<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=3906484&amp;fmt=gif">

Déclaration PoPI

1.  Introduction 

La loi sur la protection des informations personnelles (PoPI), équivalent sud-africain du RGPD de l'UE, est officiellement entrée en vigueur le 1er juillet 2021. Elle fixe certaines conditions pour que les responsables (appelés responsables du traitement dans d'autres juridictions) traitent légalement les informations personnelles des personnes concernées (personnes physiques et morales).

La ​​loi s'applique à toute personne conservant des documents relatifs aux informations personnelles de quiconque, sauf si ces documents sont soumis à une autre législation protégeant ces informations de manière plus stricte. Elle établit donc les normes minimales de protection des informations personnelles. Elle réglemente le « traitement » des informations personnelles. Le « traitement » comprend la collecte, la réception, l'enregistrement, l'organisation, la récupération ou l'utilisation de ces informations ; ou encore la diffusion, la distribution ou la mise à disposition de ces informations personnelles. La loi s'applique également aux documents que vous détenez déjà.

Cette déclaration publique vise à mettre en avant et à démontrer à nos clients les mesures que nous avons mises en place pour garantir le respect de la PoPI lorsque nous détenons ou traitons des données personnelles pour votre compte.

2. Nos principes PoPI

  • Nous traiterons les données personnelles de manière loyale et légale.
  • Nous ne traiterons les données personnelles que pour les motifs légaux que nous affirmons justifier.
  • Nous veillerons à détenir des données pertinentes et exactes et à les tenir à jour autant que possible.
  • Nous ne conserverons ni ne conserverons les données personnelles plus longtemps que nécessaire pour remplir nos obligations contractuelles envers nos clients.
  • Nous assurerons la sécurité de toutes les données personnelles en utilisant des techniques et technologies modernes et performantes.
  • Nous veillerons à ce que les données personnelles ne soient pas transférées vers des pays autres que l'Afrique du Sud sans la mise en place de garanties adéquates.
  • Nous n'effectuons aucune activité commerciale avec des enfants et ne détenons ni ne traitons sciemment les données personnelles d'enfants.

3. Notre approche PoPI

Les informations personnelles ne peuvent être traitées que :

  • avec le consentement de la « personne concernée » ; ou
  • si cela est nécessaire à la conclusion ou à l'exécution d'un contrat auquel la « personne concernée » est partie ; ou
  • si cela est requis par la loi ; ou
  • si cela protège un intérêt légitime de la « personne concernée » ; ou
  • si cela est nécessaire pour défendre vos intérêts légitimes ou ceux d'un tiers à qui les informations sont fournies.

Vous avez le droit de vous opposer au traitement de vos informations personnelles. Vous pouvez retirer votre consentement ou vous opposer si vous pouvez justifier de motifs légitimes.

Une Partie Responsable doit collecter les informations personnelles directement auprès de la « personne concernée », sauf si :

  • Ces informations sont contenues dans un registre public ou ont été délibérément publiées par la personne concernée.
  • La collecte des informations auprès d'une autre source ne porte pas préjudice à la personne concernée ;
  • Elle est nécessaire à une fin publique ; ou pour protéger vos propres intérêts ;
  • Obtenir les informations directement auprès de la personne concernée porterait atteinte à une finalité légale ou n'est pas raisonnablement possible.

Lumi est :

  • Un sous-traitant de données pour nos clients (le responsable du traitement).
  • Un responsable du traitement des données concernant les coordonnées de nos clients et fournisseurs que nous détenons et traitons pour exécuter nos contrats, gérer les demandes des clients et aider les personnes qui consultent notre site web.
  • Un responsable du traitement des données concernant nos employés, qui détient et traite leurs informations personnelles.

Dans le cadre de notre processus de préparation à la PoPI, nous continuons de revoir et de mettre à jour l'ensemble de nos processus, procédures, politiques, documentations et systèmes internes. En tant que sous-traitant et responsable du traitement des données, nous nous conformerons à la PoPI et collaborons avec nos fournisseurs et prestataires tiers afin de garantir collectivement notre capacité à respecter nos obligations et vos exigences.

Tout au long de notre démarche de conformité à la PoPI, nous avons collaboré étroitement avec des experts et des conseillers indépendants afin de disposer de l'expertise nécessaire pour nous conformer à la réglementation. Nous considérons la PoPI comme un projet continu qui nécessitera un suivi, une amélioration et une gestion au fil du temps.

Chez Lumi, la sécurité de l'information est notre priorité absolue et nous sommes déjà en phase avec plusieurs normes de bonnes pratiques du secteur axées sur la cybersécurité, telles que les normes ISO/IEC 27001 et PCI-DSS.

En ce qui concerne nos clients, nos fournisseurs tiers et nos sous-traitants, nous collaborons étroitement avec toutes les parties pour garantir leur conformité. Les contrats et accords ont été examinés et nous nous assurons que les contrôles, politiques et procédures organisationnels et techniques nécessaires sont en place afin de garantir la confidentialité, l'intégrité et la disponibilité de vos données.

4. Violations de données

Une « violation de données » n'est pas définie dans la PoPI, mais elle désigne généralement l'accès ou l'acquisition de données personnelles par une personne non autorisée. En cas de violation de données, la partie responsable est tenue de la signaler (i) à l'autorité de régulation de l'information ; et (ii) à la personne concernée (sous réserve de certaines limitations).

La notification doit être effectuée par écrit dans les meilleurs délais après la découverte de la violation de données. Elle doit fournir à la personne concernée des informations suffisantes pour lui permettre de prendre des mesures de protection contre les conséquences potentielles de la violation.

Outre les obligations de notification de violation de données prévues dans la PoPI, des obligations contractuelles supplémentaires peuvent s'appliquer concernant les mesures à prendre par une organisation en cas de violation de données, telles que définies dans les accords avec ses fournisseurs, ses clients ou sa politique de confidentialité.

Le non-respect de l'obligation de notification constitue une violation de la PoPI et peut, en cas de condamnation pour certaines infractions, entraîner une peine d'emprisonnement, une amende, ou les deux. Dans la mesure où une obligation de notification ou autre obligation contractuelle est prévue, une organisation doit s'assurer de son respect afin d'éviter toute violation contractuelle.

En cas de violation de données, nous nous efforçons de fournir à nos clients les informations suivantes :

  • Une description de la nature de la violation ;
  • Les coordonnées du responsable de la protection des données ;
  • Les conséquences ou risques probables de la violation ;
  • Les mesures prises et proposées pour limiter les effets préjudiciables ou les risques pour les personnes.

5. Droits des personnes concernées

Toute personne a le droit d'être informée si quelqu'un collecte ses informations personnelles ou si une personne non autorisée y a accédé. De plus, elle a le droit d'accéder à ses informations personnelles et d'exiger leur rectification ou leur destruction, ou de s'opposer à leur traitement. Lumi s'engage à travailler en étroite collaboration avec ses clients pour le compte desquels nous détenons et traitons des données. Grâce à cette collaboration, nous pouvons déterminer au mieux la gestion :

  • Gestion des demandes d'accès aux données
  • Durées de conservation
  • Rectification des données
  • Effacement/destruction sécurisés des données
  • Demandes de portabilité des données

Pour plus d'informations sur ces droits, veuillez consulter notre Politique de confidentialité globale.

6. Ce que nous avons fait

Comme mentionné précédemment, nous traitons désormais la PoPI au quotidien chez Lumi. Cette section présente certaines des mesures que nous avons déjà prises ou que nous continuons de prendre, ainsi que les efforts accomplis pour nous conformer à la réglementation.

  • Nous avons examiné et modifié les contrats conclus avec nos clients, fournisseurs, sous-traitants et prestataires tiers. Comme mentionné précédemment, nous collaborons étroitement avec ces organismes afin de garantir qu'ils respectent également leurs obligations en matière de PoPI.
  • Nous avons évalué nos bases juridiques en matière de conservation et de traitement des données afin de garantir leur traitement légal, équitable et transparent.
  • Nous continuons de réviser et de mettre à jour régulièrement nos processus, procédures et politiques.
  • Notre personnel est informé, formé et sensibilisé. Tous nos employés sont de plus en plus conscients de leurs responsabilités professionnelles et les nouveaux employés bénéficient d'une formation dans le cadre de leur processus d'intégration.
  • Nous avons réalisé et continuons de recevoir des analyses d'impact sur la confidentialité des données et invitons nos clients à nous contacter pour nous faire part des leurs.
  • La technologie que nous utilisons pour mener à bien nos activités évolue constamment, et nous examinons et analysons régulièrement nos plateformes afin de garantir qu'elles respectent les normes que nous nous engageons à respecter.
  • Nous avons nommé un responsable de l'information et un responsable adjoint de l'information, conformément à la PoPI.
  • Face à l'évolution et aux mises à jour constantes des systèmes, nous continuons d'auditer les informations qui transitent par Lumi et de cartographier les données afin d'identifier les informations personnelles identifiables que nous détenons et traitons, et où elles le sont.
  • Nous améliorons notre cybersécurité et mettons en œuvre un SMSI accrédité pour la certification ISO/IEC 27001.
  • Nous avons mis à jour notre politique de confidentialité afin d'aider nos clients et les personnes concernées à mieux comprendre nos activités, notre base juridique pour la conservation et le traitement des informations, et pour expliquer en détail leurs droits et comment les exercer.
  • Nous sommes beaucoup plus clairs sur l'obtention du consentement des personnes qui peuvent consulter notre site web ou demander de l'aide via des canaux tels que notre service d'assistance ou notre chat en direct.
  • En tant qu'organisation B2B, nous n'étions pas tenus de renouveler l'autorisation de notre base marketing. Cependant, nous avons examiné les personnes inactives depuis plus d'un an et leur avons demandé de renouveler leur consentement.

7. Personne(s) à contacter

Responsable de l'information, Afrique du Sud :
Andrej Vladar
Andrej.vladar@lumiglobal.com

Responsable adjointe de l'information, Afrique du Sud :
Karmen Vladar
Karmen.vladar@lumiglobal.com

8. Politique de confidentialité

Pour plus d'informations sur la manière dont nous traitons les données personnelles, veuillez consulter notre Politique de confidentialité : https://www.lumiglobal.com/fr/politique-confidentialite.

9. Modifications de la présente Déclaration

Afin de vous tenir informé(e) de notre conformité à la législation, nous sommes susceptibles de mettre à jour cette déclaration de temps à autre. Ces modifications seront systématiquement publiées sur notre site web.

10. Classification des documents

Ce document Lumi a été classé « Public ». Cela signifie que Lumi a considéré que les informations qu'il contient sont librement accessibles en dehors de l'entreprise ou destinées à un usage public.