Loi sur la protection des données
Chez Lucca, nous n’avons pas attendu la LPD et le RGPD pour assurer la confidentialité et la sécurité de vos données. Ces lois renforcent néanmoins certaines de nos obligations. Nous avons donc entrepris les démarches nécessaires à notre mise en conformité. Vous en trouverez le détail ci-après.
Les solutions Lucca gèrent des informations (congés, notes de frais, fiches de salaire, dossier du personnel…) qui sont des « données personnelles » telles que définies par la Loi fédérale sur la protection des données (LPD) et par le Règlement général de protection des données (RGPD).
En conséquence, si vous êtes un de nos clients, vous êtes assujettis aux dispositions de la LPD à deux titres :
- votre relation avec nous, car nous agissons comme votre sous-traitant (articles 5 let. k, 9, et 19 ss. de la LPD et article 28 du RGPD),
- vos relations avec vos collaborateurs, car vous êtes le responsable du traitement de leurs données personnelles par l’intermédiaire de nos solutions (articles 5 let. j, 7 et 19 ss. de la LPD et article 24 du RGPD).
Par ailleurs, nous gérons des informations personnelles pour communiquer, notamment par email, avec les administrateurs de nos solutions ainsi qu’avec nos prospects. À ce titre nous sommes responsables du traitement.
Définitions des principaux concepts
La LPD et le RGPD sont des textes denses et complexes dont les dispositions laissent parfois place à l’interprétation ou peuvent paraître abstraites. Il est néanmoins important de connaître les 4 définitions suivantes pour mieux les comprendre.
Données personnelles
Appelées Données à caractère personnel dans le RGPD, il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable. Par souci de lisibilité, il sera fait référence ci-après au terme de données personnelles.
Dans Lucca, les fiches des collaborateurs, une demande d’absence ou une évaluation sont donc des données personnelles, comme la quasi-totalité des informations que vous gérez dans nos solutions.
Traitement des données personnelles
Il s’agit de toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données.
Lucca réalise divers traitements des données personnelles de ses clients. Par exemple, pendant toute la durée du contrat avec ses clients, Lucca conserve les données personnelles des collaborateurs et les supprime dans les 30 jours suivant la fin du contrat.
Responsable du traitement
La personne privée (physique ou morale) ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. Le responsable du traitement est responsable du respect de la LPD, respectivement du RGPD au sein de son organisation, et notamment du respect des droits des collaborateurs (droit d’accès, etc.).
Tous les clients de nos solutions ont donc la qualité de responsable du traitement.
Sous-traitant
La personne privée (physique ou morale) ou l’organe fédéral qui traite des données personnelles pour le compte du responsable du traitement.
Lucca a le statut de sous-traitant vis-à-vis de l’ensemble de ses clients.
Les engagements Lucca en tant que sous-traitant
Si vous êtes un client de Lucca, alors nous sommes votre sous-traitant. À ce titre, nous nous engageons à respecter nos obligations telles que définies à l’article 9 ainsi qu’au chapitre 3 de la LPD et à l’article 28 du RGPD. En conséquence, nous avons notamment nommé un Data Protection Officer (DPO) que vous pouvez contacter via rgpd@lucca.fr.
En tant que sous-traitant, nous prenons également les engagements suivants :
- Ne traiter les données personnelles de vos collaborateurs que dans le cadre de la réalisation et l’exécution des services en ligne Lucca auxquels vous avez souscrit. Jamais nous ne vendrons, ni n’utiliserons les données de vos collaborateurs à des fins marketing.
- Ne pas transférer vos données en dehors de l’Union Européenne
- Hébergeurs
- Nous faisons appel, pour les clients domiciliés en Suisse, à deux sous-traitants pour l’hébergement de nos applications et, donc, l’hébergement des données personnelles des collaborateurs :
- la société Microsoft Azure sur des serveurs localisés en Suisse ;
- la société GCP, sur des serveurs localisés en Suisse, utilisée uniquement pour les sauvegardes chiffrées.
- Pour les clients ayant opté pour un hébergement dans l’Union Européenne :
- la société OVH sur des serveurs localisés en France et en Allemagne ;
- la société Scaleway Azure sur des serveurs localisés en France et aux Pays-Bas, utilisée uniquement pour les sauvegardes chiffrées.
- Vous informer des changements des sous-traitants que nous utilisons pour traiter certaines de vos données personnelles, et nous assurer que ces sous-traitants soient respectueux de la LPD et du RGPD.
- Réserver l’accès à vos données personnelles aux seuls collaborateurs de Lucca dûment habilités, notamment pour vous assister dans le cadre de fonctions de support.
- Vous garantir un haut niveau de sécurité et de protection de vos données.
- Sensibiliser nos collaborateurs au caractère confidentiel des données personnelles, aux enjeux de la sécurité des données et à la réglementation applicable à la protection de ces données.
- Vous notifier toute violation de données dans les 48 heures après en avoir eu connaissance.
Question
Quelles mesures ont été mises en place par Lucca en termes de sécurité et de confidentialité des données ?
Lucca a mis en œuvre des mesures de sécurité afin d’assurer l’intégrité et la confidentialité des données personnelles qui lui sont confiées. A ce titre, Lucca a obtenu en juillet 2022 la certification ISO 27001, laquelle traduit notre engagement sur la sécurité de l’information.
En particulier :
- Chiffrement systématique des données en transit sur le réseau public.
- Réplication des données de production sur un site géographiquement distant.
- Backups hors-site horaires chiffrés (AES 256) chez GCP Storage (Zurich) ou chez Scaleway Paris (PRA) pour nos clients ayant opté pour un hébergement dans l’Union Européenne.
- Suppression des données personnelles quand les données quittent la zone de production.
- Audits de sécurité et tests de pénétration réguliers.
- Politique de développement sécurisé avec contrôles bloquants.
Enfin, nous évaluons régulièrement les risques et adaptons, de façon appropriée, le niveau de notre sécurité.
Vos obligations en tant que responsable de traitement
Vous gérez, par l’intermédiaire de nos solutions, les données personnelles de vos collaborateurs.
En conséquence, vos collaborateurs ont des droits sur ces données. Il est de votre responsabilité de leur permettre de les exercer. Les solutions Lucca vous aident à vous acquitter de cette obligation.
Droit d’accès (article 25 de la LPD et article 15 du RGPD)
Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées. Si de telles données sont traitées, cette personne a notamment le droit de recevoir les données personnelles traitées.
Selon le paramétrage de la solution, les collaborateurs ont accès aux informations qui les concernent (ou peuvent en demander l’accès auprès de leur administrateur). Vous seul, en tant que responsable de traitement, devez donner ou refuser cette possibilité à vos collaborateurs.
Droit de rectification (article 32 de la LPD et article 16 du RGPD)
La personne concernée peut exiger du responsable du traitement que des données personnelles inexactes soient rectifiées dans les meilleurs délais.
La solution Poplee Socle RH de par sa nature (employee self service) permet aux collaborateurs de modifier eux-mêmes tout ou partie des données personnelles les concernant.
Droit à l’effacement (article 32 de la LPD) / Droit à l’oubli (article 17 du RGPD)
La LPD prévoit notamment, en ce qui concerne les actions en protection de la personnalité des art. 28ss du code civil, que le demandeur peut requérir notamment l’effacement ou la destruction de données personnelles.
Le RGPD prévoit quant à lui que la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données personnelles la concernant.
Nous mettons à la disposition de nos clients un module dédié à la gestion du droit à l’effacement. Réservé aux administrateurs de nos solutions, il leur permet de supprimer des données personnelles, notamment pour des collaborateurs partis.
Pour en savoir plus sur ce module
Question
Dois-je recueillir le consentement des collaborateurs préalablement à l’utilisation des solutions Lucca ? *
Compte tenu du caractère inégal de la relation employeur/employé, il est rare que les employés puissent donner librement leur consentement, à moins que leur acceptation ou leur refus n’ait aucune incidence négative sur leur situation d’employé.
Lorsque le consentement de la personne est requis, celle-ci ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée. L’article 6 LPD rappelle que le consentement doit être exprès dans trois cas :
- S’il s’agit d’un traitement de données sensibles
- S’il s’agit d’un profilage à risque élevé effectué par une personne privée
- S’il s’agit d’un profilage effectué par un organe fédéral
Le consentement n’est qu’un des motifs justificatifs listés aux articles 31 LPD et 6 du RGPD pour garantir la licéité du traitement des données personnelles. Ainsi, en fonction des finalités que vous avez préalablement déterminées pour votre traitement, il vous revient de déterminer le motif justificatif qui sera adapté.
Les engagements Lucca en tant que responsable du traitement
Nous pouvons être amenés à collecter et à traiter des données personnelles à des fins de gestion de nos clients, fournisseurs et prospects, mais également pour les besoins de l’exécution de nos contrats avec nos clients.
En particulier, nous utilisons certaines données personnelles des administrateurs de nos solutions (nom, prénom, mail professionnel, rôle) pour communiquer avec eux et leur fournir des services de maintenance et d’assistance fonctionnelle, ainsi que des informations sur les évolutions et les actualités de nos solutions.
Nous avons prévu la possibilité pour les administrateurs de désactiver la réception de ces informations, mais ils risquent dans un tel cas de ne pas être pleinement informés de toutes les fonctions et/ou évolutions des solutions Lucca.
- Limiter la collecte des données à celles strictement utiles.
- Ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles ont été collectées.
- Donner aux administrateurs de nos solutions des droits d’accès, de rectification ou d’effacement de leurs données personnelles.
- Mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.
En aucun cas ces réponses ne sauraient constituer des conseils juridiques. Nous vous invitons à consulter votre conseil sur ces sujets.