Règlement Général sur la Protection des Données

Chez Lucca, nous n’avons pas attendu le RGPD pour assurer la confidentialité et la sécurité de vos données. Ce règlement renforce néanmoins certaines de nos obligations. Nous avons donc entrepris les démarches nécessaires à notre mise en conformité. Vous en trouverez le détail ci-après.

Les solutions Lucca gèrent des informations (congés, notes de frais, fiches de paie, dossier du personnel…) qui sont des « données à caractère personnel » telles que définies par le Règlement Général de Protection des Données (RGPD) en vigueur depuis le 25 mai 2018.

En conséquence, si vous êtes un de nos clients, vous êtes assujetti aux dispositions du RGPD à deux titres :

  • votre relation avec nous, car nous agissons comme votre sous‑traitant (article 28 du RGPD),
  • vos relations avec vos collaborateurs, car vous êtes le responsable du traitement de leurs données personnelles par l’intermédiaire de nos solutions (article 24 du RGPD).

Par ailleurs, nous gérons des informations personnelles pour communiquer, notamment par email, avec les administrateurs de nos solutions ainsi qu’avec nos prospects. A ce titre nous sommes responsable du traitement.

Définitions des principaux concepts

Le RGPD est un document dense et complexe dont les dispositions laissent parfois place à l’interprétation ou peuvent paraître abstraites. Il est néanmoins important de connaître ces 4 définitions pour mieux le comprendre.

Données à caractère personnel

Toute information se rapportant à une personne physique identifiée ou identifiable. L’expression abrégée « données personnelles » se rencontre fréquemment.

Dans Lucca, les fiches des collaborateurs, une demande d’absence, une évaluation sont donc des données à caractère personnel, comme la quasi-totalité des informations que vous gérez dans nos solutions.

Traitement des données à caractère personnel

Il s’agit de toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, tels que la collecte, l’enregistrement, la conservation, la modification, l’accès, la suppression etc.

Lucca réalise plusieurs traitements sur les données à caractère personnel pour le compte des clients. Par exemple, pendant toute la durée du contrat avec ses clients, Lucca conserve les données personnelles des collaborateurs et les supprime dans les 30 jours suivants la fin du contrat. 

Responsable du traitement

Toute personne morale ou physique qui détermine les finalités et les moyens d’un traitement de données personnelles. Le responsable du traitement est responsable du respect du RGPD au sein de son organisation, et notamment du respect des droits des collaborateurs (droit d’accès, droit à l’effacement, etc.).

Tous les clients de nos solutions ont donc la qualité de responsable du traitement.

Sous-traitant

Personne morale ou physique qui traite des données personnelles pour le compte du responsable du traitement.

Lucca a le statut de sous-traitant vis-à-vis de l’ensemble de ses clients.

Les engagements Lucca en tant que sous-traitant

Si vous êtes un client Lucca, alors nous sommes votre sous-traitant. A ce titre, nous nous engageons à respecter nos obligations telles que définies à l’article 28 du RGPD. En conséquence, nous avons notamment nommé un Data Protection Officer (DPO) que vous pouvez contacter via rgpd@lucca.fr.

En tant que sous-traitant, nous prenons également les engagements suivants :

  • Ne traiter les données personnelles de vos collaborateurs que dans le cadre de la réalisation et l’exécution des services en ligne Lucca auxquels vous avez souscrit. Jamais nous ne vendrons, ni n’utiliserons les données de vos collaborateurs à des fins marketing.

Mailing d’information pour les administrateurs

  • Notre service en ligne inclut l’envoi de courriers électroniques adressés exclusivement aux administrateurs de nos solutions de nos clients et destinés à les informer des nouveautés et évolutions des produits Lucca. Nous sommes à ce titre responsable du traitement de ces données.
  • Ne pas transférer vos données en dehors de l’UE, à moins que vous optiez pour un hébergement des données en Suisse.
  • Vous informer des changements des sous-traitants que nous utilisons pour traiter certaines de vos données personnelles, et nous assurer que ces sous-traitants soient respectueux du RGPD.

Hébergeurs 

Pour les clients domiciliés en Suisse, nous faisons appel à deux sous-traitants pour l’hébergement de nos applications et, donc, l’hébergement des données personnelles des collaborateurs : 

  • la société Microsoft Azure sur des serveurs localisés en Suisse,
  • la société GCP, sur des serveurs localisés en Suisse, utilisé uniquement pour les sauvegardes chiffrées
  • Réserver l’accès à vos données personnelles aux seuls collaborateurs de Lucca dûment habilités, notamment pour vous assister dans le cadre de fonctions de support.
  • Vous garantir un haut niveau de sécurité et de protection de vos données.
  • Sensibiliser nos collaborateurs au caractère confidentiel des données personnelles, aux enjeux de la sécurité des données et à la réglementation applicable à la protection de ces données.
  • Vous notifier les violations de données dans les 48 heures après en avoir eu connaissance. 

Question

Quelles mesures ont été mises en place par Lucca en termes de sécurité et de confidentialité des données ?

Lucca a mis en œuvre des mesures de sécurité afin d’assurer l’intégrité et la confidentialité des données personnelles qui lui sont confiées. A ce titre, Lucca a obtenu en juillet 2022 la certification ISO 27001, laquelle traduit notre engagement sur la sécurité de l’information.En particulier :

  • Chiffrement systématique des données en transit sur le réseau public,
  • Réplication des données de production sur un site géographiquement distant,
  • Backups hors-site horaires chiffrés (AES 256) chez GCP Storage (Zurich),
  • Suppression des données à caractère personnel quand les données quittent la zone de production,
  • Audits de sécurité et tests de pénétration réguliers,
  • Politique de développement sécurisé avec contrôles bloquants.

Enfin, nous évaluons régulièrement les risques et adaptons, de façon appropriée, le niveau de notre sécurité.

Vos obligations en tant que responsable de traitement

Vous gérez, par l’intermédiaire de nos solutions, les données personnelles de vos collaborateurs.

En conséquence, vos collaborateurs ont des droits sur ces données. Il est de votre responsabilité de leur permettre de les exercer. Les solutions Lucca vous aident à vous acquitter de cette obligation.

Droit d’accès (article 15 du RGPD)

La personne concernée a le droit d’obtenir du responsable du traitement l’accès à ses données à caractère personnel.

Selon le paramétrage de la solution, les collaborateurs ont accès aux informations qui les concernent (ou peuvent en demander l’accès auprès de leur administrateur). Vous seul, en tant que responsable de traitement, devez ou non donner cette possibilité à vos collaborateurs.

Droit de rectification (article 16 du RGPD)

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes.

La solution Poplee Socle RH de par sa nature (employee self service) permet aux collaborateurs de modifier eux mêmes tout ou partie des données personnelles les concernant.

Droit à l’oubli (article 17 du RGPD)

La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant.

Nous mettons à la disposition de nos clients un module dédié à la gestion du droit à l’oubli. Réservé aux administrateurs de nos solutions, il leur permet de supprimer des données personnelles, notamment pour des collaborateurs partis. Pour en savoir plus sur ce module

Question

Dois-je recueillir le consentement des collaborateurs préalablement à l’utilisation des solutions Lucca ? 

Compte tenu du caractère inégal de la relation employeur/employé, il est rare que les employés puissent donner librement leur consentement, à moins que l’acceptation ou leur refus n’ait aucune incidence négative sur leur situation d’employé.

Le consentement n’est qu’une des 6 bases légales prévues par l’article 6 du RGPD pour garantir la licéité du traitement de données personnelles. Ainsi, en fonction des finalités que vous avez préalablement déterminées pour votre traitement, il vous revient de déterminer la base légale qui sera adaptée. 

Les engagements Lucca en tant que responsable du traitement

Nous pouvons être amenés à collecter et à traiter des données personnelles à des fins de gestion de nos clients, fournisseurs et prospects, mais également pour les besoins de l’exécution de nos contrats avec nos clients.

En particulier, nous utilisons certaines données personnelles des administrateurs de nos solutions (nom, prénom, mail professionnel, rôle) pour communiquer avec eux et leur fournir des services de maintenance et d’assistance fonctionnelle, ainsi que des informations sur les évolutions et les actualités de nos solutions.

Nous avons prévu la possibilité pour les administrateurs de désactiver la réception de ces informations, mais ils risquent dans un tel cas de ne pas être pleinement informés de toutes les fonctions et/ou évolutions des solutions Lucca.

  • Limiter la collecte des données à celles strictement utiles.
  • Ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles ont été collectées.
  •  Donner aux administrateurs de nos solutions des droits d’accès, de rectification ou d’effacement de leurs données personnelles.
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.