Règlement Général sur la Protection des Données
Chez Lucca, nous n’avons pas attendu le RGPD pour assurer la confidentialité et la sécurité de vos données. Ce règlement renforce néanmoins certaines de nos obligations. Nous avons donc entrepris les démarches nécessaires à notre mise en conformité. Vous en trouverez le détail ci-après.
Les solutions Lucca gèrent des informations (congés, notes de frais, fiches de paie, dossier du personnel…) qui sont des « données à caractère personnel » telles que définies par le Règlement Général de Protection des Données (RGPD) en vigueur depuis le 25 mai 2018.
En conséquence, si vous êtes un de nos clients, vous êtes assujetti aux dispositions du RGPD à deux titres :
- votre relation avec nous, car nous agissons comme votre sous‑traitant (article 28 du RGPD),
- vos relations avec vos collaborateurs, car vous êtes le responsable du traitement de leurs données personnelles par l’intermédiaire de nos solutions (article 24 du RGPD).
Par ailleurs, nous gérons des informations personnelles pour communiquer, notamment par email, avec les administrateurs de nos solutions ainsi qu’avec nos prospects. A ce titre nous sommes responsable du traitement.
Définitions des principaux concepts
Le RGPD est un document dense et complexe dont les dispositions laissent parfois place à l’interprétation ou peuvent paraître abstraites. Il est néanmoins important de connaître ces 4 définitions pour mieux le comprendre.
Données à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable. L’expression abrégée « données personnelles » se rencontre fréquemment.
Dans Lucca, les fiches des collaborateurs, une demande d’absence, une évaluation sont donc des données à caractère personnel, comme la quasi-totalité des informations que vous gérez dans nos solutions.
Traitement des données à caractère personnel
Il s’agit de toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, tels que la collecte, l’enregistrement, la conservation, la modification, l’accès, la suppression etc.
Lucca réalise plusieurs traitements sur les données à caractère personnel pour le compte des clients. Par exemple, pendant toute la durée du contrat avec ses clients, Lucca conserve les données personnelles des collaborateurs et les supprime dans les 30 jours suivants la fin du contrat.
Responsable du traitement
Toute personne morale ou physique qui détermine les finalités et les moyens d’un traitement de données personnelles. Le responsable du traitement est responsable du respect du RGPD au sein de son organisation, et notamment du respect des droits des collaborateurs (droit d’accès, droit à l’effacement, etc.).
Tous les clients de nos solutions ont donc la qualité de responsable du traitement.
Sous-traitant
Personne morale ou physique qui traite des données personnelles pour le compte du responsable du traitement.
Lucca a le statut de sous-traitant vis-à-vis de l’ensemble de ses clients.
Les engagements Lucca en tant que sous-traitant
Si vous êtes un client Lucca, alors nous sommes votre sous-traitant. A ce titre, nous nous engageons à respecter nos obligations telles que définies à l’article 28 du RGPD. En conséquence, nous avons notamment nommé un Data Protection Officer (DPO) que vous pouvez contacter via rgpd@lucca.fr.
En tant que sous-traitant, nous prenons également les engagements suivants :
-
Ne traiter les données personnelles de vos collaborateurs que dans le cadre de la réalisation et l’exécution des services en ligne Lucca auxquels vous avez souscrit. Jamais nous ne vendrons, ni n’utiliserons les données de vos collaborateurs à des fins marketing.
-
Ne pas transférer vos données en dehors de l’UE, à moins que vous optez pour un hébergement des données en Suisse.
Hébergeurs
Nous faisons appel à quatre sous-traitants pour l’hébergement de nos applications et, donc,l’hébergement des données personnelles des collaborateurs :
- la société OVH sur des serveurs localisés en France et en Allemagne,
- la société Scaleway sur des serveurs localisés en France et aux Pays Bas, utilisé uniquement pour les sauvegardes chiffrées,
Pour les clients domiciliés en Suisse :
- la société Microsoft Azure sur des serveurs localisés en Suisse
- la société GCP, sur des serveurs localisés en Suisse, utilisé uniquement pour les sauvegardes chiffrées
-
Vous informer des changements des sous-traitants que nous utilisons pour traiter certaines de vos données personnelles, et nous assurer que ces sous-traitants soient respectueux du RGPD.
-
Réserver l’accès à vos données personnelles aux seuls collaborateurs de Lucca dûment habilités, notamment pour vous assister dans le cadre de fonctions de support.
-
Vous garantir un haut niveau de sécurité et de protection de vos données.
-
Sensibiliser nos collaborateurs au caractère confidentiel des données personnelles, aux enjeux de la sécurité des données et à la réglementation applicable à la protection de ces données.
-
Vous notifier les violations de données dans les 48 heures après en avoir eu connaissance.
Questions
Vos obligations en tant que responsable de traitement
Vous gérez, par l’intermédiaire de nos solutions, les données personnelles de vos collaborateurs.
En conséquence, vos collaborateurs ont des droits sur ces données. Il est de votre responsabilité de leur permettre de les exercer. Les solutions Lucca vous aident à vous acquitter de cette obligation.
Droit d’accès (article 15 du RGPD)
La personne concernée a le droit d'obtenir du responsable du traitement l'accès a ses données à caractère personnel.
Selon le paramétrage de la solution, les collaborateurs ont accès aux informations qui les concernent (ou peuvent en demander l’accès auprès de leur administrateur). Vous seul, en tant que responsable de traitement, devez ou non donner cette possibilité à vos collaborateurs.
Droit de rectification (article 16 du RGPD)
La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes.
La solution Socle RH de par sa nature (employee self service) permet aux collaborateurs de modifier eux mêmes tout ou partie des données personnelles les concernant.
Droit à l’oubli (article 17 du RGPD)
La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant.
Nous mettons à la disposition de nos clients un module dédié à la gestion du droit à l’oubli. Réservé aux administrateurs de nos solutions, il leur permet de supprimer des données personnelles, notamment pour des collaborateurs partis.
Pour en savoir plus sur ce moduleQuestion
Les engagements Lucca en tant que responsable du traitement
Nous pouvons être amenés à collecter et à traiter des données personnelles à des fins de gestion de nos clients, fournisseurs et prospects, mais également pour les besoins de l’exécution de nos contrats avec nos clients.
En particulier, nous utilisons certaines données personnelles des administrateurs de nos solutions (nom, prénom, mail professionnel, rôle) pour communiquer avec eux et leur fournir des services de maintenance et d’assistance fonctionnelle, ainsi que des informations sur les évolutions et les actualités de nos solutions.
Nous avons prévu la possibilité pour les administrateurs de désactiver la réception de ces informations, mais ils risquent dans un tel cas de ne pas être pleinement informés de toutes les fonctions et/ou évolutions des solutions Lucca.
- Limiter la collecte des données à celles strictement utiles.
- Ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles ont été collectées.
- Donner aux administrateurs de nos solutions des droits d’accès, de rectification ou d’effacement de leurs données personnelles.
- Mettre en oeuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.
En aucun cas, ces réponses ne sauraient constituer des conseils juridiques. Nous vous invitons donc à consulter votre conseil sur ces sujets.