Le règlement général sur la protection des données (RGPD) est une loi de grande envergure sur la protection des données qui place la barre très haut en matière de droits à la vie privée et de conformité au niveau mondial. Le RGPD s’applique probablement à vous si votre entreprise est basée dans l’UE ou si vous avez des clients ou des contacts dans l’UE.
Outils Retail POS pour vous aider à vous conformer au RGPD
Assistance aux utilisateurs et aux clients pour les demandes de suppression
Nous nous assurons que supprimer signifie supprimer, en vous aidant à honorer les demandes liées au « droit à l’oubli » des utilisateurs et des clients. Cela permet de garantir la suppression complète, sur demande, des données personnelles relatives à l’identifiant d’un utilisateur ou d’un client sur Retail POS. Pour tout contenu (c’est-à-dire les ventes, les rapports, etc.) précédemment associé à l’identifiant d’un utilisateur supprimé, « Utilisateur anonyme » ou « Client anonyme » s’affichera à la place.
Suppression automatique
Pour vous aider à vous conformer aux demandes liées au « droit d’opposition » ou au « droit à la limitation du traitement », tout identifiant d’utilisateur associé à une action de suppression sera automatiquement placé sur une liste de suppression. Pour tout identifiant d’utilisateur sur la liste de suppression, nous bloquerons toutes les données personnelles entrantes relatives à cet identifiant d’utilisateur pour qu’elles ne soient pas suivies par Retail POS et envoyées aux intégrations.
Outils d’exportation de données
Pour honorer le « droit d’accès » (les personnes ont le droit d’accéder à leurs données) et le « droit à la portabilité des données » (les personnes sont en mesure d’obtenir et de réutiliser leurs données personnelles) dont les résidents de l’UE peuvent désormais bénéficier en vertu du nouveau RGPD, Retail POS vous permet d’exporter des listes de clients et les grands livres des ventes au format CSV. Consultez notre Centre d’assistance pour connaître les options d’exportation disponibles dans Retail POS. Vous pouvez également configurer un jeton personnel qui interagit avec l’API complète de Retail POS pour récupérer les données personnelles associées à une personne concernée prenant en charge les droits d’accès et de portabilité.
Possibilité de rectifier les données des utilisateurs ou des clients
En vertu du RGPD, chaque personne dispose d’un « droit de rectification », ce qui signifie qu’elle a le droit de corriger toute donnée personnelle qu’elle juge inexacte ou incomplète. Retail POS vous permet de rectifier toutes les données associées aux personnes concernées. Vous pouvez le faire à l’intérieur de l’application sous les éléments de navigation « Utilisateurs » et « Clients », respectivement.
Consentement du client à recevoir du contenu marketing
Dans Retail POS, il est possible d’obtenir le consentement du client à la réception de contenu marketing ou promotionnel de votre part. Avant d’ajouter un client à votre base de données, il existe un bouton à bascule qui vous permet d’activer ou désactiver les communications marketing, en fonction des préférences indiquées par le client. En outre, lorsque vous ajoutez un client à votre programme de fidélité, ce dernier doit cocher une case lorsqu’il reçoit l’e-mail d’inscription au programme de fidélité, afin de recueillir son consentement.
Réduction du risque de destruction des données
En vertu du droit à la restauration d’une personne concernée et pour réduire le risque de destruction accidentelle ou malveillante des données, il est maintenant possible de désactiver temporairement les utilisateurs, plutôt que de les supprimer définitivement dans Retail POS. Les utilisateurs ne peuvent pas ouvrir de session dans Retail POS tant que leur compte est désactivé. Lorsque leur compte est réactivé, ils peuvent se connecter avec les renseignements d’origine de leur compte et commencer à vendre normalement.
Sécurité augmentée grâce à l’authentification multifacteur
L’authentification multifacteur renforce la sécurité des comptes de vos utilisateurs administrateurs dans Retail POS. Utiliser l’authentification multifacteur permet de réduire le risque lié aux accès non autorisés aux données. Pour plus d’informations sur l’authentification multifacteur dans Retail POS, consultez notre guide Authentification multifacteur (AMF) dans Retail POS (X-Series).
Aperçu du RGPD
Qu’est-ce que le RGPD ?
Le RGPD est essentiellement un ensemble de règles conçues pour donner aux citoyens plus de contrôle sur leurs données. Il vise à simplifier l’environnement réglementaire des entreprises, afin que les citoyens comme les entreprises puissent pleinement profiter de l’économie numérique.
À qui s’applique le RGPD ?
L’application « extraterritoriale » du RGPD concerne toutes les organisations qui traitent les données personnelles des résidents de l’UE ou qui surveillent les comportements que ces individus ont au sein de l’UE, où que soit située l’entité.
Le « données personnelles » sont définies au sens large et désignent toute information concernant une personne physique identifiée ou identifiable (« personne concernée »). Les données personnelles peuvent être un nom, une adresse, des coordonnées bancaires, une adresse e-mail, des publications sur les réseaux sociaux, ou même une adresse IP ou un identifiant de cookie.
Les données personnelles sensibles, telles que les renseignements sur la santé ou les renseignements qui révèlent l’origine raciale ou ethnique d’une personne, nécessitent une protection encore plus grande. Vous ne devriez pas stocker de données de cette nature dans votre compte Retail POS.
Que vous pensiez ou non que votre entreprise soit touchée par le RGPD, le RGPD et ses principes sous-jacents peuvent néanmoins être importants pour vous. Le droit européen tend à donner le ton en matière de réglementation internationale sur la protection de la vie privée, et être plus sensible à la protection de la vie privée dès aujourd’hui peut accroître votre avantage concurrentiel à l’avenir.
Responsable contre sous-traitant
Le RGPD définit des exigences différentes pour les responsables (entités qui déterminent les objectifs et les moyens du traitement des données personnelles) et les sous-traitants (entités qui traitent les données personnelles selon les instructions d’un responsable).
Les responsables du traitement conservent la principale responsabilité de la protection des données (y compris, par exemple, l’obligation de signaler les violations de données aux autorités chargées de la protection des données), même si le RGPD impose également certaines responsabilités directes au sous-traitant des données. Il est donc important de déterminer si vous agissez en tant que responsable du traitement ou en tant que sous-traitant et, à ce titre, de comprendre vos obligations.
Dans la plupart des cas, dans le contexte des services Lightspeed, nos clients agissent à titre de responsable. Nos clients, par exemple, décident des informations qui sont chargées sur leur compte Retail POS. Lightspeed agit en tant que sous-traitant en fournissant des services à nos clients qui utilisent Retail POS.
Protection des données dès la conception et par défaut
En vertu de l’exigence de « respect de la vie privée dès la conception » du RGPD, vous devrez concevoir des politiques, procédures et systèmes conformes dès le début du développement du produit. Le principe du « respect de la vie privée par défaut » exige que, par défaut, seules les données personnelles nécessaires à une finalité spécifique soient traitées.
Licéité du traitement
Vous devez vous assurer que tout traitement de données est fondé sur un fondement légal. Il s’agit notamment du consentement, de l’exécution d’un contrat, d’une obligation légale, de la protection des intérêts vitaux, des tâches effectuées dans l’intérêt public ou de l’intérêt légitime, mis en balance avec les droits fondamentaux des personnes concernées.
Consentement du client
En vertu du RGPD, vous pourriez être dans l’obligation d’obtenir un consentement pour traiter les données personnelles de vos clients ou modifier la façon dont vous obtenez actuellement ce consentement. En particulier, le RGPD stipule que le consentement doit être donné « de façon libre, spécifique, éclairée et univoque ». Vous devez revoir les mécanismes de consentement existants, pour vous assurer qu’ils présentent un choix véritable et granulaire.
Enfants
Le RGPD comprend des exigences spécifiques en matière de consentement parental lors du traitement des données personnelles des utilisateurs de moins de 16 ans (ou plus jeunes, selon le pays). Vous devez déterminer si le consentement parental est requis et si vous devez modifier la façon dont vous traitez les données des clients pour obtenir le consentement des parents ou cesser de traiter les données des clients de moins de 16 ans.
Notification des violations de données personnelles
Les violations de données doivent être notifiées à l’autorité de surveillance compétente dès que possible, et en tout état de cause dans les 72 heures suivant l’identification de la violation. Le RGPD stipule que les violations peu susceptibles d’entraîner de risques pour les personnes ne doivent pas être signalées.
Délégué à la protection des données
Les sous-traitants qui traitent un volume important de données, ou qui traitent des données « sensibles », peuvent être tenus de désigner un délégué à la protection des données (DPD). Les DPD seront chargés de surveiller les activités de traitement des données de l’entreprise et d’assurer la conformité avec le RGPD. Il est prévu que certaines entreprises désignent volontairement un DPD pour aider à démontrer l’adoption de procédures de meilleures pratiques et renforcer toute défense face à une enquête réglementaire.
Droits renforcés pour les personnes concernées
Les citoyens de l’UE disposent de plusieurs droits importants en vertu du RGPD, notamment le droit à l’oubli, le droit d’opposition, le droit de rectification, le droit d’accès et le droit de portabilité.
Pénalités
La non-conformité au RGPD peut entraîner des sanctions financières très élevées. Les organisations qui enfreignent le RGPD peuvent se voir infliger une amende allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (le montant le plus élevé étant retenu).
Sécurité
Les commerçants doivent prendre des mesures pour protéger leur entreprise contre les pirates et les fraudeurs. Cliquez ici pour connaître les mesures que vous pouvez mettre en œuvre immédiatement dans votre entreprise (page en anglais).
Pour en savoir plus sur la manière dont Lightspeed remplit ses obligations relatives à la protection des données dans le cadre du RGPD, consultez le centre de confiance.