1. Introduction
Le Règlement général sur la protection des données (RGPD), ou Règlement (UE) 2016/679, est entré en vigueur le 25 mai 2018 et remplace les législations nationales correspondantes ainsi que la Directive européenne sur la protection de la vie privée. Le RGPD vise à améliorer la confidentialité et la sécurité des données personnelles des citoyens de l'UE. Il ne nécessite aucune législation d'application et est donc applicable et contraignant à compter de cette date.
Le RGPD impose des obligations aux entreprises qui contrôlent ou traitent des données personnelles et introduit de nouveaux droits pour les personnes concernées dans l'UE. S'il s'applique au traitement effectué par les organisations au sein de l'Espace économique européen (EEE), il s'applique également aux organisations du monde entier qui proposent des biens ou des services aux citoyens de l'UE ou aux personnes résidant dans l'UE.
Cette déclaration publique d'entreprise a pour objectif de mettre en avant et de démontrer à nos clients les mesures que nous avons mises en place pour garantir la conformité au RGPD lorsque nous détenons ou traitons des données personnelles pour votre compte.
2. Nos principes RGPD
- Nous traiterons les données personnelles de manière loyale et légale.
- Nous ne traiterons les données personnelles que pour les motifs légaux que nous affirmons justifier.
- Nous veillerons à conserver des données pertinentes et exactes et à les tenir à jour autant que possible.
- Nous ne conserverons ni ne conserverons les données personnelles plus longtemps que nécessaire pour remplir nos obligations contractuelles envers nos clients.
- Nous assurerons la sécurité de toutes les données personnelles en utilisant des techniques et technologies modernes et performantes.
- Nous veillerons à ce que les données personnelles ne soient pas transférées vers des pays hors de l'Espace économique européen (EEE) sans la mise en place de garanties adéquates.
- Nous n'entretenons aucune relation commerciale avec des enfants et ne détenons ni ne traitons sciemment leurs données personnelles.
3. Notre approche du RGPD
Lumi est :
- Un sous-traitant de données pour nos clients (le responsable du traitement des données).
- Un responsable du traitement des données de nos clients et fournisseurs, que nous détenons et traitons pour exécuter nos contrats, gérer les demandes des clients et aider les personnes qui consultent notre site web.
- Un responsable du traitement des données de nos employés, dont nous détenons et traitons les informations personnelles.
Dans le cadre de notre processus de préparation au RGPD, nous continuons de revoir et de mettre à jour l'ensemble de nos processus, procédures, politiques, documentations et systèmes internes. En tant que responsable du traitement et du traitement des données, nous nous conformerons au RGPD et collaborons avec nos fournisseurs et prestataires tiers afin de garantir collectivement notre conformité à nos obligations et à vos exigences.
Tout au long de notre démarche de conformité au RGPD, nous avons collaboré étroitement avec des experts et des conseillers indépendants afin de disposer de l'expertise nécessaire pour nous conformer à la réglementation. Nous considérons le RGPD comme un projet continu qui nécessitera un suivi, une amélioration et une gestion au fil du temps.
Chez Lumi, la sécurité de l'information est notre priorité absolue et nous sommes déjà en phase avec plusieurs normes de bonnes pratiques du secteur axées sur la cybersécurité, telles que les normes ISO/IEC 27001 et PCI-DSS.
En ce qui concerne nos clients, nos fournisseurs tiers et nos sous-traitants, nous collaborons étroitement avec toutes les parties pour garantir leur conformité. Les contrats et accords ont été examinés et nous nous assurons que les contrôles, politiques et procédures organisationnels et techniques nécessaires sont en place afin de garantir la confidentialité, l'intégrité et la disponibilité de vos données.
4. Violations de données
En vertu du RGPD, nous sommes tenus d'informer nos clients (responsables du traitement) de toute violation de données dans les meilleurs délais. Dans certains cas, cette notification doit être étendue à l'autorité nationale de contrôle compétente en matière de protection des données. Notre siège social est situé au Royaume-Uni, où cet organisme est l'Information Commissioner's Office (ICO), https://ico.org.uk/. Lumi a donc mis en place des processus et procédures rigoureux pour identifier, examiner et signaler rapidement toute violation de données au responsable du traitement et aux autorités compétentes.
En cas de violation de données, nous nous efforcerons de fournir à nos clients les informations suivantes :
- Une description de la nature de la violation ;
- Les coordonnées du responsable de la protection des données ;
- Les conséquences ou risques probables de la violation ;
- Les mesures prises et proposées pour limiter les effets préjudiciables ou les risques pour les personnes.
5. Droits des personnes concernées
Le RGPD a considérablement renforcé les droits des personnes concernées, améliorant ainsi la confidentialité et la protection des données personnelles. Lumi s'engage à collaborer étroitement avec ses clients pour le compte desquels nous détenons et traitons des données. Cette collaboration nous permet de déterminer au mieux les modalités de gestion :
- Gestion des demandes d'accès aux données
- Durées de conservation
- Rectification des données
- Effacement/destruction sécurisés des données
- Demandes de portabilité des données
Pour plus d'informations sur ces droits, veuillez consulter notre Politique de confidentialité.
6. Ce que nous avons fait
Comme mentionné précédemment, nous considérons désormais le RGPD comme un élément essentiel de la vie quotidienne de Lumi. Cette section présente certaines des mesures que nous avons déjà prises ou que nous continuons de prendre, ainsi que les progrès accomplis pour nous conformer à la réglementation.
- Nous avons examiné et modifié les contrats conclus avec nos clients, fournisseurs, sous-traitants et prestataires tiers. Comme mentionné précédemment, nous travaillons en étroite collaboration avec ces organismes afin de nous assurer qu'ils respectent également leurs obligations en vertu du RGPD.
- Nous avons évalué nos bases juridiques en matière de conservation et de traitement des données afin de garantir leur traitement légal, équitable et transparent.
- Nous continuons de réviser et de mettre à jour régulièrement nos processus, procédures et politiques.
- Notre personnel est informé, formé et sensibilisé. Tous nos employés sont de plus en plus conscients de leurs responsabilités en entreprise et les nouveaux employés bénéficient d'une formation dans le cadre de leur intégration.
- Nous avons réalisé et continuons de recevoir des évaluations d'impact sur la confidentialité des données et invitons nos clients à nous contacter pour nous soumettre les leurs.
- La technologie que nous utilisons pour mener à bien nos activités évolue constamment et nous examinons et analysons régulièrement nos plateformes afin de nous assurer qu'elles répondent aux normes que nous nous engageons à respecter.
- Nous ne sommes pas légalement tenus de nommer un DPD, mais nous avons désigné une personne chez Lumi responsable de la protection des données et de la confidentialité (pour plus d'informations, voir ci-dessous).
- Face à l'évolution et aux mises à jour constantes des systèmes, nous continuons d'auditer les informations qui transitent par Lumi et de cartographier les données afin d'identifier les informations personnelles identifiables que nous détenons et traitons, et où elles sont stockées.
- Nous améliorons notre cybersécurité et mettons en œuvre un SMSI accrédité pour la certification ISO/IEC 27001.
- Nous avons mis à jour notre politique de confidentialité afin d'aider nos clients et les personnes concernées à mieux comprendre nos activités, notre base juridique pour la conservation et le traitement des informations, et pour expliquer en détail leurs droits et comment les exercer.
- Nous sommes beaucoup plus transparents quant à l'obtention du consentement des personnes qui visitent notre site web ou qui demandent de l'aide via des canaux tels que notre service d'assistance ou notre chat en direct.
- En tant qu'entreprise B2B, nous n'étions pas tenus de renouveler l'autorisation de notre base marketing. Cependant, nous avons examiné les personnes qui n'étaient pas actives depuis plus d'un an et leur avons demandé de renouveler leur consentement.
7. Personne à contacter
Lumi n'a pas besoin de désigner de délégué à la protection des données (DPD). Cependant, nous avons désigné notre directeur technique comme responsable global du RGPD et des questions de confidentialité et de protection des données. Vous pouvez le contacter à l'adresse privacy@lumiglobal.com.
8. Politique de confidentialité
Pour plus d'informations sur la manière dont nous traitons les informations personnelles, veuillez consulter notre Politique de confidentialité : https://www.lumiglobal.com/fr/politique-confidentialite.
9. Modifications de la présente déclaration
Afin de vous tenir informé(e) de notre conformité à la législation, nous sommes susceptibles de mettre à jour cette déclaration de temps à autre. Ces modifications seront systématiquement publiées sur notre site web.
10. Historique des révisions du document
|
Version
|
Publish Date
|
Author(s)
|
Owner(s)
|
Description of changes
|
|
1.0
|
25 mai 2018
|
Dave Palmer (Head of Information Security)
|
n/a
|
Création initiale du document
|
|
1.1
|
7 décembre 2020
|
Dave Palmer (Head of Information Security), Rahul Shah (Chief Financial Officer)
|
Richard Taylor (Chief Executive Officer)
|
Mise à jour du modèle de document, des sections de contrôle et du processus d’approbation.
|
|
1.2
|
15 octobre 2021
|
Marc Harper (CTO)
|
Rahul Shah (CFO)
|
Mise à jour du contact principal.
|
This version approved by: Chief Finance Officer
11. Classification des documents
Cette déclaration est classée « Public » et est destinée à être accessible au public.
