Les lois sur la protection des données à caractère personnel visent à protéger les citoyens et à leur donner du pouvoir à l’égard de leurs données, en transformant l’approche des entreprises relativement à la protection des données à caractère personnel.
- Le Règlement général sur la protection des données (RGPD) de l’Union européenne est entré en vigueur le 25 mai 2018.
- Le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020.
En tant que marchand utilisant Lightspeed Retail, les demandes relatives aux lois sur la protection des données à caractère personnel auxquelles vous devez répondre sont les suivantes :
Demandes provenant de clients :
- Exportation de données d’un client
- Suppression de données d’un client
- Modification de données d’un client
Demandes provenant d’employés :
- Exportation de données d’un employé
- Suppression de données d’un employé
- Modification de données d’un employé
Nous recommandons à tous les marchands de faire preuve de diligence raisonnable en confirmant l’identité des employés et clients qui effectuent des demandes relatives aux lois sur la protection des données à caractère personnel avant de traiter ces demandes. Nous recommandons aussi aux marchands de déterminer toute raison pour laquelle ils pourraient avoir à conserver certaines données à caractère personnel dont un client ou un employé demande la suppression (p. ex., à des fins fiscales, réglementaires, ou pour le traitement d’un paiement ou d'une rétrofacturation).
Si votre application Lightspeed eCom est reliée à vos stocks dans Retail, vous devrez aussi prendre les mesures requises pour le respect des lois sur la protection des données à caractère personnel dans eCom.
De façon similaire, les marchands qui ont intégré l’une des solutions de nos partenaires à leur compte doivent communiquer directement avec le partenaire en question pour savoir de quelles données à caractère personnel celui-ci dispose, et pour savoir comment procéder pour faire exécuter les demandes relatives à la protection des données à caractère personnel du côté du partenaire.
FAQ sur la protection des données à caractère personnel
-
Les lois sur la protection des données à caractère personnel ont pour objectif de donner aux citoyens un contrôle accru sur leurs données à caractère personnel en régissant la façon dont les entreprises utilisent ces données. Ces lois encadrent la consultation, le stockage, la modification, le transfert et même la suppression des données à caractère personnel. Les « données à caractère personnel » désignent toute information se rapportant à une personne physique (la « personne concernée ») qui peut être utilisée pour identifier cette personne, de façon directe ou indirecte. Il s’agit de renseignements comme les noms, les adresses physiques, les adresses courriel et les numéros de téléphone.
Pour en savoir plus sur les lois relatives à la protection des données à caractère personnel et sur la façon dont Lightspeed s’y conforme, veuillez lire le document suivant :
Politique de confidentialité de Lightspeed
En lien avec le CCPA :
- Quelle est l’incidence du CCPA sur les marchands ? – article de blogue de Lightspeed (publié en anglais seulement)
-
À l’heure actuelle, deux lois sur la protection des données à caractère personnel sont en vigueur.
- RGPD – S’applique aux marchands qui traitent des données à caractère personnel de résidents de l’Union européenne (UE) ou qui ont le contrôle de telles données.
-
CCPA – S’applique aux marchands qui exercent des activités commerciales en Californie et qui remplissent au moins un des critères suivants :
- avoir un revenu brut de 25 millions de dollars ou plus ;
- recueillir ou vendre des données personnelles sur plus de 50 000 consommateurs ;
- tirer 50 % ou plus de ses revenus de la vente de renseignements personnels.
-
Étant donné que Lightspeed appuie les marchands pour le traitement de données à caractère personnel, nous sommes tenus par la loi de conclure une entente relative au traitement des données avec nos clients marchands qui sont touchés par les lois sur la protection des données à caractère personnel. Vous pouvez demander le formulaire prévu à cet effet dans le cadre du processus d’envoi d’une demande relative à la protection des données à caractère personnel à l’équipe de soutien technique.
Il est tout à votre avantage de signer l’entente relative au traitement des données, car celle-ci vous confère divers droits relativement aux activités de traitement de Lightspeed. Elle décrit aussi toutes les obligations de Lightspeed envers vous. L’entente relative au traitement des données entre en vigueur et devient contraignante dès que vous la signez. Si vous n’avez pas encore reçu cette entente de notre part, il est important que vous la demandiez en communiquant avec notre équipe de soutien technique. Vous vous assurerez ainsi de respecter les lois relatives à la protection des données à caractère personnel, et vous éviterez de vous voir imposer des amendes par les autorités compétentes.
Il convient aussi de noter que Lightspeed partagera, avec votre autorisation, les données à caractère personnel dont vous avez le contrôle dans votre compte Retail avec les partenaires que vous aurez choisi d’intégrer à votre compte. Ce partage d’information permet à nos partenaires d’accéder aux données dont ils ont besoin pour créer leurs intégrations, et à Lightspeed de vous offrir la meilleure solution d’affaires pour vos activités de marchand. Si vous êtes un marchand touché par les lois sur la protection des données à caractère personnel et que votre compte Retail bénéficie d’une solution intégrée, vous devrez conclure une entente relative au traitement des données avec le partenaire en question, étant donné que l’intégration de partenaires se fonde sur le partage de données. Pour en savoir plus, veuillez communiquer directement avec les partenaires qui proposent des intégrations aux produits Lightspeed.
-
Seuls deux types de demandes doivent être envoyés au service de soutien technique : les demandes personnelles provenant d’utilisateurs principaux et les demandes dans les cas où l’utilisateur principal ne peut être joint.
-
En vertu des lois régissant la protection des données à caractère personnel, une violation de données à caractère personnel est définie comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
Si la violation de données concerne des données que Lightspeed traite en votre nom à titre de responsable du traitement, nous vous aviserons toujours dans les 36 heures suivant la constatation du problème. Il vous incombe ensuite, en tant que marchand utilisant Lightspeed Retail, de déterminer si vous devez aviser les autorités de contrôle, vos clients et vos employés.
Si vous déterminez que la violation de données est susceptible d’entraîner un risque important pour les droits et libertés de vos clients ou employés, vous devrez prendre les mesures suivantes.
- Avisez les autorités de contrôle dans les 72 heures de ce constat.
- Avisez dès que possible les clients ou employés touchés (les « personnes concernées »), en leur fournissant l’information suivante :
- une description de la nature de la violation ;
- le nom et les coordonnées du délégué à la protection des données ou d’une autre personne responsable ;
- une description des conséquences probables de la violation ;
- une description des mesures que vous avez prises ou que vous avez proposées pour remédier à la violation, y compris les mesures visant à atténuer les conséquences négatives possibles.
- Conservez un registre de toutes les violations de données survenues, que vous soyez tenu ou non d’aviser les autorités, vos clients ou vos employés.
- Vous avez mis en œuvre des mesures techniques et des mesures de protection appropriées pour votre organisation, et ces mesures ont été appliquées aux données à caractère personnel touchées par la violation de données, en particulier les techniques qui rendent les données à caractère personnel inintelligibles pour toute personne non autorisée à y accéder, comme le chiffrement.
- Vous avez pris des mesures ultérieures qui font en sorte que les risques importants pour les droits et libertés de vos clients ou employés ne sont plus susceptibles de se matérialiser.
- Communiquer avec vos clients ou vos employés exigerait un effort déraisonnable. Dans une telle situation, vous devrez envoyer une communication publique ou prendre une mesure semblable, afin de joindre efficacement tous les clients ou employés.
-
L’observation des lois sur la protection des données à caractère personnel pose un défi pour les marchands utilisant Lightspeed Retail, mais le volume de renseignements personnels en circulation et les exigences liées à la gestion de ces renseignements peuvent aussi s’avérer accablants. Pour vous orienter dans la bonne direction et vous aider à commencer, vous pouvez utiliser les ressources supplémentaires ci-dessous, qui sont conçues pour guider les marchands touchés par les lois sur la protection des données à caractère personnel.
Toutefois, si vous remplissez l’une des conditions suivantes, vous ne serez pas tenu de communiquer avec chaque client ou chaque employé de façon individuelle :
Cliquez sur les liens suivants pour en savoir plus sur les exigences d’avis en cas de violation de données :