Confiance Lightspeed
Lightspeed Systems® est votre partenaire de confiance
Sûr et sécurisé
La sécurité de l'information et la protection des données font partie intégrante de nos valeurs fondamentales. Nos équipes dédiées à la sécurité et à la conformité s'engagent à garantir la sécurité de vos informations. Lightspeed Systems applique des politiques et procédures strictes pour garantir la disponibilité, l'intégrité et la confidentialité des données clients.
État du service des systèmes Lightspeed
Accord de niveau de service (SLA)
Lightspeed Systems propose des services hébergés, notamment la gestion des appareils mobiles, le filtrage web, l'analyse des applications et la gestion des salles de classe pour les établissements scolaires. Nos services sont disponibles au moins 99,9% du temps, et nos serveurs sont surveillés en permanence pour en garantir les performances et la disponibilité.
Sécurité Lightspeed
Garanties administratives
Vérification des antécédents des employés
Tous les employés de Lightspeed Systems subissent des vérifications des antécédents et signent un accord de non-divulgation avant leur embauche.
Notification de violation de données
Si nous avons connaissance d’une violation de données, nous suivrons notre plan de réponse aux incidents et informerons nos clients sans délai injustifié.
Gestion des incidents
Nous disposons d'un plan de réponse aux incidents écrit qui détaille les processus de détection, de signalement, d'identification, d'analyse et de réponse aux incidents de sécurité affectant les réseaux Lightspeed Systems et les données clients.
Formation de sensibilisation à la confidentialité et à la sécurité des employés
Dès leur embauche et de façon continue, tous les employés sont tenus de suivre une formation sur la confidentialité et la sécurité, qui couvre les pratiques de confidentialité et les principes qui s'appliquent au traitement des informations personnelles par les employés, y compris la nécessité d'imposer des limites à l'utilisation, à l'accès, au partage et à la conservation des informations personnelles.
Nous proposons des formations sur des aspects spécifiques de la sécurité, adaptés à leurs fonctions. Par exemple, l'équipe de développement produit suit une formation sur la protection des données dès la conception et le développement de logiciels sécurisés. Les employés sont également régulièrement exposés à des e-mails d'hameçonnage.
Sélection des fournisseurs et gestion des risques
Lightspeed Systems peut utiliser des sous-traitants pour exécuter des services et n'est autorisé à accéder aux données des clients que dans la mesure nécessaire à l'exécution des services et sera lié par des accords écrits qui les obligent à fournir des niveaux stricts de protection des données requis par Lightspeed et les réglementations applicables. Voici une liste de nos sous-traitants.
Des évaluations préalables et continues des fournisseurs sont effectuées pour garantir que des pratiques appropriées de confidentialité et de sécurité des données sont en place tout au long de la relation avec le fournisseur.
Les modifications apportées aux services fournis par les fournisseurs ou les modifications apportées aux contrats existants nécessitent une évaluation des risques de sécurité pour confirmer que les modifications ne présentent pas de risque supplémentaire ou excessif.
Les documents de politique et de procédure sont conformes aux cadres de confidentialité et de sécurité du NIST
Lightspeed Systems examine ses systèmes par rapport aux contrôles CIS et aux cadres NIST, et tous les risques ou lacunes identifiés sont traités en conséquence.
Nous disposons d’une équipe de gouvernance des données désignée qui organise des réunions périodiques pour garantir l’intégrité des données.
Nous avons mis en œuvre divers documents de politique au sein de l'organisation pour la protection des données, tels que, mais sans s'y limiter : le plan de réponse aux incidents, la politique de sécurité, la politique de correction des vulnérabilités, la politique des normes informatiques et la politique de suppression des données.
Continuité des activités et reprise après sinistre
Lightspeed Systems reconnaît l'importance de maintenir les fonctions critiques de l'entreprise et de protéger les systèmes et les données. Pour assurer la continuité des activités, Lightspeed a élaboré un plan de continuité des activités et de reprise après sinistre à l'échelle de l'entreprise, qui régit le programme de gestion global de toutes les fonctions.
Gestion du changement
Les politiques de gestion des changements sont documentées pour aborder la conception, le développement, l’acquisition, les tests, l’approbation et la mise en œuvre des modifications et des correctifs du système.
Sécurité Lightspeed
Garanties techniques
Audits externes
Lightspeed Systems est heureux d'annoncer la réussite de son audit SOC 2 Type II, réalisé le 22 mars 2024. Un cabinet indépendant a vérifié notre conformité aux normes SOC 2. Lightspeed Systems respecte les critères de l'AICPA relatifs aux services de confiance et a mis en place des politiques et des processus pour garantir la sécurité, la disponibilité, l'intégrité du traitement et la confidentialité des services fournis à ses clients. Les clients peuvent demander une copie de notre rapport SOC 2 Type 2 en envoyant un courriel à [email protected]. Ce rapport leur sera fourni après signature d'un accord de confidentialité.
Notification de violation de données
Si nous apprenons une violation de données confirmée, nous suivrons notre plan de réponse aux incidents et informerons l’école sans délai indu.
Chiffrement au repos
Les données sont chiffrées au repos à l’aide du chiffrement Advanced Encryption Standard (AES).
Cryptage en transit
Les données sont cryptées pendant le transit à l'aide du protocole Transport Layer Security (TLS).
Sauvegarde des données
Nous effectuons des sauvegardes régulières des données et des systèmes. La fréquence des sauvegardes dépend du type de données et peut varier de quelques minutes à une fois par jour.
Correction des vulnérabilités
Lightspeed Systems dispose d'une politique de correction des vulnérabilités pour identifier et corriger les vulnérabilités en fonction du risque qu'elles présentent. Nous utilisons un logiciel de gestion des correctifs pour surveiller les systèmes et garantir leur déploiement.
Suppression des données
Lightspeed Systems a mis en place une politique de suppression des données. Le cas échéant, nos solutions utilisent des règles automatisées pour purger les données conformément à cette politique.
Journalisation et surveillance
Lightspeed Systems a déployé des solutions de journalisation et de surveillance pour identifier et enquêter sur d’éventuels événements de sécurité.
Contrôle d'identité et d'accès
L'accès aux informations personnelles est limité, par le biais d'identifiants de connexion, aux employés qui en ont besoin pour exercer leurs fonctions. De plus, Lightspeed Systems utilise des contrôles d'accès tels que l'authentification multifacteur, l'authentification unique (SSO), le principe du moindre privilège et l'accès selon les besoins, des mots de passe sécurisés et un accès restreint aux comptes administratifs.
Nos solutions permettent aux clients de créer des rôles « Administrateur » qui fournissent uniquement les droits nécessaires pour exécuter les fonctions requises.
Sécurité Lightspeed
Mesures de protection physique
Sécurité au travail
Lightspeed Systems maintient les contrôles suivants conçus pour empêcher l'accès non autorisé à nos bureaux :
- L'accès aux installations est limité aux personnes autorisées à l'aide de clés/porte-clés ou de badges d'accès.
- Les bureaux de Lightspeed disposent de systèmes ou de dispositifs d’extinction et de détection d’incendie ainsi que de sorties de secours et de voies d’évacuation.
Sécurité du centre de données
Tous les centres de données où les données sont traitées et stockées sont situés aux États-Unis et sont certifiés SOC 2, PCI DSS et ISO 27001. Lightspeed a mis en place un processus pour enregistrer, surveiller et gérer les événements et anomalies dans ses systèmes et solutions. Des solutions de sauvegarde et de récupération des données sont également en place.
Principes de conception sécurisée
Lightspeed Systems applique la sécurité dès la conception. Nous utilisons un cycle de développement logiciel sécurisé basé sur Méthodologies OWASP.
Nos systèmes et processus prennent en compte les piliers fondamentaux de la sécurité de l’information : Confidentialité, Intégrité et Disponibilité.
Conformité
Éthique et principes de l'intelligence artificielle (IA) de Lightspeed Systems
Lightspeed Systems sait comment l'intelligence artificielle peut améliorer le monde de la technologie et des affaires. Nous utilisons l'IA de manière responsable, en veillant à ce qu'elle soit éthique, tout en maximisant ses avantages et en servant nos clients. Nous suivons des principes éthiques pour des solutions d'IA qui correspondent à nos valeurs et à nos normes professionnelles, et qui renforcent la confiance de nos clients, de nos collaborateurs, de nos communautés et des autorités de réglementation. Nous sommes fermement engagés à agir dans l'intérêt public, à respecter la confiance du public et à démontrer notre engagement envers l'excellence professionnelle. Pour plus d'informations, veuillez consulter notre Utilisation responsable de l'IA.
Conformité
Loi sur la protection de la vie privée des enfants en ligne (COPPA)
COPPA S'applique à la collecte en ligne d'informations personnelles par des personnes ou entités relevant de la juridiction américaine concernant des enfants de moins de 13 ans. Le consentement parental est requis pour la collecte ou l'utilisation de toute information personnelle des utilisateurs.
- Lightspeed Systems se conforme à la loi COPPA (Children's Online Privacy Protection Act) afin de garantir la sécurité des enfants en ligne. Les comptes étudiants sont fournis uniquement par l'intermédiaire d'un enseignant, d'une école ou d'un organisme éducatif agréé. Les enseignants s'engagent à obtenir l'autorisation parentale avant de créer un compte. Veuillez lire l'avis COPPA de Lightspeed ici.
Nous respectons les directives COPPA suivantes énumérées ci-dessous et acceptons :
- NE PAS recueillir d’informations de contact en ligne sans le consentement d’un parent, d’un éducateur qualifié ou d’un établissement d’enseignement.
- NE PAS collecter d'informations de contact personnelles identifiables hors ligne.
- NE PAS distribuer à des tiers des informations personnelles identifiables sans le consentement préalable des parents.
- NE PAS se laisser séduire par la perspective d’un jeu spécial, d’un prix ou d’une autre activité, ni divulguer plus d’informations que nécessaire pour participer à l’activité.
- NE PAS utiliser ni divulguer les informations des étudiants à des fins de ciblage comportemental des publicités destinées aux étudiants.
- NE PAS créer de profil personnel sur un étudiant, sauf à des fins éducatives/scolaires autorisées.
Conformité
Loi sur les droits à l'éducation et à la vie privée de la famille (FERPA)
Le Loi sur les droits à l'éducation et à la vie privée de la famille (FERPA) Il s'agit d'une loi fédérale qui protège la confidentialité des dossiers scolaires des élèves. Elle s'applique à tous les établissements scolaires bénéficiant de fonds dans le cadre d'un programme du ministère de l'Éducation des États-Unis.
- Bien que la FERPA s'applique aux écoles et non aux entreprises, Lightspeed Systems peut être désigné comme « responsable scolaire » et, à ce titre, nous sommes conformes aux exigences de la FERPA et nous nous engageons à protéger la vie privée des étudiants.
Les informations qui nous sont confiées par les districts scolaires. Ces derniers contrôlent toutes les données des élèves et nous procédons sous leur direction. En vertu de la loi FERPA, les parents et les élèves admissibles ont le droit d'accéder à ces données.
inspecter, examiner et rectifier les dossiers des élèves et Lightspeed se conforme à ces droits lorsque nous recevons une demande écrite vérifiée du district scolaire. - Veuillez noter que Lightspeed Systems n'a aucun contact direct avec les étudiants ou les parents.
Conformité
Loi sur l'éducation de New York 2-D
Loi sur l'éducation § 2-d est entrée en vigueur en avril 2014. L'objectif de la loi était de favoriser la confidentialité et la sécurité des informations personnelles identifiables (IPI) des élèves et de certaines IIP liées aux enseignants et aux directeurs d'école. Lightspeed Systems est conforme à la loi NY ED 2-D et à la Déclaration des droits des parents, ce qui nécessite les éléments suivants :
- Les informations personnelles identifiables (PII) d’un étudiant ne peuvent être vendues ou divulguées à des fins commerciales ;
- Le droit d’inspecter et d’examiner le contenu complet du dossier scolaire de l’étudiant stocké ou conservé par un organisme éducatif ;
- Des mesures de protection associées aux normes et aux meilleures pratiques de l’industrie, y compris, mais sans s’y limiter, le cryptage, les pare-feu et la protection par mot de passe, doivent être en place lorsque les informations personnelles identifiables des étudiants sont stockées ou transférées ;
- Être informé conformément aux lois et réglementations applicables en cas de violation ou de divulgation non autorisée de PII ;
- Les parents ont le droit de faire traiter leurs plaintes concernant d’éventuelles violations des données des élèves ;
- Les employés des agences éducatives qui traitent des informations personnelles identifiables recevront une formation sur les lois, politiques et garanties nationales et fédérales applicables associées aux normes de l'industrie et aux meilleures pratiques qui protègent les informations personnelles identifiables ;
- Les contrats des agences éducatives avec les fournisseurs qui reçoivent des informations personnelles identifiables répondront aux exigences légales et réglementaires en matière de confidentialité et de sécurité des données.
Conformité
Consortium de protection des données des étudiants (SDPC) et Accord national de confidentialité des données (NDPA)
Le SDPC a publié le premier Accord national sur la protection des données (NDPA) pour rationaliser la contractualisation des applications et définir des attentes communes entre les écoles/districts et les fournisseurs du marché.
- Lightspeed travaille avec les districts scolaires de tous les États participants pour garantir que nous avons mis en place des accords de confidentialité sur le traitement des données.
- Les districts scolaires qui souhaitent signer le SDPC et le NDPA avec nous sont encouragés à nous envoyer un e-mail. [email protected].
- Le SDPC est une collaboration unique d'écoles, de districts, d'agences régionales, territoriales et étatiques, de décideurs politiques, d'organisations commerciales et de fournisseurs de marché abordant des solutions concrètes, adaptables et réalisables aux préoccupations croissantes en matière de confidentialité des données.
Conformité
Loi californienne sur la protection de la vie privée des consommateurs (CCPA)
Le Loi californienne sur les droits à la vie privée (CPRA) modifie et développe la loi californienne sur la protection de la vie privée des consommateurs (CCPA). La CPRA est entrée en vigueur le 1er janvier 2023. La CCPA a été modifiée pour protéger les données personnelles des employés californiens (B2E) et des contacts interentreprises (B2B) et exige que toutes les organisations collectant des données sur les résidents californiens appliquent des protections plus étendues, telles que des évaluations des risques pour la vie privée, des politiques de minimisation et de conservation des données. La CPRA concentre désormais les droits sur les données des relations B2B et des employés – de la divulgation transparente des données à une application plus rigoureuse et une meilleure sensibilisation aux risques pour la vie privée liés à la collecte et au traitement des données – et à la comptabilisation de toutes les données liées aux employés, aux entreprises et aux résidents californiens.
Qui est protégé par la loi californienne sur les droits à la vie privée ?
Toute personne qui est un employé résident de Californie et un fournisseur de services/vendeur, un entrepreneur, un consultant, un candidat, un pigiste et un travailleur à distance peut raisonnablement être identifié.
Droits des employés et des données B2B :
- Droit de savoir : Les employés, les sous-traitants et les prestataires de services ont le droit de savoir quelles données sont collectées et gérées, avec le droit d’accéder à des copies de « éléments spécifiques d’informations personnelles ».
- Droit d'accès : Tout comme les consommateurs, les employés pourront soumettre une demande d’accès aux données personnelles (DSAR) à leur employeur pour accéder à leurs informations, à quelques exceptions près.
- Droit d'utilisation et de divulgation : Le droit de demander à une entreprise de limiter ou de cesser l’utilisation et la divulgation d’informations personnelles sensibles.
- Droit de rectification : Le droit de demander à l’entreprise de corriger des informations inexactes.
- Droit de retrait : Le droit de refuser que des informations personnelles soient vendues ou partagées.
- Droit à la clémence : Le droit de ne pas subir de représailles pour avoir exercé un quelconque droit relatif aux données.
Lightspeed Systems a mis en place les procédures suivantes pour garantir la conformité CCPA et CPRA :
- Demandes d'accès aux données des personnes concernées : les personnes concernées peuvent exercer leurs droits en envoyant un e-mail à notre équipe de confidentialité ([email protected])
- Cartographie des données : Cartographie, inventaire et classification de toutes les données
- Minimisation des données : Nous traitons uniquement les données adéquates, pertinentes et limitées à ce qui est nécessaire aux finalités pour lesquelles les données sont utilisées.
- Politiques de conservation des données : Nous avons mis en œuvre des politiques de conservation des données pour tous nos produits et processus. Les données ne sont pas conservées plus longtemps que nécessaire pour mener à bien l'activité de traitement.
- Évaluations des incidences sur la vie privée : Nous effectuons des évaluations des risques de tous nos produits et processus, afin de garantir la confidentialité et la sécurité dès la conception.
Conformité
Règlement général sur la protection des données (RGPD)
RGPD est un règlement qui oblige les entreprises à protéger les données personnelles et la vie privée des citoyens de l'UE pour les transactions effectuées au sein des États membres de l'UE.
Lightspeed Systems s'engage à respecter les exigences du RGPD en matière de protection des données. Nous avons mis en place les processus suivants pour garantir cette conformité :
- Minimisation des données : Nous collectons uniquement les données nécessaires à une finalité spécifique et leur utilisation est limitée à la finalité indiquée.
- Cartographie et classification des donnéesNous conservons un inventaire détaillé des données personnelles, puis les classons. Il s'agit d'un processus continu que nous améliorons constamment.
- Article 30 Rapport : Nous conservons des registres des activités de traitement sous notre responsabilité, conformément aux exigences du RGPD.
- Conservation des données:Nous conservons les données uniquement pendant la durée nécessaire à la réalisation de l'objectif déclaré et au respect de nos obligations contractuelles.
- Anonymisation et pseudonymisation des données.
- Évaluations de l'impact sur la vie privée et évaluations de l'impact sur la protection des données de nos processus et des nouvelles fonctionnalités de nos produits.
- Transferts de données transfrontaliersNous disposons d'un accord de protection des données (APD) intégré aux clauses contractuelles types de l'UE et à l'accord de transfert international de données du Royaume-Uni, approuvé par la Commission européenne et le Bureau du Commissaire à l'information du Royaume-Uni, afin de protéger le transfert de données personnelles hors de l'UE et du Royaume-Uni. Veuillez nous contacter. [email protected]pour exécuter le DPA avec nous.
Conformité
Loi de Singapour sur la protection des données personnelles de 2012
Le Loi de Singapour sur la protection des données personnelles (PDPA) de 2012 établit un niveau fondamental de protection des données personnelles à Singapour, accordant aux « individus » (tels que spécifiés par la législation) un contrôle accru sur la manière dont leurs données personnelles sont collectées, utilisées et divulguées par les organisations.
Obligations en matière de protection des données en vertu de la loi PDPA de Singapour
Lightspeed Systems s'engage à respecter les obligations stipulées comme suit :
- Responsabilité:Nous avons développé des politiques de protection des données et encourageons une culture de responsabilité par le biais de formations régulières.
- Notification: Nous informons les utilisateurs des finalités prévues pour la collecte, l'utilisation ou la divulgation de leurs données personnelles comme détaillé dans notre politique de confidentialité.
- Consentement: Nous nous appuyons sur le consentement des établissements d'enseignement (clients) que nous servons avant de collecter, d'utiliser ou de divulguer des données personnelles. Les données sont utilisées aux fins pour lesquelles le consentement a été accordé, et les clients ont la possibilité de retirer leur consentement à tout moment.
- Limitation de l'objectif : Nous recueillons, utilisons ou divulguons des renseignements personnels aux fins qui ont été communiquées à nos clients.
- Exactitude des données : Nous garantissons que les informations personnelles sont exactes et complètes.
- Protection des données : Nous avons mis en œuvre les mesures de sécurité requises pour protéger les données personnelles contre tout accès, collecte, utilisation et divulgation non autorisés.
- Conservation des données : Les données sont conservées aussi longtemps que nécessaire pour mener à bien l’activité de traitement.
- Limitation du transfert de données : Les transferts de données transfrontaliers sont effectués vers des pays dotés de lois sur la protection des données avec des normes similaires à celles décrites dans le PDPA (sauf exemption par le PDPC).
- Droits des personnes concernées : Les personnes ont le droit de demander l'accès, la rectification et la suppression de leurs informations personnelles sur simple demande. De plus, elles ont le droit à la portabilité des données et à la possibilité de refuser la collecte, l'utilisation ou la divulgation de leurs données.
- Notification de violation de données : En cas de violation de données, Lightspeed Systems informera ses clients sans délai injustifié.
Conformité
Loi australienne sur la protection de la vie privée (1988)
Le Loi australienne sur la protection de la vie privée de 1988 réglemente le traitement des informations personnelles en Australie. Cette législation sert de base aux politiques de collecte et de gestion des données dans tout le pays. La loi décrit 13 Principes de confidentialité australiens (APP) pour gérer l'utilisation informations personnelles et sensibles
À qui s’applique la Loi sur la protection des renseignements personnels?
La loi sur la protection de la vie privée s'applique aux agences et organisations du gouvernement australien dont le chiffre d'affaires annuel dépasse 3 millions de dollars australiens et qui traitent les informations personnelles des résidents australiens.
Principes fondamentaux de la loi australienne sur la protection de la vie privée (1988)
Lightspeed Systems s'engage à respecter les exigences de protection des données décrites dans les principes de confidentialité australiens comme suit :
- Gestion ouverte et transparente des informations personnelles – Nous sommes transparents sur la façon dont nous gérons les informations personnelles. Notre politique de confidentialité détaille comment nous collectons, utilisons, divulguons, transférons et stockons les informations
- Anonymat et pseudonymat – Lightspeed Systems utilise l’anonymisation et la pseudonymisation pour protéger l’identité des individus dans la mesure du possible, sauf dans les circonstances qui nécessitent une identité personnelle pour traiter les données.
- Collecte de renseignements personnels sollicités – Nous pratiquons la minimisation des données et la limitation des finalités, et ne collectons que les données nécessaires à la réalisation du service demandé et à la finalité principale. Si nous devions utiliser les données à une fin secondaire, nous en informerions nos clients et obtiendrions leur consentement.
- Traitement des informations personnelles non sollicitées – Nous bloquons automatiquement les informations non sollicitées. Concernant les cookies sur nos sites web, nous avons configuré notre bannière de cookies avec une option d'acceptation par défaut pour tous les cookies, à l'exception des cookies strictement nécessaires.
- Notification de la collecte de renseignements personnels Les établissements d'enseignement sont informés des données collectées sur les étudiants et le personnel. Ceci est détaillé dans les accords de traitement des données que nous concluons avec nos clients. Nous tenons également à jour un calendrier de traitement des données pour chacun de nos produits, détaillant les données collectées et les finalités de leur collecte.
- Utilisation ou divulgation de renseignements personnels – Nous utilisons les données personnelles pertinentes à la finalité initiale de leur collecte. Veuillez consulter la section « Tiers : Comment nous pouvons partager vos données » de notre politique de confidentialité. politique de confidentialité pour obtenir plus de détails sur les circonstances dans lesquelles les données peuvent être divulguées.
- Marketing direct – Nous ne pratiquons pas de marketing direct auprès des étudiants et des parents. Le marketing s'adresse uniquement aux établissements d'enseignement, qui disposent d'une option claire et visible pour se désinscrire de toutes les communications marketing.
- Divulgation transfrontalière de renseignements personnels – Les données transfrontalières ne sont divulguées qu’aux organisations qui respectent les principes australiens de confidentialité et qui signent un accord de traitement des données les liant aux pratiques de confidentialité et de sécurité requises.
- Adoption, utilisation ou divulgation d'identifiants liés au gouvernement – Nous n’utilisons pas d’identifiants gouvernementaux comme étant les nôtres, ni ne divulguons l’identifiant d’une personne, à moins que nous ne soyons autorisés à le faire par la loi, ou que l’identifiant soit nécessaire pour vérifier l’identité de la personne.
- Qualité des informations personnelles – Nous avons mis en place des systèmes pour garantir que la qualité des informations personnelles reçues est exacte, complète et à jour.
- Sécurité des informations personnelles – Nous utilisons les mesures de protection administratives, techniques et physiques nécessaires à la protection des données, comme détaillé sur cette page.
- Accès aux renseignements personnels – Les individus ont le droit d’accéder à leurs informations personnelles, comme indiqué dans notre politique de confidentialité dans la section « Protection des données transfrontalières ».
- Correction des informations personnelles – Les individus ont le droit de corriger leurs informations personnelles, comme indiqué dans notre politique de confidentialité dans la section « Protection des données transfrontalières ».
Conformité
Loi générale sur la protection des données du Brésil (LGPD)
Le Loi générale de protection des données (LGPD)La Loi générale sur la protection des données (LGPD) est le cadre juridique établi pour réglementer la collecte et l'utilisation des données personnelles au Brésil. Entrée en vigueur le 16 août 2020, elle est appliquée par l'Autorité nationale de protection des données (ANPD).
À qui s’applique la loi brésilienne sur la protection des données ?
Lightspeed Systems s'engage à respecter les principes LGPD comme suit :
- But: Les données personnelles sont traitées pour des finalités légitimes, déterminées et explicites communiquées à la personne concernée, sans traitement ultérieur incompatible.
- Adéquation: Les données personnelles sont traitées conformément aux finalités communiquées à la personne concernée, compte tenu du contexte de ce traitement.
- Nécessité: Les données personnelles sont traitées dans la mesure minimale nécessaire pour atteindre les objectifs visés, en utilisant uniquement des données appropriées, proportionnées et non excessives.
- Accès libre : Les personnes concernées ont le droit de s'informer facilement et gratuitement sur les moyens et la durée du traitement ainsi que sur l'intégrité de leurs données personnelles.
- Qualité des données : Les personnes concernées ont droit à des informations exactes, claires, pertinentes et à jour, comme nécessaire pour atteindre les objectifs visés.
- Transparence: Les personnes concernées ont le droit d’obtenir des informations claires, exactes et facilement accessibles concernant les activités de traitement et les agents de traitement respectifs (responsables du traitement et sous-traitants), tout en préservant les secrets commerciaux et industriels.
- Sécurité: Lightspeed Systems a mis en œuvre les mesures techniques et organisationnelles nécessaires pour protéger les données personnelles contre tout accès non autorisé et tout événement accidentel ou illicite de destruction, de perte, d'altération, de communication ou de diffusion, comme détaillé sur notre page de confiance.
- Prévention: Des mesures préventives ont été adoptées pour atténuer les risques associés au traitement des données personnelles, comme détaillé sur notre page de confiance.
- Non-discrimination : Les données personnelles ne sont pas traitées à des fins discriminatoires, ni de manière illégale ou abusive.
- Responsabilité: Des mesures efficaces visant à se conformer aux exigences en matière de protection des données personnelles ont été mises en œuvre et sont continuellement améliorées en réponse à l’évolution de l’environnement.
La LGPD prévoit les principaux droits suivants pour les personnes concernées :
- d'obtenir la confirmation de l'existence d'un traitement de données à caractère personnel ;
- d’accéder à leurs données personnelles ;
- de rectifier des données incomplètes, inexactes ou obsolètes ;
- de faire anonymiser, bloquer ou effacer les données personnelles inutiles, excessives ou non conformes ;
- portabilité des données;
- suppression des données personnelles traitées avec le consentement de la personne concernée, sauf dans les cas prévus à l'art. 16 de la présente loi
- d’être informé des tiers avec lesquels leurs données ont été partagées ;
- d'être informé de la possibilité de refuser de fournir des données personnelles et des conséquences correspondantes ; et
- de retirer leur consentement.
Conformité
Cadre de confidentialité des données (DPF) du Département du Commerce des États-Unis
Le 10 juillet 2023, la décision d'adéquation de la Commission européenne concernant le cadre de protection des données UE-États-Unis (DPF UE-États-Unis) est entrée en vigueur. Ce cadre et son extension britannique ont été respectivement élaborés par le ministère du Commerce des États-Unis, la Commission européenne et le gouvernement britannique pour promouvoir le commerce transatlantique. L'objectif est de fournir aux organisations américaines des mécanismes fiables pour les transferts de données personnelles vers les États-Unis depuis l'Union européenne/l'Espace économique européen et le Royaume-Uni, tout en garantissant une protection des données conforme aux lois de l'UE et du Royaume-Uni. Lightspeed Systems est conforme au cadre de protection des données UE-États-Unis (DPF UE-États-Unis) et à son extension britannique, tels que définis par le ministère du Commerce des États-Unis. Lightspeed Systems a certifié auprès du Département du Commerce des États-Unis son adhésion aux principes du Cadre de protection des données UE-États-Unis (Principes UE-États-Unis DPF) concernant le traitement des données personnelles reçues de l'Union européenne et du Royaume-Uni, conformément au DPF UE-États-Unis et à son extension britannique. En cas de conflit entre les termes de la présente politique de confidentialité et les principes UE-États-Unis DPF, ces derniers prévalent. Pour en savoir plus sur le programme DPF et consulter notre certification, veuillez consulter le site https://www.dataprivacyframework.gov/.
Lightspeed Systems est soumis aux pouvoirs d'enquête et d'application de la Federal Trade Commission (FTC).
Conformément au DPF UE-États-Unis et à l'extension britannique du DPF UE-États-Unis, Lightspeed Systems s'engage à coopérer et à se conformer respectivement aux conseils du panel établi par les autorités de protection des données de l'UE (DPA) et le Bureau du Commissaire à l'information du Royaume-Uni (ICO) concernant les plaintes non résolues concernant notre traitement des données relatives aux ressources humaines reçues en vertu du DPF UE-États-Unis et de l'extension britannique du DPF UE-États-Unis dans le cadre de la relation de travail.
Pour plus de détails sur notre conformité avec le cadre de confidentialité des données, veuillez consulter la section « Transferts internationaux de données » de notre politique de confidentialité.
Conformité
Bureau de contrôle des avoirs étrangers (OFAC)
L'Office of Foreign Assets Control (« OFAC ») Le Département du Trésor des États-Unis administre et applique des sanctions économiques et commerciales fondées sur la politique étrangère et les objectifs de sécurité nationale des États-Unis contre des pays et régimes étrangers ciblés, des terroristes, des trafiquants internationaux de stupéfiants, des personnes engagées dans des activités liées à la prolifération des armes de destruction massive et d'autres menaces à la sécurité nationale, à la politique étrangère ou à l'économie des États-Unis.
- Lightspeed Systems, ses filiales et sociétés affiliées s'engagent à respecter pleinement toutes les sanctions internationales, y compris, mais sans s'y limiter, celles imposées par les États-Unis, l'Union européenne et le Royaume-Uni.
- Les sanctions internationales sont des lois, règlements, décrets, décisions de conseil et autres mesures gouvernementales interdisant un large éventail de transactions commerciales et financières. Lightspeed Systems a pour politique de se conformer à toutes les sanctions internationales applicables.
- Lightspeed Systems considère qu'un programme de conformité efficace traitant des contrôles à l'exportation avec des politiques et des procédures constitue un élément important et vital de nos opérations commerciales et de notre code de conduite éthique.
- Nous examinons toutes les commandes internationales en fonction de diverses listes de personnes et de destinations sanctionnées et interdites avant de les accepter. Toute commande reçue, directement ou indirectement, d'une personne sanctionnée ou destinée à être utilisée par cette personne ou vers une destination sanctionnée sera rejetée.
- Les employés de Lightspeed Systems reçoivent une formation annuelle de sensibilisation à l'OFAC pour garantir la conformité.
Liste des sous-traitants de Lightspeed Systems
| Nom de l'entité | Activités de sous-traitance | Localisation de l'entité (HQ) | Mesures de sécurité et supplémentaires |
|---|---|---|---|
| Amazon Web Services, Inc. | Hébergement et stockage d'applications | États-Unis | |
| LightEdge | Centre de données | États-Unis | |
| Microsoft Corporation | Outils de messagerie et de collaboration | États-Unis |
| Nom de l'entité | Activités de sous-traitance | Localisation de l'entité (HQ) | Mesures de sécurité et supplémentaires |
|---|---|---|---|
| Ably.io | Surveillance de présence | Royaume-Uni | |
| Adobe Sign | Fournisseur de signature électronique | États-Unis | |
| Histoire complète | Analyse des produits | États-Unis | |
| Logiciels Greenhouse Inc. | Logiciel de gestion du recrutement | États-Unis | |
| IA de la ruche | Modération de texte pour les fonctionnalités du produit | États-Unis | |
| Microsoft Corporation | Outils de messagerie et de collaboration | États-Unis | |
| Royaume-Uni | Logiciel de gestion de la paie | États-Unis | |
| NetSuite | Systèmes comptables | États-Unis | |
| OpenAI | Fournisseur de services d'IA générative pour les fonctionnalités du produit intelligence | États-Unis | |
| Pendo.io Inc | Gestion de l'expérience logicielle | États-Unis | |
| Salesforce | Support client – Fournisseur CRM | États-Unis | |
| Flocon de neige | Analyse de l'utilisation des produits, base de données de catégorisation | États-Unis | |
| Twilio | Fournisseur de technologies de communication | États-Unis | |
| Zoom, Inc. | Fournisseur de visioconférence | États-Unis |
Français 
English 
English (UK) 
English (Australia) 
简体中文 
Dansk 
Suomi 
العربية 
Deutsch 
Italiano 
日本語 
한국어 
Norsk bokmål 
Português do Brasil 
Español 
Svenska