Règlement Général
sur la Protection des Données
Chez Lucca, nous n’avons pas attendu le RGPD pour assurer la confidentialité et la sécurité de vos données. Ce règlement renforce néanmoins certaines de nos obligations. Nous avons donc entrepris toutes les démarches nécessaires à notre mise en conformité. Vous en trouverez le détail ci-après.
Les solutions Lucca gèrent des informations (congés, notes de frais, fiches de paie, dossier du personnel…) qui sont des « données à caractère personnel » telles que définies par le Règlement Général de Protection des Données (RGPD) en vigueur depuis le 25 mai 2018.
En conséquence , si vous êtes un de nos clients, vous êtes assujetti aux dispositions du RGPD à deux titres :
- votre relation avec nous, car nous agissons comme votre sous‑traitant (article 28 du RGPD),
- vos relations avec vos collaborateurs, car vous êtes le responsable du traitement de leurs données personnelles par l’intermédiaire de nos solutions.
Par ailleurs, nous gérons des informations personnelles pour communiquer, notamment par email, avec les administrateurs de nos solutions ainsi qu’avec nos prospects. A ce titre nous sommes responsable du traitement.
Nous sommes sous-traitant
Vous êtes responsable du traitement
Définitions des principaux concepts
Le RGPD est un document dense et complexe dont les prescriptions laissent parfois place à l’interprétation ou peuvent paraître abstraites. Il est néanmoins important de connaître ces 4 définitions pour mieux le comprendre.
Responsable du traitement
Les données personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion, l’appartenance syndicale, l’orientation sexuelle ainsi que les données génétiques et biométriques sont considérées comme « sensibles » par le RGPD et leur traitement est interdit sauf certaines exceptions dont notamment le traitement avec le consentement explicite des personnes concernées.
Tous les clients de nos solutions ont donc la qualité de responsable du traitement.
Données à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable(…). L’expression abrégée « données personnelles » se rencontre fréquemment.
Dans Lucca, un mail, une demande d’absence, une évaluation sont donc des données à caractère personnel, comme la quasi-totalité des informations que vous gérez dans nos solutions.
Sous-traitant
Personne morale ou physique qui traite des données personnelles pour le compte du responsable du traitement.
Lucca a le statut de sous-traitant vis-à-vis de l’ensemble de ses clients.
Catégories particulières de données à caractère personnel
Les données personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion, l’appartenance syndicale, l’orientation sexuelle ainsi que les données génétiques et biométriques sont considérées comme « sensibles » par le RGPD et leur traitement est interdit sauf certaines exceptions dont notamment le traitement avec le consentement explicite des personnes concernées.
Par défaut, ces données ne sont pas traitées dans les solutions Lucca. Il est néanmoins possible de le faire sous réserve que vous ayez le droit de traiter ces données et d’en sous-traiter le traitement et que vous nous en informiez préalablement par écrit. Veuillez noter cependant que Lucca ne dispose pas de la certification « hébergeur de données de santé » et qu’en conséquence vous ne devez pas traiter ce type de données dans Lucca.
1
Les engagements Lucca en tant que sous-traitant
Si vous êtes un client Lucca, alors nous sommes votre sous-traitant. A ce titre, nous nous engageons à respecter nos obligations telles que définies à l’article 28 du RGPD. En conséquence, nous nous sommes mis en conformité avec les prescriptions du RGPD en nommant notamment un Data protection officer (DPO) que vous pouvez contacter sur rgpd@lucca.fr.
Nous prenons également les engagements suivants :
Ne traiter les données personnelles de vos collaborateurs que dans le cadre de la réalisation et l’exécution des services en ligne Lucca auxquels vous avez souscrit. Jamais nous ne vendrons, ni n’utiliserons les données de vos collaborateurs à des fins marketing.
Ne pas transférer vos données en dehors de l’UE, sauf si vous optez pour l’hébergement dédié à nos clients suisses.
Vous informer de tout changement des sous-traitants que nous utilisons pour stocker ou pour traiter certaines de vos données personnelles, et nous assurer que ces sous-traitants sont conformes.
Réserver l’accès à vos données personnelles aux seuls collaborateurs de Lucca dûment habilités à vous assister dans le cadre de fonctions de support.
Vous garantir un haut niveau de sécurité et de protection de vos données.
Sensibiliser nos collaborateurs au caractère confidentiel des données personnelles et les former, le cas échéant, à la réglementation applicable à la protection de ces données.
Vous notifier dans les 24 heures en cas de violation de données.
Questions
J’ai souscrit aux services Lucca avant le 25 mai 2018. Ma société doit-elle conclure un nouveau contrat avec Lucca ?
Non, cela n’est pas nécessaire. Nos conditions générales de vente ont été modifiées pour que nos contrats incluent désormais l’ensemble des prescriptions du RGPD relatives aux responsabilités du sous-traitant vis à vis du responsable du traitement. Dans le cas où de telles modifications ne vous conviendraient pas, vous avez la possibilité de résilier votre abonnement, sans frais avec un préavis de 30 jours. A défaut de résiliation avant le 31 août 2018, vous serez réputés les avoir acceptées en l’état.
Nos conditions générales nous sont opposables, sauf conditions particulières.
Elles contiennent l’ensemble de nos engagements relatifs aux données personnelles. La signature d’un avenant portant sur les données personnelles n’est donc pas nécessaire.
Est-ce que la politique de sécurité et de confidentialité des données de Lucca est conforme au RGPD ?
Oui. Lucca a mis en oeuvre les mesures de sécurité nécessaires afin d’assurer l’intégrité et la confidentialité des données personnelles qui lui sont confiées.
En particulier :
- chiffrement systématique des données en transit sur le réseau public,
- synchronisation horaire des données de production sur un site géographiquement distant (PCA),
- sauvegarde quotidienne chiffrée sur Azure (PRA),
- suppression des données à caractère personnel quand les données quittent la zone de production,
- gestion des accès à l’infrastructure à deux niveaux de sécurité : VPN + compte individuel, comptes revus périodiquement,
- audits de sécurité et tests de pénétration régulier,
- relecture systématique de code pour assurer des déploiements sécurisés.
Par ailleurs, Lucca a sélectionné les hébergeurs OVH et AZURE.CH dont le niveau de certification (ISO 27001, PCI-DSS) atteste d’une sécurité optimale des infrastructures.
Enfin, nous évaluons régulièrement les risques et adaptons, de façon appropriée, le niveau de notre sécurité.
2
Vos obligations en tant que responsable de traitement
Vous gérez, par l’intermédiaire de nos solutions, les données personnelles de vos collaborateurs.
En conséquence, vos collaborateurs ont des droits sur ces données. Il est de votre responsabilité de leur permettre de les exercer. Les solutions Lucca vous aident à vous acquitter de cette obligation.
Droit d’accès (article 15 du RGPD)
La personne concernée a le droit d'obtenir du responsable du traitement… l'accès auxdites données à caractère personnel.
Selon le paramétrage de la solution, les collaborateurs ont accès aux informations qui les concernent (ou peuvent en demander l’accès). Vous seul, en tant que responsable de traitement, devez ou non donner cette possibilité à vos collaborateurs.
Droit de rectification (article 16 du RGPD)
La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes…
La solution Poplee Socle RH de par sa nature (employee self service) permet aux collaborateurs de modifier eux mêmes tout ou partie des données personnelles les concernant.
Droit à l’oubli (article 17 du RGPD)
La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant…
Nous mettons à la disposition de nos clients un module dédié à la gestion du droit à l’oubli. Réservé aux administrateurs de nos solutions, il leur permet de supprimer en masse des données personnelles, notamment pour des collaborateurs partis, ou bien, le cas échéant, de les pseudonymiser. La pseudonymisation consiste à modifier les données d’identification (nom, prénom) de manière à ce qu’on ne puisse plus les rattacher à une personne physique.
Questions
Dois-je recueillir le consentement des collaborateurs préalablement à l’utilisation des solutions Lucca ? *
Non, ce n’est pas utile. D’autant que si vous le faisiez, ce consentement ne constituerait pas un fondement juridique valable (il ne serait pas « librement donné »), compte tenu du caractère inégal de la relation employeur/employé.
Le consentement n’est qu’une des 6 conditions prévues par l’article 7 du RGPD pour garantir la licéité du traitement de données personnelles.
La licéité de votre utilisation des solutions Lucca pour gérer les données personnelles de vos collaborateurs est donc fondée sur les alinéas suivants de l’article 7b du RGPD ( 7b – Nécessaire à l’exécution d’un contrat).
* En aucun cas, ces réponses ne sauraient constituer des conseils juridiques. Nous vous invitons donc à consulter votre conseiller sur ces sujets.
Les solutions Lucca sont elles concernées par les prescriptions du RGPD relatives à la gestion des données particulières (opinion politique, conviction religieuse, appartenance syndicale, orientation sexuelle,…) mentionnées à l’article 9 du RGPD ? *
Dans leur configuration par défaut, les solutions Lucca ne traitent pas les données particulières mentionnées à l’article 9 du RGPD (données sensibles)…
Néanmoins, l’application Poplee Socle RH, de par sa nature proche d’une base de données, permet à une entreprise qui le souhaite de recueillir et de traiter des données de toute nature, et donc, éventuellement des données sensibles.
Si tel était le cas de votre entreprise, nos conditions générales prévoient que vous nous le notifiez préalablement.
Nous attirons votre attention sur le fait que Lucca ne dispose pas de l’accréditation « données de santé » et que ces dernières ne doivent en aucun cas être traitées dans le cadre des services.
Nous vous rappelons que si vous décidez de traiter des données sensibles, vous devez, sauf exceptions prévus par le RGPD, obligatoirement recueillir le consentement de vos collaborateurs, et vous assurer que ce consentement est librement donné.
3
Les engagements Lucca en tant que responsable du traitement
Nous pouvons être amenés à collecter et à traiter des données personnelles à des fins de gestion de nos clients, fournisseurs et prospects, mais également pour l’application de nos contrats avec nos clients.
En particulier, nous utilisons certaines données personnelles des administrateurs de nos solutions (nom, mail professionnel, rôle) pour communiquer avec eux et leur fournir des services de maintenance et d’assistance fonctionnelle, ainsi que des informations sur les évolutions et les actualités de nos solutions.
Nous avons prévu la possibilité pour les administrateurs de désactiver la réception de ces informations, mais ils risquent dans un tel cas de ne pas être pleinement informés de toutes les fonctions de la solution Lucca.
Limiter la collecte des données à celles strictement utiles.
Ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles ont été collectées.
Donner aux administrateurs de nos solutions des droits d’accès, de rectification ou d’effacement de leurs données personnelles.
Mettre en oeuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.