Le règlement général sur la protection des données (RGPD) est une loi de grande envergure sur la protection des données qui place la barre très haut en matière de droits à la vie privée et de conformité au niveau mondial. Le RGPD s’applique probablement à vous si votre entreprise est basée dans l’UE ou si vous avez des clients ou des contacts dans l’UE.
L’objectif de ce guide est de vous donner des détails sur l’approche de Lightspeed concernant le RGPD et de vous fournir un aperçu des exigences afin de vous aider dans le cadre de votre mise en conformité.
Ce guide est fourni à titre d’information uniquement et ne doit pas être considéré comme un avis juridique. Nous vous encourageons à travailler avec des conseillers juridiques et d’autres conseillers professionnels pour déterminer exactement comment le RGPD est susceptible de s’appliquer à votre organisation.
Vous êtes commerçant Retail POS dans l’UE, ou vous avez des clients dans l’UE ?
Nous avons préparé un addendum au traitement des données (DPA), qui aidera votre boutique à se conformer au RGPD.
Si votre boutique est basée dans l’UE, ou si vous avez des clients basés dans l’UE, vous devez signer notre accord de traitement des données (DPA) si vous ne l’avez pas déjà fait. Il autorise le transfert légal des données personnelles de l’UE à Retail POS, conformément au RGPD.
Après avoir cliqué sur le lien ci-dessus et saisi votre nom et votre adresse e-mail, des instructions sur la manière de remplir cet addendum apparaîtront. Vous devez conserver une copie de l’accord sur le traitement des données pour vos dossiers personnels.
Quelles sont les mesures prises par Retail POS pour vous aider à vous conformer au RGPD ?
Nous sommes ravis de l’ambition des principes de confidentialité et de sécurité des données mis en avant par le RGPD. Nous avons énormément œuvré dans le cadre de notre projet de préparation au RGPD, et avons notamment pris les mesures suivantes :
- Examen et mise à jour de nos processus de données, procédures, systèmes de données et documentation internes.
- Poursuite des investissements dans notre infrastructure de sécurité.
- Examen et mise à jour des contrats de nos fournisseurs tiers.
Nous avons mis à jour nos conditions d’utilisation et notre politique de confidentialité
Nous savons que ce n’est pas le genre de nouvelles qui vous remplit de joie, mais nous avons mis à jour nos conditions d’utilisation et notre politique de confidentialité. D’une manière générale, les changements garantissent que nous répondons aux standards élevés du RGPD en matière de principes de confidentialité des données, et que le traitement des données par Retail POS et les commerçants Retail POS est clarifié.
Si vous avez des clients dans l’UE et que vous recueillez leurs données dans Retail POS, vous êtes considéré comme « responsable du traitement » en vertu du nouveau RGPD. Le RGPD donne aux personnes le droit d’accéder, de corriger, de supprimer et de restreindre la façon dont leurs données sont utilisées, et en tant que responsable du traitement, vous êtes tenu de permettre aux personnes d’exercer ces droits. Ces droits comprennent :
-
Le « droit d’opposition » : Vos clients peuvent s’opposer à l’utilisation de leurs données pour des activités de profilage ou de marketing direct.
-
Le « droit à la restriction du traitement » : Les clients peuvent demander la suppression de leurs données personnelles, ce qui signifie que vous pouvez conserver les données, mais pas les utiliser.
Vous trouverez ci-dessous des outils existants et à venir pour vous aider à honorer ces demandes de données de la part de vos utilisateurs ou de vos clients dans Retail POS.
Outils pour vous aider à vous conformer au RGPD :
Nous continuons à développer des outils pour aider nos commerçants à se conformer au RGPD. Cette page sera mise à jour à mesure que les nouveaux outils et fonctionnalités seront disponibles.
Assistance aux utilisateurs et aux clients pour les demandes de suppression :
Nous nous assurons que supprimer signifie supprimer, en vous aidant à honorer les demandes liées au « droit à l’oubli » des utilisateurs et des clients. Cela permet de garantir la suppression complète, sur demande, des données personnelles relatives à l’identifiant d’un utilisateur ou d’un client sur Retail POS. Pour tout contenu (c’est-à-dire les ventes, les rapports, etc.) précédemment associé à l’identifiant d’un utilisateur supprimé, « Utilisateur anonyme » ou « Client anonyme » s’affichera à la place.
Suppression automatique :
Pour vous aider à vous conformer aux demandes liées au « droit d’opposition » ou au « droit à la limitation du traitement », tout identifiant d’utilisateur associé à une action de suppression sera automatiquement placé sur une liste de suppression. Pour tout identifiant d’utilisateur sur la liste de suppression, nous bloquerons toutes les données personnelles entrantes relatives à cet identifiant d’utilisateur pour qu’elles ne soient pas suivies par Retail POS et envoyées aux intégrations.
Outils existants pour vous aider à vous conformer au RGPD
Vous trouverez ci-dessous les outils déjà disponibles dans Retail POS pour vous aider à vous conformer au RGPD, qui couvrent le droit d’accès, de portabilité des données, de rectification et de consentement. Ces outils comprennent :
Outils d’exportation de données :
Pour honorer le « droit d’accès » (les personnes ont le droit d’accéder à leurs données) et le « droit à la portabilité des données » (les personnes sont en mesure d’obtenir et de réutiliser leurs données personnelles) dont les résidents de l’UE peuvent désormais bénéficier en vertu du nouveau RGPD, Retail POS vous permet d’exporter des listes de clients et les grands livres des ventes au format CSV. Consultez notre Centre d’assistance pour connaître les options d’exportation disponibles dans Retail POS. Vous pouvez également configurer un jeton personnel qui interagit avec l’API complète de Retail POS (voir https://docs.vendhq.com/) pour récupérer les données personnelles associées à une personne concernée prenant en charge les droits d’accès et de portabilité.
Possibilité de rectifier les données des utilisateurs ou des clients :
En vertu du RGPD, chaque personne dispose d’un « droit de rectification », ce qui signifie qu’elle a le droit de corriger toute donnée personnelle qu’elle juge inexacte ou incomplète. Retail POS vous permet de rectifier toutes les données associées aux personnes concernées. Vous pouvez le faire à l’intérieur de l’application sous les éléments de navigation « Utilisateurs » et « Clients », respectivement.
Consentement du client à recevoir des documents marketing :
Dans Retail POS, il est possible d’obtenir le consentement du client à la réception de contenu marketing ou promotionnel de votre part. Avant d’ajouter un client à votre base de données, il existe un bouton à bascule qui vous permet d’activer ou désactiver les communications marketing, en fonction des préférences indiquées par le client. En outre, lorsque vous ajoutez un client à votre programme de fidélité, ce dernier doit cocher une case lorsqu’il reçoit l’e-mail d’inscription au programme de fidélité, afin de recueillir son consentement.
Réduction du risque de destruction des données :
En vertu du droit à la restauration d’une personne concernée et pour réduire le risque de destruction accidentelle ou malveillante des données, il est maintenant possible de désactiver temporairement les utilisateurs, plutôt que de les supprimer définitivement dans Retail POS. Les utilisateurs ne peuvent pas ouvrir de session dans Retail POS tant que leur compte est désactivé. Lorsque leur compte est réactivé, ils peuvent se connecter avec les renseignements d’origine de leur compte et commencer à vendre normalement.
Sécurité de l’authentification à deux facteurs :
L’authentification à deux facteurs renforce la sécurité des comptes de vos utilisateurs administrateurs dans Retail POS. Utiliser l’authentification à deux facteurs permet de réduire le risque lié aux accès non autorisés aux données. Pour plus d’informations sur l’authentification à deux facteurs dans Retail POS, consultez notre guide Authentification à deux facteurs (A2F) dans Retail POS (X-Series).
Aperçu du RGPD
Qu’est-ce que le RGPD ?
Le RGPD est essentiellement un ensemble de règles conçues pour donner aux citoyens plus de contrôle sur leurs données. Il vise à simplifier l’environnement réglementaire des entreprises, afin que les citoyens comme les entreprises puissent pleinement profiter de l’économie numérique.
À qui s’applique le RGPD ?
L’application « extraterritoriale » du RGPD concerne toutes les organisations qui traitent les données personnelles des résidents de l’UE ou qui surveillent les comportements que ces individus ont au sein de l’UE, où que soit située l’entité.
Le « données personnelles » sont définies au sens large et désignent toute information concernant une personne physique identifiée ou identifiable (« personne concernée »). Les données personnelles peuvent être un nom, une adresse, des coordonnées bancaires, une adresse e-mail, des publications sur les réseaux sociaux, ou même une adresse IP ou un identifiant de cookie.
Les données personnelles sensibles, telles que les renseignements sur la santé ou les renseignements qui révèlent l’origine raciale ou ethnique d’une personne, nécessitent une protection encore plus grande. Vous ne devriez pas stocker de données de cette nature dans votre compte Retail POS.
Que vous pensiez ou non que votre entreprise soit touchée par le RGPD, le RGPD et ses principes sous-jacents peuvent néanmoins être importants pour vous. Le droit européen tend à donner le ton en matière de réglementation internationale sur la protection de la vie privée, et être plus sensible à la protection de la vie privée dès aujourd’hui peut accroître votre avantage concurrentiel à l’avenir.
Responsable contre sous-traitant
Le RGPD définit des exigences différentes pour les responsables (entités qui déterminent les objectifs et les moyens du traitement des données personnelles) et les sous-traitants (entités qui traitent les données personnelles selon les instructions d’un responsable).
Les responsables du traitement conservent la principale responsabilité de la protection des données (y compris, par exemple, l’obligation de signaler les violations de données aux autorités chargées de la protection des données), même si le RGPD impose également certaines responsabilités directes au sous-traitant des données. Il est donc important de déterminer si vous agissez en tant que responsable du traitement ou en tant que sous-traitant et, à ce titre, de comprendre vos obligations.
Dans la plupart des cas, dans le contexte des services Lightspeed, nos clients agissent à titre de responsable. Nos clients, par exemple, décident des informations qui sont chargées sur leur compte Retail POS. Lightspeed agit en tant que sous-traitant en fournissant des services à nos clients qui utilisent Retail POS.
Voici quelques-uns des points clés à noter en ce qui concerne le RGPD :
Protection des données dès la conception et par défaut
En vertu de l’exigence de « respect de la vie privée dès la conception » du RGPD, vous devrez concevoir des politiques, procédures et systèmes conformes dès le début du développement du produit. Le principe du « respect de la vie privée par défaut » exige que, par défaut, seules les données personnelles nécessaires à une finalité spécifique soient traitées.
Licéité du traitement
Vous devez vous assurer que tout traitement de données est fondé sur un fondement légal. Il s’agit notamment du consentement, de l’exécution d’un contrat, d’une obligation légale, de la protection des intérêts vitaux, des tâches effectuées dans l’intérêt public ou de l’intérêt légitime, mis en balance avec les droits fondamentaux des personnes concernées.
Consentement du client
En vertu du RGPD, vous pourriez être dans l’obligation d’obtenir un consentement pour traiter les données personnelles de vos clients ou modifier la façon dont vous obtenez actuellement ce consentement. En particulier, le RGPD stipule que le consentement doit être donné « de façon libre, spécifique, éclairée et univoque ». Vous devez revoir les mécanismes de consentement existants, pour vous assurer qu’ils présentent un choix véritable et granulaire.
Enfants
Le RGPD comprend des exigences spécifiques en matière de consentement parental lors du traitement des données personnelles des utilisateurs de moins de 16 ans (ou plus jeunes, selon le pays). Vous devez déterminer si le consentement parental est requis et si vous devez modifier la façon dont vous traitez les données des clients pour obtenir le consentement des parents ou cesser de traiter les données des clients de moins de 16 ans.
Notification des violations de données personnelles
Les violations de données doivent être notifiées à l’autorité de surveillance compétente dès que possible, et en tout état de cause dans les 72 heures suivant l’identification de la violation. Le RGPD stipule que les violations peu susceptibles d’entraîner de risques pour les personnes ne doivent pas être signalées.
Responsable de la protection des données
Les sous-traitants qui traitent un volume important de données, ou qui traitent des données « sensibles », peuvent être tenus de désigner un délégué à la protection des données (DPD). Les DPD seront chargés de surveiller les activités de traitement des données de l’entreprise et d’assurer la conformité avec le RGPD. Il est prévu que certaines entreprises désignent volontairement un DPD pour aider à démontrer l’adoption de procédures de meilleures pratiques et renforcer toute défense face à une enquête réglementaire.
Droits renforcés pour les personnes concernées
Les citoyens de l’UE disposent de plusieurs droits importants en vertu du RGPD, notamment le droit à l’oubli, le droit d’opposition, le droit de rectification, le droit d’accès et le droit de portabilité.
Pénalités
La non-conformité au RGPD peut entraîner des sanctions financières très élevées. Les organisations qui enfreignent le RGPD peuvent se voir infliger une amende allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (le montant le plus élevé étant retenu).
Sécurité
Les commerçants doivent prendre des mesures pour protéger leur entreprise contre les pirates et les fraudeurs. Cliquez ici pour connaître les mesures que vous pouvez mettre en œuvre immédiatement dans votre entreprise (page en anglais).
Lecture complémentaire à propos du RGPD
Vous avez besoin de plus d’informations ? Vous trouverez ci-dessous des liens vers des ressources utiles sur le RGPD :