Chez Lucca, nous n’avons pas attendu le RGPD pour assurer la confidentialité et la sécurité de vos données. Ce règlement renforce néanmoins certaines de nos obligations. Nous avons donc entrepris les démarches nécessaires à notre mise en conformité. Vous en trouverez le détail ci-après.
Les solutions Lucca gèrent des informations (congés, notes de frais, fiches de paie, dossier du personnel…) qui sont des « données à caractère personnel » telles que définies par le Règlement Général de Protection des Données (RGPD) en vigueur depuis le 25 mai 2018.
En conséquence, si vous êtes un de nos clients, vous êtes assujetti aux dispositions du RGPD à deux titres :
Par ailleurs, nous gérons des informations personnelles pour communiquer, notamment par email, avec les administrateurs de nos solutions ainsi qu’avec nos prospects. A ce titre nous sommes responsable du traitement.
Le RGPD est un document dense et complexe dont les dispositions laissent parfois place à l’interprétation ou peuvent paraître abstraites. Il est néanmoins important de connaître ces 4 définitions pour mieux le comprendre.
Toute information se rapportant à une personne physique identifiée ou identifiable. L’expression abrégée « données personnelles » se rencontre fréquemment.
Dans Lucca, les fiches des collaborateurs, une demande d’absence, une évaluation sont donc des données à caractère personnel, comme la quasi-totalité des informations que vous gérez dans nos solutions.
Il s’agit de toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, tels que la collecte, l’enregistrement, la conservation, la modification, l’accès, la suppression etc.
Lucca réalise plusieurs traitements sur les données à caractère personnel pour le compte des clients. Par exemple, pendant toute la durée du contrat avec ses clients, Lucca conserve les données personnelles des collaborateurs et les supprime dans les 30 jours suivants la fin du contrat.
Toute personne morale ou physique qui détermine les finalités et les moyens d’un traitement de données personnelles. Le responsable du traitement est responsable du respect du RGPD au sein de son organisation, et notamment du respect des droits des collaborateurs (droit d’accès, droit à l’effacement, etc.).
Tous les clients de nos solutions ont donc la qualité de responsable du traitement.
Personne morale ou physique qui traite des données personnelles pour le compte du responsable du traitement.
Lucca a le statut de sous-traitant vis-à-vis de l’ensemble de ses clients.
Si vous êtes un client Lucca, alors nous sommes votre sous-traitant. A ce titre, nous nous engageons à respecter nos obligations telles que définies à l’article 28 du RGPD. En conséquence, nous avons notamment nommé un Data Protection Officer (DPO) que vous pouvez contacter via rgpd@lucca.fr.
En tant que sous-traitant, nous prenons également les engagements suivants :
Ne traiter les données personnelles de vos collaborateurs que dans le cadre de la réalisation et l’exécution des services en ligne Lucca auxquels vous avez souscrit. Jamais nous ne vendrons, ni n’utiliserons les données de vos collaborateurs à des fins marketing.
Notre service en ligne inclut l’envoi de courriers électroniques adressés exclusivement aux administrateurs de nos solutions de nos clients et destinés à les informer des nouveautés et évolutions des produits Lucca. Nous sommes à ce titre responsable du traitement de ces données (voir ici).
Ne pas transférer vos données en dehors de l’UE, à moins que vous optez pour un hébergement des données en Suisse.
Nous faisons appel à quatre sous-traitants pour l’hébergement de nos applications et, donc,l’hébergement des données personnelles des collaborateurs :
Pour les clients domiciliés en Suisse :
Vous informer des changements des sous-traitants que nous utilisons pour traiter certaines de vos données personnelles, et nous assurer que ces sous-traitants soient respectueux du RGPD.
Réserver l’accès à vos données personnelles aux seuls collaborateurs de Lucca dûment habilités, notamment pour vous assister dans le cadre de fonctions de support.
Vous garantir un haut niveau de sécurité et de protection de vos données.
Sensibiliser nos collaborateurs au caractère confidentiel des données personnelles, aux enjeux de la sécurité des données et à la réglementation applicable à la protection de ces données.
Vous notifier les violations de données dans les 48 heures après en avoir eu connaissance.
Questions
J’ai souscrit aux services Lucca avant le 25 mai 2018. Ma société doit-elle conclure un nouveau contrat avec Lucca ?
Non, cela n’est pas nécessaire. Le RGPD s’applique aux relations avec nos clients indépendamment de la conclusion de clauses spécifiques en ce sens. Vous pouvez toutefois contacter notre DPO (rgpd@lucca.fr) dans le cas où vous souhaiteriez signer un Data Processing Agreement (DPA) afin d’encadrer les traitements réalisés par Lucca. Par ailleurs, nos conditions générales de vente ont été modifiées pour que nos contrats incluent désormais l’ensemble des dispositions du RGPD relatives aux responsabilités du sous-traitant vis-à-vis du responsable du traitement. Pour les clients ayant signé un contrat avant le 25 mai 2018, dans le cas où de telles modifications ne vous conviendraient pas, vous avez la possibilité de résilier votre abonnement, sans frais avec un préavis de 30 jours. A défaut de résiliation avant le 31 août 2018, vous serez réputés les avoir acceptées en l’état.
Quelles mesures ont été mises en place par Lucca en termes de sécurité et de confidentialité des données ?
Lucca a mis en oeuvre des mesures de sécurité afin d’assurer l’intégrité et la confidentialité des données personnelles qui lui sont confiées. A ce titre, Lucca a obtenu en juillet 2022 la certification ISO 27001, laquelle traduit notre engagement sur la sécurité de l’information.
En particulier :
Enfin, nous évaluons régulièrement les risques et adaptons, de façon appropriée, le niveau de notre sécurité.
Vous gérez, par l’intermédiaire de nos solutions, les données personnelles de vos collaborateurs.
En conséquence, vos collaborateurs ont des droits sur ces données. Il est de votre responsabilité de leur permettre de les exercer. Les solutions Lucca vous aident à vous acquitter de cette obligation.
La personne concernée a le droit d'obtenir du responsable du traitement l'accès a ses données à caractère personnel.
Selon le paramétrage de la solution, les collaborateurs ont accès aux informations qui les concernent (ou peuvent en demander l’accès auprès de leur administrateur). Vous seul, en tant que responsable de traitement, devez ou non donner cette possibilité à vos collaborateurs.
La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes.
La solution Poplee Socle RH de par sa nature (employee self service) permet aux collaborateurs de modifier eux mêmes tout ou partie des données personnelles les concernant.
La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant.
Nous mettons à la disposition de nos clients un module dédié à la gestion du droit à l’oubli. Réservé aux administrateurs de nos solutions, il leur permet de supprimer des données personnelles, notamment pour des collaborateurs partis.
Pour en savoir plus sur ce moduleQuestions
Dois-je recueillir le consentement des collaborateurs préalablement à l’utilisation des solutions Lucca ? *
Compte tenu du caractère inégal de la relation employeur/employé, il est rare que les employés puissent donner librement leur consentement, à moins que l’acceptation ou leur refus n’ait aucune incidence négative sur leur situation d’employé.
Le consentement n’est qu’une des 6 bases légales prévues par l’article 6 du RGPD pour garantir la licéité du traitement de données personnelles. Ainsi, en fonction des finalités que vous avez préalablement déterminées pour votre traitement, il vous revient de déterminer la base légale qui sera adaptée.
Nous pouvons être amenés à collecter et à traiter des données personnelles à des fins de gestion de nos clients, fournisseurs et prospects, mais également pour les besoins de l’exécution de nos contrats avec nos clients.
En particulier, nous utilisons certaines données personnelles des administrateurs de nos solutions (nom, prénom, mail professionnel, rôle) pour communiquer avec eux et leur fournir des services de maintenance et d’assistance fonctionnelle, ainsi que des informations sur les évolutions et les actualités de nos solutions.
Nous avons prévu la possibilité pour les administrateurs de désactiver la réception de ces informations, mais ils risquent dans un tel cas de ne pas être pleinement informés de toutes les fonctions et/ou évolutions des solutions Lucca.
En aucun cas, ces réponses ne sauraient constituer des conseils juridiques. Nous vous invitons donc à consulter votre conseil sur ces sujets.