Les solutions Lucca gèrent des informations (congés, notes de frais, fiches de paie, dossier du personnel…) qui sont des « données à caractère personnel » telles que définies par le Règlement Général de Protection des Données (RGPD) en vigueur depuis le 25 mai 2018.

En conséquence , si vous êtes un de nos clients, vous êtes assujetti aux dispositions du RGPD à deux titres :

BtoB

Votre relation avec nous, car nous agissons comme votre sous‑traitant (article 28 du RGPD)

BtoC

Vos relations avec vos collaborateurs, car vous êtes le responsable du traitement de leurs données personnelles par l’intermédiaire de nos solutions

Par ailleurs, nous gérons des informations personnelles pour communiquer, notamment par email, avec les administrateurs de nos solutions ainsi qu’avec nos prospects. A ce titre nous sommes responsable du traitement.

Définitions des principaux concepts

Le RGPD est un document dense et complexe dont les prescriptions laissent parfois place à l’interprétation ou peuvent paraître abstraites. Il est néanmoins important de connaître ces 4 définitions pour mieux le comprendre.

Données à caractère personnel

Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable(…). L’expression abrégée « données personnelles » se rencontre fréquemment.

Dans Lucca, un mail, une demande d’absence, une évaluation sont donc des données à caractère personnel, comme la quasi-totalité des informations que vous gérez dans nos solutions.

Catégories particulières de données à caractère personnel

Catégories particulières de données à caractère personnel : Les données personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion, l’appartenance syndicale, l’orientation sexuelle ainsi que les données génétiques et biométriques sont considérées comme « sensibles » par le RGPD et leur traitement est interdit sauf certaines exceptions dont notamment le traitement avec le consentement explicite des personnes concernées.

Par défaut, ces données ne sont pas traitées dans les solutions Lucca. Il est néanmoins possible de le faire sous réserve que vous ayez le droit de traiter ces données et d’en sous-traiter le traitement et que vous nous en informiez préalablement par écrit. Veuillez noter cependant que Lucca ne dispose pas de la certification « hébergeur de données de santé » et qu’en conséquence vous ne devez pas traiter ce type de données dans Lucca.

Responsable du traitement

Responsable du traitement : Toute personne morale ou physique qui détermine les finalités et les moyens d’un traitement de données personnelles. Le responsable du traitement est responsable du respect du RGPD au sein de son organisation, et notamment du respect des droits des collaborateurs (droit d’accès, droit à l’effacement, etc.).

Tous les clients des nos solutions ont donc la qualité de responsable du traitement.

Sous-traitant

Sous-traitant : Personne morale ou physique qui traite des données personnelles pour le compte du responsable du traitement.

Lucca a le statut de sous-traitant vis-à-vis de l’ensemble de ses clients.

1. Les engagements Lucca en tant que sous-traitant

Si vous êtes un client Lucca, alors nous sommes votre sous-traitant. A ce titre, nous nous engageons à respecter nos obligations telles que définies à l’article 28 du RGPD. En conséquence, nous nous sommes mis en conformité avec les prescriptions du RGPD en nommant notamment un Data protection officer (DPO) que vous pouvez contacter sur rgpd@lucca.fr.

Nous prenons également les engagements suivants :

  • Ne traiter les données personnelles de vos collaborateurs que dans le cadre de la réalisation et l’exécution des services en ligne Lucca auxquels vous avez souscrit. Jamais nous ne vendrons, ni n’utiliserons les données de vos collaborateurs à des fins marketing.
  • Mailing d’information pour les administrateurs

    Notre service en ligne inclut l’envoi de courriers électroniques adressés exclusivement aux administrateurs de nos solutions chez nos clients et destinés à les informer des nouveautés et évolutions des produits Lucca. Nous sommes à ce titre responsable du traitement de ces données (voir ici).

  • Réserver l’accès à vos données personnelles aux seuls collaborateurs de Lucca dûment habilités à vous assister dans le cadre de fonctions de support.
  • Sensibiliser nos collaborateurs au caractère confidentiel des données personnelles et les former, le cas échéant, à la réglementation applicable à la protection de ces données.
  • Ne pas transférer vos données en dehors de l’UE, sauf si vous optez pour l’hébergement dédié à nos clients suisses.
  • Vous informer de tout changement des sous-traitants que nous utilisons pour stocker ou pour traiter certaines de vos données personnelles, et nous assurer que ces sous-traitants sont conformes.
  • Sous-traitants

    Nous faisons appel à trois sous-traitants pour l’hébergement de nos applications et, donc, le traitement de vos données personnelles :

    • la société OVH sur des serveurs localisés en France,
    • la société Microsoft sur des serveurs localisés aux Pays-Bas, utilisé uniquement pour les sauvegardes chiffrées,
    • la société green.ch AGV sur des serveurs suisses, ce service étant dédié à nos clients localisés en Suisse.

    Nous utilisons par ailleurs les services de la société Datadog/Logmatic dont les serveurs sont localisés en France pour monitorer les performances de notre plateforme.

  • Vous garantir un haut niveau de sécurité et de protection de vos données.
  • Vous notifier dans les 24 heures en cas de violation de données.

2. Vos obligations en tant que responsable de traitement

Vous gérez, par l’intermédiaire de nos solutions, les données personnelles de vos collaborateurs.

En conséquence, vos collaborateurs ont des droits sur ces données. Il est de votre responsabilité de leur permettre de les exercer. Les solutions Lucca vous aident à vous acquitter de cette obligation.

Droit d’accès

Droit d’accès (article 15 du RGPD) : La personne concernée a le droit d'obtenir du responsable du traitement… l'accès auxdites données à caractère personnel.

Selon le paramétrage de la solution, les collaborateurs ont accès aux informations qui les concernent (ou peuvent en demander l’accès). Vous seul, en tant que responsable de traitement, devez ou non donner cette possibilité à vos collaborateurs.

Droit de rectification

Droit de rectification (article 16 du RGPD) : La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes…

La solution Poplee de par sa nature (employee self service) permet aux collaborateurs de modifier eux mêmes tout ou partie des données personnelles les concernant.

Droit à l'oubli

Droit à l’oubli (article 17 du RGPD) : La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant…

Nous mettons à la disposition de nos clients un module dédié à la gestion du droit à l’oubli. Réservé aux administrateurs de nos solutions, il leur permet de supprimer en masse des données personnelles, notamment pour des collaborateurs partis, ou bien, le cas échéant, de les pseudonymiser. La pseudonymisation consiste à modifier les données d’identification (nom, prénom) de manière à ce qu’on ne puisse plus les rattacher à une personne physique.
Pour en savoir plus sur ce module

3. Les engagements Lucca en tant que responsable du traitement

Nous pouvons être amenés à collecter et à traiter des données personnelles à des fins de gestion de nos clients, fournisseurs et prospects, mais également pour l’application de nos contrats avec nos clients.

En particulier, nous utilisons certaines données personnelles des administrateurs de nos solutions (nom, mail professionnel, rôle) pour communiquer avec eux et leur fournir des services de maintenance et d’assistance fonctionnelle, ainsi que des informations sur les évolutions et les actualités de nos solutions.

Nous avons prévu la possibilité pour les administrateurs de désactiver la réception de ces informations, mais ils risquent dans un tel cas de ne pas être pleinement informés de toutes les fonctions de la solution Lucca.

Nos engagements

  • Limiter la collecte des données à celles strictement utiles.
  • Ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles ont été collectées.
  • Donner aux administrateurs de nos solutions des droits d’accès, de rectification ou d’effacement de leurs données personnelles.
  • Mettre en oeuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.