Contexte
Le Règlement n°206/679, dit règlement général sur la protection des données (RGPD) s’applique à toute organisation basée ou non en Union Européenne (UE), traitant des données des personnes physiques résidant en UE.
L’objectif de Lyra, à travers ce document, est d’informer ses clients de leurs nouvelles obligations dans le cadre de la mise en œuvre du RGPD et de présenter en quoi Lyra, prestataire sous-traitant, répond à ses obligations tout en respectant les réglementations spécifiques à son métier de prestataire de service de paiement.
Quelles sont nos responsabilités ?
Lyra est responsable des données à caractère personnel qu’elle gère. La règlementation impose une preuve de bonne gestion et de protection des données.
A ce titre, Lyra a nommé un DPO en charge du suivi et de la gestion des données et interlocuteur unique de ses clients. Le DPO a été déclaré auprès de la CNIL. (N° DPO-1797)
Lyra, en tant que prestataire de paiement, joue un rôle de Sous-Traitant, au sens du RGPD. Cette sous traitance est exercée dans le cadre d’une relation contractuelle avec ses clients qui sont, quant à eux, responsables de traitement au sens du RGPD.
Désormais les CGS entre Lyra et ses clients incluent des clauses spécifiques dédiées au traitement et à la protection des données personnelles.
Quelles sont nos mesures de sécurité ?
Lyra Network est certifié PCI DSS Level-1 V3.2 et met en œuvre notamment les actions de sécurité suivantes:
- politique de sécurité du Système d’Information ;
- bâtiments surveillés et protégés par contrôle d’accès ;
- serveurs sécurisés et données sauvegardées ;
- système d’information audité régulièrement ;
- centres d’hébergement hautement sécurisés ;
- firewalls hautement sécurisés ;
- redondance de sauvegarde ;
- serveurs haute disponibilité ;
- chiffrement des données transférées ;
- protection par authentification ;
- droits d’accès aux données limités ;
- procédures de sauvegarde des bases de données.
Quelles données personnelles traitons-nous ?
Nous collectons et utilisons uniquement les données personnelles qui nous sont nécessaires dans le cadre de notre activité pour vous proposer des produits et services.
Nous pouvons être amenés à collecter différentes catégories de données personnelles auprès de vous, notamment :
- informations relatives à votre identité et celle du représentant légal et nécessaires pour vous contacter (nom, prénom, adresse mail professionnelle, numéro de téléphone professionnel, ou signature dans le cadre contractuel) ;
- données d’identification et d’authentification notamment lors de l’utilisation de votre back office (logs techniques, traces informatiques, informations sur la sécurité) ;
- données relatives aux transactions, nécessaires à la fourniture du service et à l’analyse technique de ces opérations (Nom, prénom, email, N° de carte chiffré, date d’expiration carte, panier, montant, adresse ip).
Les données personnelles que nous utilisons peuvent être collectées directement auprès de vous ou obtenues des sources suivantes, dans le but de vérifier ou d’enrichir nos bases de données :
- publications/ bases de données rendues accessibles par les autorités officielles ;
- nos partenaires ou fournisseurs de services ;
- tiers tels que les organismes de renseignements commerciaux, de lutte contre la fraude, en conformité avec la réglementation en matière de protection des données.
Quelles sont les finalités de traitement des données personnelles que nous collectons ?
Nous utilisons vos données personnelles pour :
- exécuter le contrat et fournir l’ensemble des services auxquels vous avez souscrit ;
- vous assister dans le cadre du suivi de votre contrat ;
- nous acquitter de différentes obligations légales et réglementaires, (les réponses aux demandes officielles d’autorités publiques ou judiciaires dûment autorisées) ;
- permettre la mise en œuvre de nos intérêts légitimes dont
- optimiser notre gestion du risque ;
- défendre nos intérêts en justice, (preuve de transactions ou d’opérations) ;
- gestion informatique et continuité des activités y compris la sécurité des personnes ;
- prévention de la fraude ;
- recouvrement / contentieux ;
- personnalisation des offres commerciales du Groupe Lyra ;
- prospection commerciale.
Qui sont les destinataires des données collectées ?
Vos données personnelles pourront être partagées au sein du Groupe Lyra auquel nous appartenons et en vue des mêmes finalités que celles évoquées ci-dessus.
Elles peuvent faire l’objet de communication vers des partenaires du Groupe uniquement dans le cadre des finalités liées à l’exécution et la réalisation du contrat. Nous nous assurons aux préalables que ces partenaires sont conformes à la réglementation.
Lorsque nous faisons appel à un fournisseur, un prestataire ou un agent tiers, vos données restent sous notre contrôle et des moyens de vérification sont mis en place afin de garantir la protection adéquate de vos informations personnelles.
Elles pourront également être partagées à des autorités administratives et judiciaires légalement habilitées ainsi que des professions réglementées telles que des commissaires aux comptes.
Quelles données archivons-nous et combien de temps ?
Nous prenons toutes les mesures nécessaires afin d’assurer la sécurité et la confidentialité de vos données personnelles en vue d’empêcher leur perte, leur altération destruction ou utilisation par des tiers non autorisés.
Nous n’archivons que les données essentielles nécessaires à l’exécution de nos obligations ou pour répondre à nos obligations légales ou réglementaires.
Nous conservons par exemple les données personnelles liées au paiement par cartes bancaires 15 mois.
S’agissant des clients, la majorité des informations sont conservées pendant la durée de la relation contractuelle et pendant 10 ans après la fin de la relation contractuelle.
Notification de violation des données
Lyra Network notifiera à ses clients toute violation de Donnée Personnelle dans le délai réglementaire, après en avoir pris connaissance. Cette notification sera accompagnée de toute documentation utile afin de permettre au Commerçant, responsable de traitement de notifier cette violation à l’autorité compétente.
Quels sont vos droits ?
Dans la limite de la réglementation et de nos obligations légales et lorsque ce droit est applicable, le RGPD vous permet de disposer d’un droit d’accès, de rectification, d’opposition, de limitation, d’effacement et de portabilité de vos données personnelle.
Ces droits concernent exclusivement les données personnelles de nos clients et non celles des utilisateurs finaux (acheteurs).
Contact RGPD LYRA
Pour toute question relative à cette réglementation, vous pouvez contacter notre DPO par mail [email protected] ou par courrier adressé à Lyra Network, Délégué à la Protection des données 109 rue de l’Innovation 31670 Labège. Vous pouvez également réaliser une requête sur la page dédiée.
Comment introduire une réclamation ?
Conformément à la réglementation applicable, vous pouvez réaliser une réclamation auprès de la CNIL (Commission nationale de l’informatique et des libertés) en France.