<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=3906484&amp;fmt=gif">

Déclaration PoPI

1.  Introduction 

La Loi sur la protection des renseignements personnels (PoPI) est l'équivalent sud-africain du RGPD de l’Union européenne et est officiellement entrée en vigueur le 1er juillet 2021. Elle établit les conditions permettant aux parties responsables (aussi appelées responsables du traitement) de traiter légalement les renseignements personnels des personnes concernées (individus ou entités).

Cette loi s’applique à toute personne qui conserve des dossiers contenant des renseignements personnels, sauf si ces dossiers sont déjà couverts par une autre législation offrant une protection plus stricte. Elle définit les normes minimales pour le traitement des renseignements personnels, incluant leur collecte, réception, enregistrement, organisation, utilisation, diffusion ou mise à disposition. Elle s’applique également aux dossiers déjà en possession des organisations.

Cette déclaration vise à démontrer les mesures que nous avons mises en place pour assurer notre conformité à la PoPI lorsque nous traitons ou détenons des renseignements personnels pour nos clients.

2. Nos principes PoPI

  • Nous traitons les données personnelles de façon équitable et légale.
  • Nous ne traitons les données qu’aux fins licites indiquées.
  • Nous veillons à ce que les données soient pertinentes, exactes et tenues à jour.
  • Nous ne conservons pas les données personnelles plus longtemps que nécessaire pour honorer nos obligations contractuelles.
  • Nous assurons la sécurité des données personnelles avec des technologies modernes respectant les meilleures pratiques.
  • Nous ne transférons pas de données personnelles en dehors de l’Afrique du Sud sans garanties appropriées.
  • Nous ne faisons pas affaire avec des enfants et ne traitons pas sciemment leurs données personnelles.

3. Notre approche de la PoPI

Les renseignements personnels peuvent uniquement être traités :

  • avec le consentement de la personne concernée ;
  • si cela est nécessaire à la conclusion ou à l’exécution d’un contrat ;
  • si requis par la loi ;
  • pour protéger un intérêt légitime de la personne concernée ;
  • pour servir les intérêts légitimes du responsable du traitement ou d’un tiers.

Les personnes concernées ont le droit de s’opposer au traitement de leurs renseignements personnels et peuvent retirer leur consentement à condition d’en justifier les raisons légitimes.

Les données personnelles doivent généralement être recueillies directement auprès de la personne concernée, sauf si :

  • elles proviennent d’un registre public ou ont été rendues publiques volontairement ;
  • la collecte à partir d’une autre source ne nuit pas à la personne concernée ;
  • cela est nécessaire pour des raisons d’intérêt public ou pour protéger vos intérêts ;
  • il est déraisonnable ou impossible de les obtenir directement.

Lumi agit comme :

  • un sous-traitant pour ses clients (responsables du traitement) ;
  • un responsable du traitement pour les données de ses clients et fournisseurs dans le cadre de ses activités commerciales ;
  • un responsable du traitement pour les données de ses employés.

Dans le cadre de notre conformité à la PoPI, nous revoyons en continu nos processus, politiques, systèmes internes et documentations. Nous collaborons avec nos fournisseurs et partenaires pour répondre collectivement à toutes les obligations réglementaires.

Nous avons consulté des experts indépendants tout au long de notre processus de conformité afin d’assurer une mise en œuvre rigoureuse et durable. Lumi considère la conformité à la PoPI comme un engagement évolutif qui nécessite une surveillance continue.

La sécurité des données est une priorité absolue pour nous. Nous sommes alignés sur les normes reconnues de cybersécurité telles que ISO/IEC 27001 et PCI-DSS.

Nous avons aussi travaillé de manière rapprochée avec nos clients, fournisseurs et sous-traitants afin d’assurer qu’ils respectent également leurs responsabilités. Tous les contrats ont été révisés pour assurer des contrôles adéquats au niveau organisationnel et technique, garantissant la confidentialité, l’intégrité et la disponibilité des données.

 

4. Violations de données

Même si le terme « violation de données » n’est pas formellement défini par la PoPI, il réfère généralement à tout accès non autorisé à des renseignements personnels. Lors d’une telle situation, le responsable est tenu d’en informer :
(i) l’autorité de régulation concernée ;
(ii) la personne affectée (sous certaines conditions).

Cette notification doit être faite par écrit, dès que raisonnablement possible après la découverte de l’incident, et doit contenir suffisamment d’information pour permettre aux personnes concernées de prendre les mesures nécessaires.

En plus de ces obligations prévues par la loi, des engagements contractuels peuvent exiger des démarches supplémentaires en cas de violation de données, selon les accords en place.

Le non-respect de cette obligation peut entraîner des sanctions, incluant des amendes ou des peines d’emprisonnement. Le respect des obligations contractuelles demeure essentiel pour éviter toute rupture de contrat.

En cas d’incident, Lumi s’engage à fournir à son client :In the event of a data breach, we would aim to provide our customer with the following;

  • une description de la nature de la violation ;
  • les coordonnées du responsable de la protection des données ;
  • les risques potentiels ou conséquences ;
  • les mesures prises ou prévues pour limiter les effets négatifs.

5. Droits des personnes concernées

Toute personne a le droit d’être informée si quelqu’un recueille ses renseignements personnels ou si ceux-ci ont été consultés par une personne non autorisée. Elle a aussi le droit d’y accéder, de demander leur correction ou suppression, ou de s’opposer à leur traitement.

Lumi travaille étroitement avec ses clients pour :

  • gérer les demandes d’accès aux données ;
  • définir les périodes de conservation ;
  • procéder à la rectification ou à la suppression sécurisée des données ;
  • répondre aux demandes de portabilité.

Pour plus d’informations sur vos droits, consultez notre Politique de confidentialité globale.

6. Ce que nous avons fait

Comme mentionné précédemment, nous intégrons désormais la conformité à la loi PoPI dans nos opérations quotidiennes chez Lumi. Voici certaines des mesures que nous avons déjà prises ou que nous poursuivons activement pour respecter cette réglementation :

  • Révision et mise à jour des contrats avec nos clients, fournisseurs, sous-traitants et partenaires tiers afin de s’assurer qu’ils respectent aussi leurs obligations en vertu de PoPI.
  • Évaluation de nos bases légales pour la détention et le traitement des données, afin de s’assurer que nos pratiques sont licites, équitables et transparentes.
  • Mise à jour régulière de nos processus, politiques et procédures internes.
  • Sensibilisation et formation continue de notre personnel. Tous les nouveaux employés reçoivent une formation sur la protection des données dès leur intégration.
  • Réalisation et réception d’évaluations d’impact sur la protection de la vie privée, avec une ouverture à recevoir celles de nos clients pour y collaborer.
  • Surveillance constante de nos plateformes technologiques afin d’assurer leur conformité aux normes de sécurité les plus élevées.
  • Nomination d’un Responsable de l'information et d’un Responsable adjoint de l'information, comme l’exige la loi PoPI.
  • Audit et cartographie continue des données pour identifier les renseignements personnels que nous détenons, leur emplacement et leur traitement.
  • Renforcement de notre cybersécurité et mise en œuvre d’un Système de gestion de la sécurité de l’information (SMSI) certifié ISO/IEC 27001.
  • Mise à jour de notre politique de confidentialité afin d’expliquer clairement notre base légale, nos pratiques et les droits des personnes concernées.
  • Précision accrue dans la collecte du consentement, que ce soit via notre site Web, notre centre d’assistance ou notre équipe de clavardage en direct.
  • Bien que non obligés en tant qu’entreprise interentreprises (B2B), nous avons revu notre base de marketing pour retirer les contacts inactifs depuis plus d’un an, en leur demandant de renouveler leur consentement.

7. Personne(s) de contact

Responsable de l'information – Afrique du Sud :
Andrej Vladar
Andrej.vladar@lumiglobal.com

Responsable adjoint de l'information – Afrique du Sud :
Karmen Vladar
Karmen.vladar@lumiglobal.com

8. Politique de confidentialité

Pour en savoir davantage sur la manière dont nous traitons les renseignements personnels, consultez notre politique de confidentialité à l’adresse suivante : https://www.lumiglobal.com/fr-ca/politique-confidentialite.

9. Modifications apportées à cette déclaration

Afin de vous tenir informés sur notre conformité à la réglementation, cette déclaration peut être mise à jour périodiquement. La version la plus récente sera toujours publiée sur cette page de notre site Web.

10. Classement des documents

Ce document a été classé comme **« Public »**. Cela signifie que Lumi considère que l’information contenue dans ce document est destinée à être librement accessible à l’extérieur de l’entreprise ou à un usage public.