GDPR

Approche GDPR Lightspeed

Dernière mise à jour : 1er février 2018

Le règlement général sur la protection des données (AVG ou GDPR General Data Protection Regulation) arrive, et Lightspeed soutient pleinement les normes strictes de confidentialité qu’elle met en avant dans ses activités. Le GDPR est une nouvelle loi qui entrera en vigueur le 25 mai 2018. Le règlement vise à harmoniser et à renforcer la législation en matière de protection des données pour tous ceux qui vivent dans l’Union européenne.

Lightspeed s’est fixé comme objectif de se conformer pleinement au GDPR avant l’entrée en vigueur de la loi.

  1. Que fait Lightspeed au niveau du GDPR ?
  2. Que doivent faire les clients de Lightspeed ?
  3. Informations générales relatives au GDPR.

1. Que fait Lightspeed au niveau du GDPR ?

Depuis 2017, Lightspeed a mis sur pied une équipe de conseillers internes et externes chargée d’identifier les améliorations et les exigences pour nos produits. Nous avons démarré ce processus assez tôt parce que nous accordons énormément d’importance au respect de la confidentialité de nos clients (et de leurs clients). En tant qu’entreprise, nous voulons toujours respecter les lois (internationales) qui protègent la vie privée.

Lightspeed assume deux rôles dans le cadre du GDPR. D’une part, Lightspeed est responsable du traitement (controller) des données à caractère confidentiel de ses clients. Ces données à caractère confidentiel concernent principalement le nom et les coordonnées de nos clients.

En outre, Lightspeed agit en tant que sous-traitant des données personnelles que les clients de Lightspeed reçoivent de leurs clients. Cela signifie que Lightspeed doit soutenir ses clients dans le traitement des données à caractère confidentiel. Notre responsabilité principale consiste à s’assurer que nous protègeons de manière adéquate toutes les données de nos clients. En outre, nous aiderons nos clients à satisfaire leurs demandes de consultation, de suppression ou d’adaptation des données à caractère personnel.

Afin de remplir ces deux rôles le mieux possible, Lightspeed optimise la manière dont elle traite les données à caractère confidentiel. Lightspeed se prépare en outre à prendre les mesures techniques nécessaires pour satisfaire aux nouveaux droits des personnes dans le cadre du GDPR.

Nous avons commencé à prendre des mesures immédiatement après l’annonce de l’entrée en vigueur du GDPR. Nous finalisons actuellement notre analyse interne et nous proposerons prochainement une mise à jour détaillée. Surveillez cette page, nous en adapterons le contenu régulièrement, et nous y informerons nos clients de la progression de nos travaux.

2. Que doivent faire les clients de Lightspeed ?

Chaque client de Lightspeed a la responsabilité de veiller à agir conformément à la nouvelle législation. Dans le rôle du contrôleur (controller), les clients de Lightspeed sont responsables du traitement régulier des données à caractère personnel de leurs clients. Pour y satisfaire, nous conseillons de suivre au moins les étapes suivantes :

a) Assurez-vous que vos conditions d’utilisation, votre politique de confidentialité et votre politique de cookies informent correctement vos clients sur les données personnelles que vous traitez et à quelles fins.

b) Vous devez autoriser les personnes dont vous traitez les données à recevoir une copie de leurs données personnelles ou, dans certaines circonstances, à les faire rectifier ou effacer.

c) Vous devez conclure un accord de traitement de données avec toutes les parties qui traitent des données à caractère personnel en votre nom afin de parvenir à un accord sur les finalités pour lesquelles ces entreprises peuvent utiliser les données à caractère personnel. Et donc avec Lightspeed également. Ces prochaines semaines, nous allons contacter nos clients pour leur donner la possibilité de signer notre convention standard sur le traitement des données à caractère personnel (DPA).

d) Vous devez vous assurer que les données à caractère personnel que vous conservez sont suffisamment sécurisées et protégées.

e) Vous devez vous assurer que vous ne conservez pas plus longtemps que nécessaire les données à caractère personnel aux fins pour lesquelles vous les avez reçues.

f) Soyez prêt à informer rapidement les personnes concernées (dans les 72 heures) en cas de fuite de données.
Sachez que ce qui précède n’est pas exhaustif et nous vous conseillons de vous renseigner (au niveau juridique) sur les implications précises du GDPR pour votre entreprise.

3. Informations générales relatives au GDPR

Qu’est-ce que le GDPR ?

Le GDPR est une nouvelle législation visant à donner aux citoyens de l’Union européenne plus de contrôle sur leurs données. Elle remplacera la directive relative à la protection des données de 1995. Le GDPR réglemente la collecte, le stockage, le transfert et l’utilisation des données à caractère personnel. Cela signifie tous les « traitements » des données à caractère personnel, y compris le suivi des appareils. C’est pourquoi toute entreprise ou toute organisation qui traite des données pour ses clients, ou des clients de ses clients, est concernée par cette législation.

Les données à caractère personnel sont toutes les informations qui concernent une personne (appelée data-subject).
Pour les citoyens de l’UE, cela signifie qu’ils auront davantage de contrôle sur leurs données. Elle réglemente désormais la manière dont les entreprises doivent traiter et stocker les données à caractère personnel qu’elles collectent.

Changements importants qui entreront en vigueur en mai 2018

  • Signalisation de fuite de données et sécurisation. Dans le cadre du GDPR, tous les responsables du traitement sont tenus de signaler certaines fuites aux responsables du contrôle du respect de la vie privée nationaux. Dans certaines conditions, ces infractions doivent être communiquées aux personnes concernées. Outre l’obligation de signalisation, d’autres obligations de sécurité sont imposées aux organisations.
  • Droits étendus pour les particuliers . Avec le GDPR, l’Union européenne accorde de nouveaux droits aux citoyens : le droit d’être oublié et le droit de recevoir une copie de toutes les données à caractère personnel dont dispose le responsable du traitement des données.
  • Obligations de conformité. Les organisations doivent implémenter des règles de politique et des protocoles de sécurité, conserver des données détaillées de leurs activités avec ces données, réaliser des évaluations de confidentialité et conclure des conventions écrites avec les fournisseurs.