Retour à la page d’accueil

RGPD pour les vendeurs sur la façon de traiter une demande de données de vos clients ou employés

Que contient cet article ?

Square s‘engage à protéger les droits à la vie privée de nos clients en vertu du RGPD et à aider nos vendeurs à se conformer aux demandes du RGPD de leurs propres clients ou employés. Bien que nous ne puissions pas vous donner de conseils juridiques*, nous avons rédigé ces articles du centre d‘assistance pour vous aider à comprendre comment vous pouvez utiliser les outils de Square pour répondre à vos obligations de conformité RGPD.

Qu‘est-ce que le RGPD et quel impact a-t-il sur mon entreprise ?

Pour un présentation rapide du RGPD et de la façon dont il peut s‘appliquer à vous, consultez notre FAQ sur le RGPD

En vertu du RGPD, les résidents de l‘UE ont le droit (sous certaines conditions) de demander ce qui suit aux entreprises gérant leurs données personnelles :

  • Si elles détiennent des données personnelles les concernant et si oui, quelles informations les concernant sont détenues ;

  • Faire corriger toute inexactitude présente dans ces données ;

  • Faire effacer des informations ;

  • S‘opposer au marketing direct ou au traitement de leurs données personnelles ;

  • Restreindre le traitement de leurs informations, y compris la prise de décision automatisée (c‘est-à-dire une décision prise uniquement par des moyens automatisés sans aucune intervention humaine) ou le profilage (c‘est-à-dire le traitement automatisé de données personnelles pour évaluer certaines choses sur un individu) ; et

  • La portabilité des données (pour que les données soient produites sous une forme lisible par machine et interopérable ou envoyées à une autre entreprise à la demande de l‘individu).

En tant que propriétaire d‘entreprise, vous êtes le responsable du traitement des données personnelles de vos clients et employés (vous trouverez plus d‘informations à ce sujet dans notre Questions fréquentes relatives au RGPD des données personnelles de vos clients et employés.

Les données personnelles désignent toute information qui identifie un résident de l‘UE ou des éléments d‘information qui, pris ensemble, peuvent identifier cette personne. Il peut s’agir de son nom, de son numéro de téléphone ou de son adresse e-mail. Ces informations peuvent concerner un trait physique ou le lieu de travail de la personne. Cela peut signifier presque n‘importe quel élément d‘information lié à un individu qui l‘identifie soit seul, soit avec d‘autres éléments de données que vous avez sur lui. Vous devez vous familiariser avec les données personnelles que vous pouvez avoir concernant vos clients et employés.

Le RGPD identifie certains types de données personnelles comme des « catégories spéciales » qui nécessitent une plus grande protection en raison de leur nature sensible. Il s‘agit de données personnelles révélatrices : l‘origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l‘appartenance syndicale, les données génétiques, les données biométriques, les données de santé ou les données concernant la vie sexuelle ou l‘orientation sexuelle d‘un individu. Si vous collectez ces données sur vos clients ou employés, veuillez vous familiariser avec les exigences plus strictes du RGPD (et parfois l‘interdiction) pour le traitement de ces données.

Étapes à prendre en compte si vous recevez des demandes de données de vos clients ou employés

1. Confirmez leur identité

Une première étape importante consiste à confirmer l‘identité de la personne qui fait la demande. Vous pouvez demander une preuve d‘identité pour vous assurer d’avoir affaire à la bonne personne et que c‘est bien cette personne qui a le droit de recevoir les informations demandées.

2. Se conformer à la demande dans les 30 jours

Une fois que vous avez reçu une demande de données, vous pouvez informer votre client ou employé que vous traitez sa demande tout en travaillant à fournir toutes les informations pertinentes et à conclure la demande dans le délai requis défini dans le RGPD. En règle générale, vous devrez répondre intégralement à une demande de données dans un délai d‘un mois, bien que certaines conditions s‘appliquent.

Si vous n‘êtes pas sûr de la demande faite ou si elle semble trop générale, vous pouvez contacter votre client ou employé pour plus de clarté afin de vous aider dans votre recherche et la tâche à accomplir.

A. Comment puis-je me conformer ?

Lorsqu‘un client ou un employé vous demande quelles données vous détenez à son sujet, vous devez fournir des informations spécifiques lorsque vous répondez :

  • Les catégories de leurs données personnelles que vous traitez (par exemple, le salaire des employés, l‘adresse du domicile des employés, l‘adresse du domicile ou de livraison du client, les préférences des produits, les noms, les adresses e-mail, les données de localisation, les numéros d‘identification fiscale, les informations de date de naissance, etc.) ;

  • Les finalités pour lesquelles vous les traitez (par exemple, la paie des employés, les ventes de produits ou de services aux clients, les programmes de fidélité, etc.) ;

  • À qui vous divulguez leurs données (par exemple, fournisseur de paie ; Square, qui les traite en votre nom ; etc.) ;

  • La source des données (par exemple, fiches de paie, contrat de travail, commande en ligne, informations de connexion à l‘ordinateur, vidéosurveillance, listes de diffusion, etc.) ;

  • L‘existence d‘autres droits (rectification/correction, suppression/effacement, restriction du traitement et opposition à un tel traitement), qui peuvent également être exercés par le client ou l‘employé ;

  • Combien de temps les données sont conservées par vous ; et

  • Si la prise de décision automatisée (c‘est-à-dire une décision prise uniquement par des moyens automatisés sans aucune intervention humaine) ou le profilage (c‘est-à-dire le traitement automatisé de données personnelles pour évaluer certaines choses sur un individu) s‘applique aux données personnelles détenues par votre entreprise, vous devrez peut-être donner des informations significatives sur la manière dont ces décisions sont prises ainsi que sur l‘importance et les conséquences envisagées d‘un tel traitement pour le client ou l‘employé.

Le RGPD vous demande de rappeler aux personnes concernées (ici, vos clients et employés) leurs droits en vertu du RGPD lorsque vous répondez à leur demande RGPD. Par exemple, vous devez leur faire savoir que s‘ils estiment que leurs droits en matière de protection des données sont violés, ils peuvent déposer une plainte directement auprès de l‘autorité de protection des données compétente.

B. Outils et astuces

Square s‘engage à s‘assurer que vous disposez des outils dont vous avez besoin pour vous conformer à vos obligations en vertu du RGPD. Si vous recevez une demande de données en vertu du RGPD de l‘un de vos clients Square, vous pouvez utiliser notre outil de tableau de bord RGPD pour répondre aux demandes de vos clients et télécharger un rapport pour documenter votre conformité.

Remarque : L‘outil Tableau de bord RGPD ne peut répondre qu‘aux demandes de vos clients. Si l‘un de vos employés fait une demande RGPD, veuillez contacter notre équipe dédiée à la réussite des clients afin qu‘il puisse vous aider à traiter la demande.

En plus de répondre vous-même à toute demande à l‘aide de L’outil de tableau de bord RGDP de Square, assurez-vous également de prendre en compte toutes les intégrations d‘application que vous avez autorisées ou créées à l‘aide de votre compte Square :

  • Avez-vous autorisé des applications tierces via la plateforme d‘applications Square à accéder aux données client de votre compte Square ? Si tel est le cas, assurez-vous également d‘informer rapidement l‘équipe de confidentialité de toute application tierce susceptible d‘avoir reçu les données de votre client concernant la demande de données de votre client.

  • Utilisez-vous un jeton d‘accès personnel pour accéder aux outils API de Square, ou Oauth pour accéder aux données du compte Square d‘un autre vendeur ? Si tel est le cas, assurez-vous d‘utiliser également le point de terminaison SupprimerClient pour supprimer les données de votre client de l‘intégration de votre application.

Enfin, dans certains cas, vous devrez peut-être traiter la demande de votre client en dehors des systèmes de Square. Par exemple, si vous utilisez un fournisseur tiers pour envoyer des e-mails marketing en votre nom et que votre cliente vous informe qu‘elle s‘oppose au marketing direct, vous devrez vous assurer de transmettre toute objection à votre fournisseur tiers en le notifiant rapidement.

C. Transférer les informations en toute sécurité au demandeur

Vous devez envoyer toute information demandée en toute sécurité ou la donner à votre acheteur en personne lorsqu‘il se trouve dans votre magasin. Consultez l‘article de notre Centre d‘assistance pour plus d‘informations sur transferts sécurisés. Vous devez également le transférer avec un formulaire de récépissé de livraison afin que vous ayez une preuve de réception par votre client ou employé.

3. Aucun frais

Vous ne pouvez pas facturer vos clients ou employés pour le traitement des demandes de données personnelles en vertu du RGPD, à moins que ces demandes ne soient manifestement infondées ou excessives, par exemple si vous recevez des demandes répétées de la même personne alors que vous avez déjà répondu à leur(s) première(s) demande(s).

4. Suivez votre conformité

C‘est une bonne idée de suivre quand ces demandes arrivent afin que vous puissiez y répondre dans le délai requis. C‘est également une bonne idée de conserver une trace de la demande et de la recherche effectuée, de sorte que si jamais vous êtes interrogé sur la demande à l‘avenir, vous serez mieux préparé à démontrer la conformité de votre entreprise au RGPD.

Comme indiqué ci-dessus, Square a développé des outils pour vous aider à traiter ces demandes et à télécharger un enregistrement indiquant que vous vous y êtes conformé, la plupart des informations dont vous avez besoin étant disponibles directement à partir de votre type de ressource Tableau de bord Square en ligne

5. Autres conseils

Le RGPD rappelle à tous ceux qui traitent les données personnelles des résidents de l‘UE de gérer correctement ces données et de prendre des mesures pour les sécuriser.

En tant qu‘entreprise, vous devez vous tenir informé de vos responsabilités en vertu du RGPD et sensibiliser également vos employés et vos fournisseurs. En plus d‘être une bonne pratique commerciale, cela vous aidera à éviter d‘avoir des ennuis avec le RGPD.

Les amendes maximales pouvant être imposées en vertu du RGPD sont de 4 % du chiffre d‘affaires mondial ou de 20 millions d‘euros (selon le montant le plus élevé). Plusieurs autres amendes et pénalités peuvent être imposées par les autorités de protection des données en cas de non-conformité au RGPD.

Que contient cet article ?

Vous ne trouvez pas ce que vous cherchez ?

Demander à notre assistant