sont expliqués plus loin dans ce document) :

  • Droit à l’information et à l’accès
  • Droit de rectification
  • Droit de portabilité
  • Droit d’opposition
  • Droit d’effacement
  • Droit à la limitation du traitement

Le contrôleur des données personnelles est chargé de traiter ces demandes ; mais Lightspeed, en tant que processeur des données, aidera ses marchands à cet égard. Toute demande émanant d’un marchand et liée aux droits énumérés ci-dessus doit être suivie dans le mois (1) suivant la demande. S’il s’agit de demandes complexes ou substantielles, la durée peut être prolongée d’un mois de plus.

 

  • Que signifie le droit à l’information et à l’accès aux données personnelles ?

À sa demande, la personne doit être informée sur les données personnelles qui sont en cours de traitement. Une copie de données personnelles en cours de traitement doit être fournie gratuitement. En outre, les renseignements suivants doivent être fournis :

  • le but du traitement
  • les catégories de données traitées
  • les destinataires ou catégories de destinataires
  • la durée de conservation envisagée, ou, le cas échéant, les critères utilisés pour déterminer cette période
  • les droits de la personne liés aux données personnelles

 

  • Que signifie le droit de rectification des données personnelles ?

Une personne peut exiger la rectification de données personnelles inexactes.

 

  • Que signifie le droit de la portabilité des données personnelles ?

Une personne peut exiger la remise de données personnelles sous une forme structurée, sous un format couramment utilisé, lisible et édité par une machine afin de pouvoir transférer celles-ci à un autre contrôleur de données sans trop de difficultés.

 

  • Que signifie le droit de s’opposer au traitement de données personnelles ?

La personne n’a pas le droit de s’opposer au traitement des données personnelles en général, mais peut s’opposer aux activités de traitement suivantes :

  • Traitement à des fins de marketing direct
  • Traitement à des fins statistiques, scientifiques, historiques ou de recherche

 

  • Que signifie le droit d’effacement des données personnelles ?

Cela signifie qu’une personne peut exiger qu’un contrôleur de données supprime les données personnelles si le traitement ne satisfait pas les exigences du RGPD. Cela peut être le cas dans les circonstances suivantes :

  • Lorsque les données personnelles ne sont plus nécessaires aux fins pour lesquelles elles ont été recueillies ;
  • Lorsqu’une personne retire son consentement préalable, et qu’il n’y a aucune justification pour le traitement.
  • Lorsqu’une personne s’oppose à ce que le contrôleur traite les données.
  • Lorsque les données sont traitées de manière illégale.

 

  • Que signifie le droit de restriction du traitement des données personnelles ?

Ce droit confère à la personne une alternative au droit d’effacement et lui permet de demander à ce que les données ne soient pas soumises à un traitement supplémentaire lorsque le traitement est contesté. De tels défis peuvent se produire si la personne conteste l’exactitude des données ou s’oppose au traitement. La restriction signifie que le contrôleur peut stocker uniquement les données et ne peut pas les traiter davantage à moins que la personne n’en donne son consentement, ou que le traitement soit nécessaire pour des réclamations légales. 

 

  • Comment Lightspeed aide-t-il les marchands avec les droits de données des clients ?

Lightspeed aidera les marchands avec des mesures techniques et organisationnelles appropriées pour répondre à leurs demandes. Cela signifie qu’à la réception d’une demande d’un client, les marchands pourront facilement la rediriger vers Lightspeed pour une assistance supplémentaire. La procédure exacte de dépôt de demande liée aux données auprès de Lightspeed vous sera fournie sous peu.

 

  • Comment Lightspeed protège-t-il les données personnelles qu’il traite ?

Lightspeed a pris des mesures techniques et organisationnelles pour s’assurer que toutes les données que nous traitons sont protégées de manière adéquate.

 

  • Qu’est-ce qu’une violation de données ?

Tout incident impliquant une violation de la sécurité conduisant à une destruction, perte, modification, divulgation, non autorisée, accidentelle ou illégale des données personnelles ou l’accès à celles-ci.

 

  • Que fera Lightspeed dans le cas d’une violation de données ?

Lightspeed a mis en place une politique de violation de données interne qui lui permet de réagir adéquatement en cas de violation de données. Les mesures de Lightspeed, sont les suivantes (récapitulatif) :

  1. Identifier la source de la violation de données ;
  2. Contenir la violation et prendre toutes les mesures nécessaires pour protéger les données ;
  3. Informer le contrôleur des données concernées sans retard excessif après avoir pris connaissance de la violation de données ;
  4. Évaluer dans quel cas des mesures doivent être prises pour prévenir une violation de données similaire à l’avenir.

 

Il incombe au contrôleur d’informer les autorités de contrôle sans retard injustifié et, lorsque cela est possible, dans les 72 heures suivant la prise de connaissance de la violation. Une notification n’est pas nécessaire si la violation est peu susceptible d’entraîner un risque pour les droits et libertés des personnes physiques.

 

Il est également de l’obligation du contrôleur de notifier les personnes qui sont affectées par la violation de données. La notification n’est pas nécessaire si la violation est peu susceptible d’entraîner un risque élevé pour les droits et les libertés des personnes ou lorsqu’une protection technique et organisationnelle appropriée était en place au moment de l’incident.

 

  • Lightspeed utilise-t-il des sous-processeurs ?

Lightspeed utilise AWS et KPN pour stocker et protéger nos données. Pour ces services, Lightspeed a conclu un accord avec ces sous-processeurs pour s’assurer qu’ils traitent les données personnelles au moins au même niveau de sécurité que Lightspeed.

 

  • Lightspeed transfère-t-il des données en dehors de l’Espace économique européen ?

Lightspeed utilise des serveurs AWS situés aux États-Unis pour stocker les données des marchands liés au commerce de détail de Lightspeed. Le RGPD exige que Lightspeed veille à ce que le destinataire des données soit protégé par le même niveau de protection dont bénéficient les processeurs situés à l’intérieur de l’EEE lorsque les données sont transférées en dehors de l’Espace économique européen (EEE). La Commission européenne a reconnu la certification en vertu des principes du bouclier de protection de la confidentialité UE – États-Unis comme étant une forme de protection adéquate. Lightspeed a signé un accord avec AWS afin de confirmer sa certification par le bouclier de protection de la confidentialité UE – États-Unis et l’assurance d’une forme de protection adéquate des données personnelles reçues de la part de Lightspeed. Lightspeed est actuellement certifiée selon cette Mesure de protection des renseignements personnels.

 

  • Lightspeed va-t-il offrir une authentification en deux étapes ?

Lightspeed évalue et améliore de manière continue son infrastructure de sécurité pour se prémunir contre les traitements de données personnelles non autorisés ou illégaux. Nous ne possédons actuellement aucun plan concret pour mettre en œuvre l’authentification en deux étapes.

 

  • Les clients de Lightspeed doivent-ils signer un accord supplémentaire avec Lightspeed avant le 25 mai 2018 ?

Le RGPD nécessite qu’un contrôle intègre un accord de traitement de données avec chaque processeur. Lightspeed agira comme un processeur pour les données personnelles des clients du marchand, car celles-ci sont stockées dans les produits logiciels de Lightspeed. Lightspeed proposera à ses marchands de signer l’accord de traitement de données standard avant le 25 mai 2018. Dans cet accord, Lightspeed a énoncé le but pour lequel il peut traiter des données à caractère personnel du commerçant et les mesures prises pour protéger ces données.

 

  • Qu’est-ce qu’un accord de traitement des données ?

C’est un accord de traitement de données établissant la relation entre le contrôleur et le processeur. Il décrit les données personnelles que le processeur peut traiter au nom du contrôleur et à quelles fins il doit le faire. Il décrit également les mesures techniques et organisationnelles que le processeur a prises pour s’assurer que ses activités de transformation répondent aux exigences du RGPD et que les droits des personnes soient protégés de façon adéquate.

 

  • Combien de temps les données personnelles peuvent-elles être conservées ?

Le RGPD n’établit pas de durée spécifique en ce qui concerne la conservation des données personnelles, mais établit que les données personnelles ne doivent pas être conservées au-delà de la période nécessaire correspondant aux fins pour lesquelles de telles données sont traitées. Il existe également une exception permettant de conserver certaines données personnelles plus longtemps si la loi établit que cela est nécessaire.

 

  • Pendant combien d’années Lightspeed conserve-t-elle les données personnelles qu’elle traite ?

Lightspeed vise à ne pas conserver les données personnelles au-delà de la période nécessaire aux fins pour lesquelles ces données sont reçues et traitées. La durée de la période varie vraiment selon le type de données personnelles. Nous vous remettrons sous peu davantage de détails sur notre politique de rétention de données.

 

  1. La barre de cookies actuelle est-elle conforme au RGPD ?

Le RGPD n’aborde pas spécifiquement les exigences concernant les barres de cookies. Toutefois, les marchands soumis au RGPD doivent posséder des bases pour le traitement des données. Si les cookies utilisés incluent le traitement des données personnelles des clients et/ou des visiteurs du marchand, vous devez vous assurer que vous disposez d’une raison valable pour le faire. Le consentement explicite du client/visiteur du marchand (qui peut être réalisé en acceptant activement l’utilisation des cookies) peut être considérée comme un motif valable.