Tapez ci-dessus et appuyez sur la touche Entrée pour effectuer la recherche. Appuyez sur Esc pour annuler.

Contrat de sous-traitance de données

Retour à la page d'accueil

Contrat de sous-traitance de données

 

Date d’entrée en vigueur : Le 11 novembre 2024

1. À propos de ce Contrat.

a) Le présent Contrat de sous-traitance de données (le « Contrat ») est un accord juridique faisant partie intégrante du Contrat de prestations de services existant avec Lightspeed, du Channel Partner Agreement, du Reseller Partner Agreement ou de tout autre accord écrit ou électronique entre les parties (selon le cas) (le « Contrat de prestations de services ») et s’applique en complément de ce dernier. Il est conclu par et entre le Client (tel que défini dans le Contrat de prestations de services), en tant que responsable de traitement de données, et Lightspeed Commerce Inc. et la filiale de Lightspeed qui est l’entité contractante (telle que définie dans le Contrat de prestations de services) (collectivement appelées « Lightspeed » dans le présent Contrat), en tant que sous-traitant de données dans le cadre de la prestation de services – y compris divers services de traitement de données – au Client (les « Services »). La signature du Contrat de prestations de services vaut acceptation et signature du présent Contrat qui y est intégré par référence.

b) La composition du présent Contrat est la suivante:

• Partie principale du Contrat

• Annexe 1. Description des mesures de sécurité de Lightspeed

• Annexe 2. Uniquement pour les Clients basés dans l’Espace économique européen (EEE), en Suisse ou au Royaume-Uni (RU), les clauses contractuelles types de l’UE pour la responsable du traitement à sous-traitant de 2021 sont intégrées dans le présent Contrat par référence ( « CCT »). Consultez l’article 10 pour plus d’informations sur les transferts de données à l’international.

• Annexe 3. Uniquement pour les Clients basés au Royaume-Uni (RU), l’addendum aux clauses contractuelles types de la Commission européenne concernant le transfert international de données (International Data Transfer Addendum to the EU Commission Standard Contractual Clauses) (version B1.0) est intégré dans le présent Contrat par référence (« Addendum RU ») (disponible uniquement en anglais).

2. Définitions.

Les termes utilisés dans le cadre de ce Contrat ont la même signification que ceux utilisés dans le Contrat de prestations de services, sauf indication contraire. En cas de contradiction ou d’incohérence entre le Contrat de prestations de services et le présent Contrat, ce Contrat l’emporte sur le Contrat de prestations de services.

3. Description des Données personnelles.

Dans le cadre de l’exécution des prestations de Services, il se peut que Lightspeed dispose d’un accès à des informations se rapportant à des personnes physiques identifiées ou identifiables (les « Données personnelles »), ou que Lightspeed reçoive ou traite de telles informations. Les données personnelles excluent explicitement les informations agrégées ou dépersonnalisées.

a) Type de Données personnelles traitées. En fonction de la manière dont le Client choisit de recourir aux Services, Lightspeed pourra traiter les types de Données personnelles suivants:

prénom, nom ; coordonnées (adresse électronique, adresse du domicile, numéro de téléphone) ; langue ; date de naissance ; adresse IP ; données de localisation; numéros d’identification délivrés par le gouvernement ; informations financières ; coordonnées bancaires ; cote de solvabilité (si le Client a souscrit au service Lightspeed Payments).

Lightspeed pourra également traiter d’autres types de Données personnelles si le Client a choisi de recueillir et de saisir ces Données personnelles dans le cadre de nos Services. Les Services n’ont besoin d’aucun autre type de Données personnelles pour assurer leur bon fonctionnement. Lightspeed décline toute responsabilité en cas de dommages ou de réclamations associés à la décision du Client de saisir des Données personnelles non obligatoires dans le cadre des Services.

b) Individus auprès desquels sont recueillies les données. Les Données personnelles concernant les catégories d’individus suivantes seront traitées :

• Propriétaire(s) d’une entreprise abonnée aux Services de Lightspeed.

• Employés et autres personnes autorisées par le Client qui ont accès aux Services et les utilisent (les « Utilisateurs »).

• Personnes dont les Données personnelles sont traitées à l’aide des Services, y compris les clients et les fournisseurs d’un Client.

4. Objets du traitement.

Lightspeed est un fournisseur de logiciel en tant que service pour des solutions de point de vente destinées aux secteurs de la vente au détail, du golf et de l’hôtellerie, un réseau de fournisseurs en ligne, ainsi qu’une plateforme en ligne pouvant être utilisée pour le commerce électronique et à des fins connexes. Lightspeed traitera les Données personnelles au nom du Client pour lui fournir ces services dans le respect du Contrat de prestations de services et de toute autre fin supplémentaire, telle qu’indiquée par le Client lors de l’utilisation des Services. Dans le cadre de son rôle de sous-traitant de Données personnelles, Lightspeed ne pourra traiter les Données personnelles qu’au nom du Client et uniquement aux fins énoncées dans le présent Contrat et dans le Contrat de prestations de services.

5. Responsabilités relatives au traitement de données.

a) Responsable du traitement de données. Le Client est le responsable du traitement de toutes les Données personnelles recueillies par le biais des Services. Le Client doit s’assurer qu’il est autorisé à traiter et à transférer les Données personnelles à Lightspeed afin que Lightspeed puisse traiter les Données personnelles en toute légalité au nom du Client, comme le prévoit le présent Contrat.

b) Sous-traitant de données. Lightspeed agit en tant que sous-traitant des Données personnelles recueillies par le Client lors de l’utilisation des Services.

c) Sous-traitants. En signant le présent Contrat, le Client confirme et fournit son accord écrit exprès sur le fait que (i) les filiales de Lightspeed peuvent agir en tant que sous-traitants de Lightspeed ; et que (ii) Lightspeed peut contracter avec des sous-traitants pour exécuter les Services si nécessaire. La liste des Sous-traitants de données autorisés de Lightspeed se trouve sur ce site web et le Client reconnaît que ces sous-traitants sont essentiels à la fourniture des Services. Lightspeed informera le Client si elle ajoute, remplace ou modifie ses sous-traitants en mettant à jour la liste susmentionnée des Sous-traitants de données autorisés. Le Client peut raisonnablement s’opposer aux modifications pour des motifs légitimes, conformément aux principes de bonne foi, de caractère raisonnable et d’équité, dans les 30 jours civils suivant le changement. Le Client reconnaît que s’il s’oppose à l’utilisation par Lightspeed d’un sous-traitant, Lightspeed ne sera pas dans l’obligation de fournir au Client les Services pour lesquels elle utilise ce sous-traitant.

6. Traitement de données.

Lightspeed veillera à ce que tout traitement soit équitable, légal et conforme à ses obligations dans le cadre du présent Contrat et qu’il se fasse dans le respect des lois en vigueur en matière de protection de données, plus particulièrement:

a) Directives données par le responsable de traitement de données. Lightspeed traitera les Données personnelles uniquement selon les directives consignées du Client. Si Lightspeed doit traiter des Données personnelles supplémentairement conformément à une loi ou réglementation en vigueur à laquelle Lightspeed est soumise, elle informera le Client de cette obligation légale avant de procéder audit traitement, sauf dans le cas où une loi ou une réglementation applicable lui interdirait de le faire ;

b) Garantie d’une protection adaptée. Lightspeed veillera à assurer une protection appropriée des Données personnelles en vue d’éviter leur destruction accidentelle ou illicite, leur perte accidentelle, leur altération, leur divulgation ou leur accès non autorisés, en particulier lorsque le traitement implique la transmission de Données personnelles par un réseau, ainsi que pour éviter toute autre forme de traitement contraire à la loi ;

c) Mesures de sécurité. Lightspeed se conformera aux exigences en matière de sécurité énoncées dans l’Annexe 1, en tenant compte de l’état actuel de la technologie, du coût de leur mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ;

d) Divulgation. Lightspeed ne divulguera pas de Données personnelles à un tiers ou à des personnes non autorisées, sauf si le Client a préalablement consenti par écrit à cette divulgation et sous réserve des conditions prévues à l’Article 6 du présent Contrat ;

e) Confidentialité. Lightspeed traitera les Données personnelles de manière strictement confidentielle et exigera que les employés et toute autre personne sous son contrôle, qui y auront accès ou qui les traiteront, soient tenus de respecter le même niveau de confidentialité, conformément aux exigences du Contrat (y compris pendant la durée de leur emploi ou de leur engagement et au-delà) ;

f) Requêtes des individus auprès desquels sont recueillies les données. Lightspeed prendra les mesures adéquates pour aider le Client, dans la mesure du possible, à remplir ses obligations en tant que responsable du traitement de données, en répondant aux requêtes des individus auprès desquels sont recueillies les données lorsqu’ils souhaitent exercer leurs droits en vertu des lois ou réglementations en vigueur en matière de protection de données. Par ailleurs, Lightspeed informera dans les plus brefs délais le Client de toute requête qu’elle recevrait de la part d’un individu portant sur des Données personnelles, y compris sans toutefois s’y limiter, les demandes d’accès aux informations, les demandes de rectification des informations, les demandes de blocage, de suppression ou de portabilité des Données personnelles. Lightspeed ne répondra à aucune de ces requêtes sauf si le Client l’y autorise expressément ou si cela est requis par une loi en vigueur en matière de protection de données, une loi de l’Union européenne ou une loi d’un État membre, auxquelles Lightspeed est soumise. En outre, Lightspeed s’assurera qu’elle a mis en œuvre des mesures techniques et organisationnelles pour aider le Client à remplir son obligation de répondre à toute requête d’un individu concernant les Données personnelles traitées.

Lightspeed traitera rapidement et correctement les demandes et requêtes du Client en lien avec le traitement de Données personnelles dans le cadre du présent Contrat ;

g) Aide à la mise en conformité du Client. En tenant compte de la nature du traitement et des informations dont dispose Lightspeed, Lightspeed assistera le Client à veiller au respect des obligations relatives aux mesures de sécurité et à réaliser des analyses d’impact relatives à la protection des données, le cas échéant, conformément aux articles 32-36 du Règlement général sur la protection des données (RGPD).

Lightspeed assistera et prêtera son concours au Client en cas de contrôle réalisé par une autorité de protection des données ou toute autorité similaire, si et dans la mesure où un tel contrôle concerne le traitement de Données personnelles dans le cadre du présent Contrat.

Lightspeed informera le Client dans les plus brefs délais si, selon elle, une directive donnée par le Client enfreint les lois et réglementations en vigueur, y compris les lois sur la protection des données, ou si une modification dans les lois et réglementations en vigueur est susceptible d’avoir un effet négatif non négligeable sur sa capacité à respecter ses obligations en vertu du présent Contrat ; Lightspeed aura le droit de suspendre l’exécution de la directive en cause jusqu’à ce qu’elle soit confirmée ou modifiée par le Client. Lightspeed pourra refuser d’exécuter toute directive manifestement illégale ;

h) Requêtes de divulgation. Dans la mesure permise par la loi applicable, Lightspeed informera le Client de chaque requête qu’elle recevra de la part d’une autorité publique lui demandant de divulguer des Données personnelles traitées dans le cadre du Contrat de prestations de services ou de participer à une enquête impliquant ces Données personnelles. Lightspeed déploiera des efforts raisonnables pour réduire la portée de toute requête de ce type reçue et ne fournira que les Données personnelles précisément demandées ;

i) Fuite de données. Lightspeed informera le Client dans les plus brefs délais (et, en toute circonstance, dans les quarante-huit [48] heures) après en avoir pris connaissance, de tout fait porté à sa connaissance relatif à tout accès, divulgation, utilisation, perte, dommages ou destruction accidentels ou non autorisés de Données personnelles par des salariés, partenaires ou mandataires actuels ou passés Lightspeed, ou par tout autre individu ou tiers.

Lightspeed collaborera pleinement avec le Client en cas de consultations, divulgations, utilisations, pertes, dommages et destructions accidentels ou non autorisés de Données personnelles par des salariés, partenaires ou mandataires actuels ou passés, ou par tout autre individu ou tiers, en vue de limiter la divulgation ou l’utilisation non autorisée, demander la restitution de toute Donnée personnelle et aider à informer les établissements réglementaires compétents et les personnes concernées si le Client le demande.

7. Traitement ultérieur.

Lightspeed ne pourra sous-traiter l’exécution d’une partie des Services à des tiers en tant que soustraitants (y compris à ses filiales hors de l’EEE, de la Suisse ou du RU) que si elle veille à ce que ces sous-traitants acceptent de se conformer à des obligations qui ne sont pas moins contraignantes que celles figurant aux présentes.

8. Conservation et suppression.

a) Lightspeed traitera les Données personnelles aussi longtemps que cela sera raisonnablement nécessaire pour fournir les Services. Les délais de conservation pourront être allongés si Lightspeed est tenue de conserver plus longtemps certaines Données personnelles, conformément à la loi en vigueur ou dans le cadre de la gestion de l’entreprise.

b) À la demande du Client, Lightspeed cessera immédiatement de traiter ses Données personnelles et les supprimera ou les lui restituera immédiatement, conformément aux directives éventuellement fournies par le Client à ce moment-là, à moins que Lightspeed ne soit tenue de conserver les Données personnelles en vertu d’une loi ou d’une réglementation en vigueur à laquelle elle est soumise, ou à moins qu’il n’en soit convenu autrement avec le Client. Les obligations énoncées dans le présent paragraphe restent en vigueur nonobstant la résiliation ou l’expiration du présent Contrat.

9. Audit et conformité.

a) Lightspeed mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations relatives au traitement des Données personnelles fournies à Lightspeed en sa qualité de responsable du traitement de données.

b) Lightspeed mettra à disposition les systèmes, les installations et les documents complémentaires nécessaires au traitement de Données personnelles, dans le cadre de la réalisation d’un audit par le Client ou par un auditeur indépendant agréé et choisi par le Client. Lightspeed fournira toute l’aide que le Client pourrait raisonnablement demander pour un tel audit, qui ne pourra avoir lieu plus d’une fois par période de 12 mois. Si l’audit démontre que Lightspeed a enfreint une obligation au titre du Contrat, Lightspeed remédiera immédiatement à ce manquement.

c) En cas de contrôle ou d’audit par une autorité gouvernementale compétente concernant le traitement de Données personnelles, Lightspeed mettra à la disposition de l’autorité publique compétente les systèmes, les installations et les documents complémentaires nécessaires au traitement de Données personnelles, dans le cadre du contrôle ou de l’audit si cela est nécessaire pour se conformer aux lois applicables. En cas de contrôle ou d’audit, chaque partie fournira toute l’aide raisonnable à l’autre partie en vue de répondre à ce contrôle ou à cet audit. Si une autorité publique compétente juge le traitement de Données personnelles illégal dans le cadre du présent Contrat, les parties devront prendre des mesures d’urgence pour garantir par la suite le respect des lois en vigueur en matière de protection de données. Plutôt que de réaliser des contrôles sur place, Lightspeed pourra soumettre le Client à un contrôle équivalent effectué par des tiers indépendants (tels que des auditeurs neutres en matière de protection de données), respectant des règles de conduite approuvées (article 40 du RGPD) ou des certifications adaptées en matière de protection de données ou de sécurité informatique conformément à l’article 42 du RGPD. Cela s’appliquera notamment si des secrets d’entreprise et commerciaux de Lightspeed ou des Données personnelles de tiers seraient mis en danger par de tels contrôles.

d) Le Client remboursera à Lightspeed tous les coûts raisonnables encourus par Lightspeed en relation avec tout audit ou inspection par (ou au nom du) Client ou une autorité gouvernementale compétente, sauf si cet audit ou cette inspection révèle que Lightspeed a violé l’une de ses obligations en vertu du présent Contrat.

e) Sauf si la loi interdit à Lightspeed de procéder à une telle divulgation, Lightspeed informera le Client dans les meilleurs délais si : (i) elle reçoit une demande de renseignements, une citation à comparaître ou une demande de contrôle ou d’audit de la part d’une autorité publique compétente concernant le traitement des Données personnelles en vertu du présent Contrat, s’il s’agit des données du Client, ; ou (ii) elle a l’intention de divulguer des Données personnelles à une autorité publique compétente.

f) Lightspeed veillera à ce que tout employé, mandataire, partenaire ou tout autre individu participant à la fourniture des Services et ayant accès aux Données personnelles du Client, se conforme à toutes les lois et réglementations en matière de protection des données et de la vie privée (y compris toutes les modifications législatives et/ou réglementaires, et toutes les versions ultérieures de ces lois et réglementations), auxquels Lightspeed est tenue de se soumettre.

10. Transferts de données (uniquement pour les Clients basés dans l’EEE, dans la Suisse ou au RU).

a) Le Client autorise Lightspeed à confier le traitement des Données personnelles à des sous-traitants basés dans un pays tiers, si les exigences spécifiques stipulées aux articles 44-49 du RGPD sont respectées. L’autorisation du Client pour le traitement des Données personnelles dans un pays tiers sera considérée comme octroyée en ce qui concerne les opérations de traitement réalisées par Lightspeed et les Sous-traitants de données autorisés énumérées ici.

b) Lightspeed Commerce Inc. est une société basée au Canada. En tant que telle, la plupart des transferts de données des Clients basés dans l’Espace économique européen (EEE), en Suisse ou au Royaume-Uni (RU) vers Lightspeed sera effectuée conformément à la décision d’adéquation de la Commission européenne pour le Canada.

c) Dans le cas où la décision d’adéquation ne s’applique pas, Lightspeed s’appuiera sur les Clauses contractuelles types (« CCT ») ci-jointes à l’Annexe 2, utilisées comme mécanisme de transfert approuvé pour les transferts de Données personnelles à l’international. Dans lesdites CCT, le Client est l’exportateur de données, tandis que Lightspeed Commerce Inc. est l’importateur de données.

d) La signature du Contrat de prestations de services vaut acceptation et signature des CCT. Si le Client souhaite par ailleurs réaliser une copie distincte des CCT, il lui sera possible de remplir la version présignée visée à l’Annexe 2, la contresigner et la renvoyer par courrier électronique à Lightspeed à l’adresse [email protected], en indiquant, le cas échéant, l’entité juridique et/ou le numéro de compte du Client (figurant sur le bon de commande correspondant ou la facture émise par Lightspeed).

e) En l’absence des garanties appropriées susmentionnées, Lightspeed pourra – dans le cadre et le respect des lois en vigueur en matière de protection des données (y compris le RGPD) – se prévaloir d’une dérogation applicable à la situation spécifique en question (par exemple, le consentement explicite des individus fournissant les données, la nécessité d’exécuter un contrat, la nécessité de contester, d’exercer ou de défendre un droit en justice).

f) En ce qui concerne les transferts de Données personnelles protégés par la loi sur la protection des données de 2018 au Royaume-Uni (UK Data Protection Act 2018), les CCT s’appliquent et sont réputés modifiés comme spécifié par l’Addendum RU, qui est réputé exécuté par les parties et intégré dans le présent Contrat par référence. Tout conflit entre les conditions des CCT et de l’Addendum RU sera réglé conformément aux sections 10 et 11 de l’Addendum RU.

11. Requêtes en matière de données.

Tout Client peut, à tout moment, contacter Lightspeed à l’adresse [email protected] pour toute question ou suggestion en matière de protection des données.

Uniquement pour les Clients basés en Allemagne : le Client peut contacter le Délégué à la protection des données de Lightspeed :

Karina Filusch
Friedrichstraße 95
D-10117 Berlin
Allemagne
E-mail : [email protected]
En mettant en copie : [email protected]

12. Dispositions générales.

a) Avenants. Toute modification ou tout ajout au présent Contrat devra faire l’objet d’un écrit. Il en va de même pour toute renonciation à un droit ou à une obligation en vertu du présent Contrat. L’ordre de préséance des accords contractuels individuels n’en sera pas affecté. Lightspeed se réserve le droit de modifier le présent Contrat à tout moment avec prise d’effet immédiate pour l’avenir. Les modifications ne seront apportées au présent Contrat que si elles sont fondées sur les motifs objectifs suivants :

• l’avenant contribue à rendre le présent Contrat conforme aux lois en vigueur, notamment si la situation juridique applicable venait à être modifiée ;

• l’avenant permet à Lightspeed de se conformer à des décisions judiciaires ou administratives obligatoires ;

• l’avenant fournit des détails sur un nouveau Service de Lightspeed ou un Service existant qui a été modifié, ou bien des détails sur un nouveau processus technique ou organisationnel ou un processus technique ou organisationnel existant qui a été modifié, et la relation contractuelle existante avec le Client n’en est aucunement affectée ;

• l’avenant est uniquement dans l’intérêt du Client.

b) Séparabilité. Dans le cas où une disposition du présent Contrat serait ou deviendrait nulle ou inapplicable en tout ou partie, la validité des autres dispositions n’en sera pas affectée.

c) Échéance. Le présent Contrat sera en vigueur pendant toute la Durée (tel que défini dans le Contrat de prestations de services) et prend fin à la date à laquelle le Contrat de prestations de services a expiré ou est résilié.

 

Annexe 1 : Description des mesures de sécurité de Lightspeed

Lightspeed a pris des mesures de sécurité techniques et organisationnelles appropriées et suffisantes afin de protéger les Données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la divulgation non autorisée ou l’accès non autorisé, particulièrement lorsque le traitement implique la transmission de Données personnelles sur un réseau, et contre toute autre forme illégale de traitement.

Lightspeed a créé une organisation axée sur la sécurité de l’information, gérée par l’équipe de sécurité de Lightspeed et dirigée par le Vice-Président Information Security. Lightspeed Security a mis en place et applique des politiques et des procédures visant à définir des normes relatives à l’accès aux environnements de production de Lightspeed. Les politiques identifient également des responsabilités fonctionnelles pour la gestion des accès autorisés et de la sécurité. Les Politiques de Sécurité de l’Information de Lightspeed sont examinées et approuvées chaque année par la Direction de la sécurité et sont utilisées pour aider Lightspeed à respecter ses engagements envers le client quant à ses prestations de services.

La description suivante donne un aperçu des mesures de sécurité techniques et organisationnelles mises en œuvre. De telles mesures comprennent, sans toutefois s’y limiter, les suivantes. Pour des informations plus détaillées sur les mesures les plus récentes, veuillez nous contacter directement.

Protection des données

Lightspeed traitera les Données personnelles en tant que sous-traitant de données, uniquement dans le but de fournir les Services conformément aux directives documentées par le Client (à condition que ces directives soient adaptées aux fonctionnalités des Services), et tel que cela aura été convenu avec le Client.

Lightspeed implémente et maintient des mesures techniques et organisationnelles appropriées afin de protéger les Données personnelles contre un traitement non autorisé ou illicite et contre un vol accidentel ou une perte, une destruction, une détérioration, une modification ou une divulgation accidentelle.

Lightspeed maintient un cadre de gestion des risques et le révise au moins chaque trimestre afin d’identifier les changements apportés à son environnement, à ses systèmes et aux diverses menaces pour identifier et gérer tout risque lié aux opérations et au traitement des Données personnelles.

Lightspeed veille à ce que ses employés ayant accès aux Données personnelles soient assujettis à des obligations en matière de confidentialité afin de restreindre leur capacité à divulguer des Données personnelles, et qu’il suive une formation annuelle de sensibilisation à la sécurité de l’information.

Lightspeed utilise les concepts du moindre privilège et du besoin de savoir, n’autorisant que l’accès nécessaire aux utilisateurs pour accomplir leur travail. Les comptes d’utilisateur sont conçus pour que l’accès y soit restreint. Pour obtenir un accès en dehors du principe de moindre privilège, une autorisation conforme doit être fournie séparément.

Lightspeed impose l’authentification multifacteur à toutes les applications et infrastructures critiques.

En transit : Lightspeed utilise le chiffrement HTTPS sur toutes ses interfaces de connexion et sur tous les sites clients hébergés sur des produits de Lightspeed. L’implémentation de HTTPS offerte par Lightspeed utilise des algorithmes et des certificats répondant aux normes de l’industrie.

Au repos : Lightspeed utilise le chiffrement au repos pour se protéger contre la perte de données.

Contrôle d’accès

1. Empêcher l’accès non autorisé au produit

Traitement externalisé : Lightspeed héberge ses services sur une infrastructure d’hébergement tierce dans des centres de données et au moyen d’infrastructures-services (Iaas). Lightspeed entretient également des relations contractuelles avec des fournisseurs afin de fournir le service conformément au Contrat de sous-traitance de données. Lightspeed s’appuie sur des relations contractuelles, des politiques de confidentialité et des programmes de conformité des fournisseurs afin de protéger les données traitées ou stockées par ces fournisseurs.

Sécurité physique et environnementale : Lightspeed héberge l’infrastructure de ses produits à l’aide de fournisseurs d’infrastructure partagée et externalisée. Les contrôles de sécurité physique et environnementale de nos fournisseurs d’infrastructure sont vérifiés par différentes certifications, dont SOC 2 Type II, ISO 27001 et la norme PCI DSS.

Authentification : Lightspeed a mis en place un mécanisme d’authentification forte pour les utilisateurs de Lightspeed accédant à ses produits clients. Tous les utilisateurs de Lightspeed interagissant avec les produits via une interface doivent s’authentifier à l’aide d’une authentification multifactorielle afin d’accéder à des données clients non publiques.

Autorisation : Les données clients sont stockées sur des systèmes de stockage partagés et accessibles aux Clients uniquement via l’interface utilisateur de l’application ou via l’interface de programmation de l’application. Les Clients ne peuvent accéder directement à l’infrastructure sousjacente de l’application. Le modèle d’autorisation des produits de Lightspeed est conçu de manière à ce que seules les personnes appropriées et assignées puissent accéder à certaines fonctionnalités, à certains écrans et à certaines options de personnalisation. L’autorisation d’accès à des ensembles de données s’effectue en validant les autorisations de l’utilisateur en fonction des attributs associés à chaque ensemble de données.

2. Empêcher l’utilisation non autorisée du produit

Contrôle d’accès : Les mécanismes de contrôle d’accès du réseau sont conçus de manière à interdire l’accès à l’infrastructure du produit si le trafic réseau utilise des protocoles non autorisés. Les mesures techniques implémentées varient en fonction des fournisseurs d’infrastructure et incluent des implémentations Virtual Private Cloud (VPC), des affectations de groupe de sécurité et des règles traditionnelles de pare-feu.

Détection des intrusions et protection contre les intrusions : Lightspeed a implémenté une solution Web Application Firewall (WAF) afin de protéger certains sites Web des clients et d’autres applications Web spécifiquement identifiés par Lightspeed. Le WAF est conçu de manière à détecter et à prévenir les attaques menées contre des services publiquement accessibles.

Scanner de vulnérabilité : Lightspeed analyse régulièrement son code, son infrastructure et ses services web à la recherche de failles de sécurité connues et les corrige en temps utile. Lightspeed s’abonne aux flux d’informations traitant des lacunes des fournisseurs pertinents et surveille de manière proactive les sites web des fournisseurs et d’autres points de vente pertinents pour trouver de nouveaux patches.

3. Limites de privilège et exigences en matière d’autorisation

Accès au produit : Un sous-ensemble des employés de Lightspeed a accès aux produits et aux données clients via des interfaces contrôlées. Grâce à cet accès, ce sous-ensemble d’employés de Lightspeed peut offrir une assistance efficace, résoudre des problèmes potentiels, détecter et faire face à des incidents en matière de sécurité, en plus d’implémenter des mesures de sécurité des données. Les employés peuvent se voir accorder l’accès selon leur fonction ou sur présentation d’une demande approuvée. Les connexions aux systèmes de conservation ou de traitement des données sont enregistrées.

Accès à la base de données : Les données du Client ne sont accessibles et gérables que par un nombre limité du personnel autorisé. L’accès aux données est limité par la segmentation du réseau des environnements de production, de préparation, d’assurance qualité et de développement. L’accès direct aux requêtes de la base de données est restreint, et des droits d’accès aux applications sont établis et appliqués.

Contrôle de gestion des incidents

Détection : Lightspeed a conçu son infrastructure de manière à ce qu’elle compile une grande quantité de données concernant le comportement du système, le trafic, l’authentification du système et d’autres demandes des applications. Les systèmes internes cumulent les données et alertent les employés appropriés en cas d’activité malicieuse, involontaire ou anormale. Les employés de Lightspeed font face aux incidents connus, y compris les employés affectés à la sécurité, à l’exploitation et à l’assistance technique.

Réponse et suivi : Lightspeed tient un registre des incidents de sécurité connus, y compris les descriptions, les dates et les heures des activités pertinentes et les mesures prises pour y remédier. Les incidents de sécurité présumés et confirmés font l’objet d’une enquête par les employés affectés à la sécurité, à l’exploitation et à l’assistance technique. Les étapes de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, Lightspeed prendra les mesures appropriées afin de réduire le tort causé au produit et au Client ou la divulgation non autorisée.

Communication : Si Lightspeed prend connaissance d’un accès illicite aux données Clients stockées sur ses produits, Lightspeed : Avisera les Clients touchés par l’incident ; Fournira une description des mesures prises par Lightspeed pour résoudre l’incident ; Fournira une mise à jour de l’évolution de la situation au Client, si cela est jugé nécessaire ou en cas d’obligation légale. Au besoin, les avis d’incidents seront transmis d’une seule ou de plusieurs manières au Client dans un format choisi par Lightspeed, pouvant inclure le courriel ou le téléphone.

 

Annexe 2: Clauses Contractuelles Types (Uniquements pour les Clients basés dans l’Espace économique européen, en Suisse ou au Royaume-Uni)

Annexe 3: Addendum aux clauses contractuelles types de la Commission européenne concernant le transfert international de données (Uniquement pour les Clients basés au Royaume-Uni)