Retail POS (X-Series) et le Règlement général sur la protection des données (RGPD)

Le règlement général sur la protection des données - ou GDPR - qui entrera en vigueur le 25 mai 2018, est une loi de grande envergure sur la protection des données qui placera la barre très haut en matière de droits à la vie privée et de conformité au niveau mondial. Le GDPR s'appliquera probablement à vous si votre entreprise est basée dans l'UE ou si vous avez des clients ou des contacts dans l'UE.

L'objectif de ce guide est de vous donner des détails sur l'approche de Retail POS en matière de GDPR et de vous fournir un aperçu des exigences pour vous aider dans votre mise en conformité.

Ce guide est destiné à des fins d'information uniquement, et ne doit pas être considéré comme un avis juridique. Nous vous encourageons à travailler avec des conseillers juridiques et d'autres conseillers professionnels pour déterminer exactement comment le GDPR peut s'appliquer à votre organisation.

Vous êtes un marchand Retail POS dans l'UE, ou vous avez des clients dans l'UE?

Nous avons préparé un addendum au traitement des données (DPA), qui aidera votre magasin à se conformer au GDPR.

Si votre magasin est basé dans l'UE, ou si vous avez des clients basés dans l'UE, vous devez signer notre accord de traitement des données si vous ne l'avez pas déjà fait. Il permet le transfert légal des données personnelles de l'UE à Retail POS, conformément à la réglementation GDPR.

Signez notre DPA ici !

Après avoir cliqué sur le lien ci-dessus et saisi votre nom et votre adresse électronique, des instructions sur la manière de remplir cet addendum apparaîtront. Vous devez conserver une copie de l'accord sur le traitement des données pour vos dossiers personnels.

Que fait Retail POS pour se préparer au GDPR?

Chez Retail POS, nous sommes ravis des principes solides de confidentialité et de sécurité des données que le GDPR met en avant. Nous avons fait beaucoup de travail dans le cadre de notre projet de préparation au GDPR, notamment :

  • Examiner et mettre à jour nos processus, procédures, systèmes de données et documentation internes.
  • Poursuite des investissements dans notre infrastructure de sécurité.
  • Examiner et mettre à jour les contrats de nos fournisseurs tiers.

Nous avons mis à jour nos conditions d'utilisation et notre politique de confidentialité.

Nous savons que ce n'est pas le genre de nouvelles qui vous font sortir du lit le matin, mais nous avons mis à jour nos conditions d'utilisation et notre politique de confidentialité. D'une manière générale, les changements garantissent que nous répondons aux normes élevées du GDPR en matière de principes de confidentialité des données, et que le traitement des données par Retail POS et les marchands Retail POS est rendu plus clair.

Si vous avez des clients dans l'UE et que vous collectez leurs données dans Retail POS, vous êtes considéré comme un "responsable du traitement des données" en vertu du nouveau GDPR. Le GDPR donne aux personnes le droit d'accéder, de corriger, de supprimer et de restreindre la façon dont leurs données sont utilisées, et en tant que "contrôleur de données", vous êtes tenu de permettre aux personnes d'exercer ces droits. Ces droits comprennent :

  • Le "droit d'opposition" - Vos clients peuvent s'opposer à l'utilisation de leurs données pour des activités de profilage ou de marketing direct.

  • Le "droit de restreindre le traitement" - Les clients peuvent demander la suppression de leurs données personnelles, ce qui signifie que vous pouvez conserver les données mais ne pas les utiliser.

Vous trouverez ci-dessous des outils existants et à venir pour vous aider à honorer ces demandes de données de la part de vos utilisateurs ou de vos clients dans Retail POS.

Des outils pour vous aider à vous conformer au GDPR :

Nous continuons à construire des outils pour aider nos marchands à se conformer au GDPR. Cette page sera mise à jour avec les nouveaux outils et fonctionnalités dès qu'ils seront disponibles.

Assistance aux utilisateurs et aux clients pour les demandes de suppression :

Nous nous assurons que supprimer signifie supprimer, en vous aidant à honorer les demandes liées au "droit à l'oubli" des utilisateurs et des clients. Ainsi, les données personnelles relatives à l'identifiant d'un utilisateur ou d'un client seront entièrement supprimées de Retail POS sur demande. Pour tout contenu (c'est-à-dire les ventes, les rapports, etc.) précédemment associé à l'identifiant d'un utilisateur supprimé, "Utilisateur anonyme" ou "Client anonyme" s'affichera à la place.

Suppression automatique :

Pour vous aider à vous conformer aux demandes liées au "droit d'objecter" ou au "droit de restreindre", tout identifiant d'utilisateur associé à une action de suppression sera automatiquement placé sur une liste de suppression. Pour tout identifiant d'utilisateur sur la liste de suppression, nous bloquerons toutes les données personnelles entrantes relatives à cet identifiant d'utilisateur pour qu'elles ne soient pas suivies par Retail POS et envoyées aux intégrations.

En outre, nous allons bientôt introduire et améliorer plusieurs mesures de sécurité, notamment une politique de mot de passe plus stricte, une authentification à deux facteurs facultative et des journaux d'événements de sécurité.

Outils existants pour vous aider à vous conformer au GDPR

Vous trouverez ci-dessous les outils facilement disponibles dans Retail POS pour vous aider à vous conformer au GDPR qui couvre le droit d'accès, la portabilité des données, la rectification et le consentement. Ces outils comprennent :

Outils d'exportation de données :

Pour honorer le " droit d'accès " (les personnes ont le droit d'accéder à leurs données) et le " droit à la portabilité des données " (les personnes sont en mesure d'obtenir et de réutiliser leurs données personnelles) auxquels les résidents de l'UE ont désormais droit en vertu du nouveau GDPR, Retail POS vous permet d'exporter des listes de clients et des registres des ventes dans un format CSV. Consultez notre centre d'aide pour connaître les options d'exportation disponibles dans Retail POS. Vous pouvez également configurer un jeton personnel qui interagit avec l'API complète de Retail POS (voir : https://docs.vendhq.com/) pour récupérer les données personnelles associées à une personne concernée supportant les droits d'accès et de portabilité.

Possibilité de rectifier les données des utilisateurs ou des clients :

En vertu du GDPR, les individus ont le " droit de rectification ", ce qui signifie que toute donnée personnelle qu'ils jugent inexacte ou incomplète, les individus ont le droit de la corriger. Retail POS vous permet de rectifier toutes les données associées aux personnes concernées. Vous pouvez le faire à l'intérieur de l'application sous les éléments de navigation "Utilisateurs" et "Clients" respectivement.

Consentement du client à recevoir des documents de marketing :

Dans Retail POS, il est possible d'obtenir le consentement du client à recevoir du matériel marketing ou promotionnel de votre part. Avant d'ajouter un client à votre base de données, il y a un bouton à bascule pour lui permettre d'accepter ou de refuser les communications marketing en fonction de ses préférences. En outre, lorsque vous ajoutez un client à votre programme de fidélisation, il doit cocher une case lorsqu'il reçoit l'e-mail d'inscription au programme de fidélisation, afin de recueillir son consentement.

Réduction du risque de destruction des données :

En vertu du droit à la restauration d'une personne concernée, pour réduire le risque de destruction accidentelle de données ou de destruction malveillante de données, il est maintenant possible de désactiver temporairement les utilisateurs, plutôt que de les supprimer définitivement dans Retail POS. Les utilisateurs sont incapables d'ouvrir une session dans Retail POS pendant que leur compte est désactivé. Lorsque leur compte est réactivé, ils pourront se connecter avec leurs détails de compte originaux et commencer à vendre normalement.


Aperçu du GDPR

Qu'est-ce que le GDPR?

À la base, le GDPR est un nouvel ensemble de règles conçues pour donner aux citoyens plus de contrôle sur leurs données. Il vise à simplifier l'environnement réglementaire des entreprises afin que les citoyens et les entreprises puissent pleinement profiter de l'économie numérique.

À qui s'applique le GDPR?

L'application "extraterritoriale" du GDPR concerne toutes les organisations qui traitent les données personnelles des résidents de l'UE ou qui surveillent les comportements des individus menés au sein de l'UE, indépendamment de la localisation de l'entité.

"Les données personnelles" sont définies au sens large et désignent toute information relative à une personne physique identifiée ou identifiable ("personne concernée"). Les données personnelles peuvent être un nom, une adresse, des coordonnées bancaires, une adresse électronique, des publications sur les médias sociaux, ou même une adresse IP ou un identifiant de cookie.

Les données personnelles sensibles, telles que les renseignements sur la santé ou les renseignements qui révèlent l'origine raciale ou ethnique d'une personne, nécessiteront une protection encore plus grande. Vous ne devriez pas stocker de données de cette nature dans votre compte Retail POS.

Que vous pensiez ou non que votre entreprise sera touchée par le GDPR, le GDPR et ses principes sous-jacents peuvent néanmoins être importants pour vous. Le droit européen tend à définir la tendance en matière de réglementation internationale de la protection de la vie privée, et une plus grande sensibilisation à la protection de la vie privée aujourd'hui peut accroître votre avantage concurrentiel à l'avenir.

Contrôleur et processeur

Le GDPR définit des exigences différentes pour les Contrôleurs (entités qui déterminent les objectifs et les moyens du traitement des données personnelles) et les Processeurs (entités qui traitent les données personnelles selon les instructions d'un Contrôleur).

Les responsables du traitement conserveront la responsabilité première de la protection des données (y compris, par exemple, l'obligation de signaler les violations de données aux autorités chargées de la protection des données), bien que le GDPR impose également certaines responsabilités directes au sous-traitant. Il est donc important de déterminer si vous agissez en tant que responsable du traitement ou en tant que sous-traitant et, à ce titre, de comprendre vos obligations.

Dans la plupart des cas, dans le contexte des services Retail POS, nos clients agissent à titre de contrôleur. Nos clients, par exemple, décident de l'information qui est téléchargée dans leur compte Retail POS. Retail POS agit en tant que processeur en fournissant des services à nos clients en utilisant Retail POS.

Voici quelques-uns des points clés à noter en ce qui concerne le GDPR :

Protection des données dès la conception et par défaut

En vertu de l'exigence de "privacy by design" du GDPR, vous devrez concevoir des politiques, procédures et systèmes conformes dès le début du développement du produit. Le principe du "respect de la vie privée par défaut" exigera que, par défaut, seules les données personnelles nécessaires à une finalité spécifique soient traitées.

Licéité du traitement

Vous devrez vous assurer que tout traitement de données est fondé sur un motif légal de traitement. Il s'agit du consentement, de l'exécution d'un contrat, d'une obligation légale, de la protection des intérêts vitaux, des tâches effectuées dans l'intérêt public ou de l'intérêt légitime mis en balance avec les droits fondamentaux des personnes concernées.

Consentement du client

En vertu du GDPR, vous pourriez devoir obtenir le consentement pour traiter les données personnelles de vos clients ou modifier la façon dont vous obtenez actuellement ce consentement. En particulier, le GDPR stipule que le consentement doit être "librement donné, spécifique, informé et sans ambiguïté." Vous devrez revoir les mécanismes de consentement existants, pour vous assurer qu'ils présentent un choix véritable et granulaire.

Enfants

Le GDPR comprend des exigences spécifiques en matière de consentement parental lors du traitement des données personnelles des utilisateurs de moins de 16 ans (ou plus bas selon le pays). Vous devriez examiner si le consentement des parents est requis et si vous devez modifier la façon dont vous traitez les données des clients pour obtenir le consentement des parents ou cesser de traiter la date des clients de moins de 16 ans.

Notification des violations de données personnelles

Les violations de données doivent être notifiées au régulateur de contrôle compétent dès que possible, et en tout état de cause dans les 72 heures suivant l'identification de la violation. Le GDPR stipule que les violations qui ne sont pas susceptibles d'entraîner des risques pour les personnes ne doivent pas être signalées.

Délégué à la protection des données

Les sous-traitants qui traitent un volume important de données, ou qui traitent des données " sensibles ", peuvent être tenus de désigner un délégué à la protection des données (DPD). Les DPO seront chargés de surveiller les activités de traitement des données de l'entreprise et d'assurer la conformité avec le GDPR. On s'attend à ce que certaines entreprises désignent volontairement un DPD pour aider à démontrer l'adoption de procédures de meilleures pratiques et renforcer toute défense face à une enquête réglementaire.

Droits renforcés pour les personnes concernées

Les citoyens de l'UE disposeront de plusieurs nouveaux droits importants en vertu du GDPR, notamment le droit à l'oubli, le droit d'opposition, le droit de rectification, le droit d'accès et le droit de portabilité.

Pénalités

La non-conformité au GDPR peut entraîner des sanctions financières très élevées. Les organisations qui enfreignent le GDPR peuvent se voir infliger une amende allant jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros (le montant le plus élevé étant retenu).

Sécurité

Les marchands doivent prendre des mesures pour protéger leur entreprise contre les pirates et les fraudeurs. Cliquez ici pour connaître les mesures que vous pouvez mettre en œuvre immédiatement dans votre entreprise.


Autres lectures sur le GDPR

Vous avez besoin de plus d'informations? Vous trouverez ci-dessous des liens vers des ressources utiles sur le GDPR :

https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf

http://www.eugdpr.org/gdpr-faqs.html

https://gdpr-info.eu/

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp187_en.pdf

Avons-nous répondu à votre question?
Vous avez d’autres questions? Contactez-nous pour que nous puissions vous aider.