Confidentialité & sécurité
Protéger la confidentialité et la sécurité de vos données événementielles est notre priorité numéro une. C'est pourquoi même les entreprises les plus soucieuses de la sécurité utilisent Lyyti pour leur gestion événementielle.
Lyyti est totalement conforme à la réglementation RGPD, respectant ou dépassant toutes les exigences fixées par le règlement général sur la protection des données.
Votre confidentialité et vos données événementielles sont notre priorité
Entrée en vigueur le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l'Union européenne constitue l'un des changements législatifs internationaux les plus importants en matière de protection des données depuis des décennies. L'objectif du règlement est d'accroître les droits des individus à gérer et à traiter leurs données personnelles et d'harmoniser la législation au sein de l'Union européenne.
Lyyti s'engage fermement en faveur du nouveau règlement sur la protection des données. En plus de nous conformer nous-mêmes à la réglementation, il est important pour nous d’aider nos clients dans leurs démarches de conformité. Cet objectif sera atteint grâce à la formation, à l’instruction et au développement technique de notre logiciel.
Lyyti propose des outils et des fonctionnalités pour une gestion d'événements conforme au RGPD
Lyyti est une société SaaS spécialisée dans la gestion des données des participants, avec des millions d'inscriptions et plus de 100 000 événements traités chaque année. Lorsque des événements sont traités, des informations personnelles identifiables et des informations personnelles sensibles sont toujours impliquées. Nous souhaitons établir des normes élevées en matière de protection des données dans la gestion d’événements et montrer l’exemple. Lyyti offre à tous ses clients tous les outils adéquats nécessaires à la création et à la gestion d'événements conformes au RGPD, et bien plus encore.
Sur la base de centaines d'entretiens avec des clients, nous avons constaté que des entreprises dans toute l'Europe sont confrontées à peu près aux mêmes problèmes en matière de conformité au RGPD. Cette page est un tour d'horizon de ces défis courants en matière de protection des données, où nous présentons également les outils et fonctionnalités fournis par Lyyti pour résoudre ces problèmes.
Tous nos clients ont accès aux outils de conformité de base inclus dans leur licence Lyyti. Cependant, nos clients sont différents et ont des besoins différents. C'est pourquoi nous avons regroupé les outils de conformité avancés soit dans le Centre de Conformité (inclus dans les licences Lyyti achetées ou mises à jour après le 1er janvier 2017), soit dans le niveau de licence Entreprise.
Sécurité des informations
Un haut niveau de sécurité des informations est primordial pour nous.
Garder un haut niveau de sécurité des informations est primordial pour Lyyti. Quand vous nous faites confiance avec vos données événementielles, vous pouvez être assuré de leur sécurité.
Nous nous engageons à 100 % à respecter des normes de sécurité strictes grâce à plusieurs niveaux de protection.
Avec Lyyti, vous avez tous les outils nécessaires pour gérer les données de vos participants en toute sécurité.
L' Information Security Management System (ISMS) de Lyyti est conforme à la norme ISO/IEC 27001, englobant une gamme complète de mesures de sécurité. Ces mesures comprennent des contrôles, des politiques, des lignes directrices, des plans et des procédures, tous conçus pour protéger tous les aspects de nos opérations.
Lyyti traite les données exclusivement sur le territoire de l'UE, dans le strict respect du RGPD (2016/679). Les locaux de Lyyti ont été conçus et équipés pour respecter des règles de sécurité strictes.
Une équipe opérationnelle veille constamment au bon fonctionnement de Lyyti. L'équipe est présente 24h/24 et 7j/7, tous les jours de l'année.
Nous surveillons en permanence les environnements Lyyti pour identifier et corriger rapidement les vulnérabilités potentielles.
Tous les sous-traitants Lyyti sont soigneusement sélectionnés pour répondre à nos normes de sécurité strictes. Chaque sous-traitant est audité chaque année pour garantir sa conformité et une liste de ces partenaires est disponible sur le site web de Lyyti.
Le système de sauvegarde de Lyyti est robuste et englobe quatre niveaux opérationnels distincts et géographiquement séparés pour renforcer la sécurité.
Notre programme de sécurité du personnel exige que tous les employés suivent une formation annuelle sur la sécurité et la protection des données, garantissant ainsi que notre équipe maîtrise le maintien des normes les plus élevées en matière de sécurité des informations.
Le programme de sécurité Lyyti
La sécurité de l'entreprise englobe tous les aspects des opérations de l'entreprise. Les opérations de sécurité protègent les valeurs fondamentales de Lyyti, notamment les personnes, les données, la réputation, les biens, les actifs et l'environnement. L'une des principales responsabilités de la sécurité d'entreprise est d'améliorer la compétitivité de l'entreprise en garantissant la confidentialité, l'intégrité et la disponibilité de toutes les informations traitées.
Information Security Management System (ISMS) de Lyyti
L'ISMS de Lyyti, qui englobe les contrôles, les politiques, les lignes directrices, les plans et les instructions, est basé sur la norme ISO/IEC 27001 et développé conformément aux critères du système d'audit KATAKRI, ce qui signifie « critères d'audit de sécurité nationale » en Finlande. C'est un outil utilisé par les autorités finlandaises pour auditer les dispositions de sécurité des entreprises gérant des informations de sécurité nationale.
Sécurité Physique
Les bureaux Lyyti sont équipés de serrures électroniques, de caméras de surveillance et de systèmes d'alarme antivol modernes et sont surveillés 24h/24 et 7j/7 par une société de sécurité externe. Chaque employé est tenu d'utiliser une clé électronique personnelle pour accéder au bureau. Tous les événements d'accès sont enregistrés, surveillés et peuvent être audités si nécessaire.
Le fournisseur d'hébergement des produits Lyyti adhère à plusieurs normes de sécurité reconnues par l'industrie, telles que ISO 9001, SOC 1 Type II, SOC 2 Type II, ISO 27001, ISO 22301 et PCI-DSS. Une liste complète des certifications du fournisseur d'hébergement peut être trouvée ici : https://upcloud.com/data-centres.
Classification des Données
Lyyti utilise un modèle de classification des données à trois niveaux. Les critères de classification des données dans ces niveaux, ainsi que les lignes directrices pour la gestion de chaque niveau de classification, sont décrits dans notre politique de sécurité. Les employés reçoivent régulièrement une formation sur ces procédures afin de garantir une bonne gestion des données.
Sécurité des terminaux
Tous les appareils électroniques accédant aux données de l'entreprise sont émis par l'entreprise et ont été renforcés de manière documentée. Ces appareils sont protégés contre différents types d’attaques par une solution XDR, surveillée 24h/24 et 7j/7. Lyyti utilise une solution MDM pour le contrôle des politiques et les corrections de ses terminaux, garantissant que tous les appareils sont sécurisés et chiffrés. Les utilisateurs sont tenus de signaler toute anomalie rencontrée lors de l'utilisation des appareils de l'entreprise.
La Politique d'Utilisation de Lyyti décrit l'acceptation de l'utilisation des ressources informatiques de l'entreprise et des actifs émis par l'entreprise et inclut le processus en cas de violation de la politique.
Formations de Sécurité
Tous les nouveaux employés doivent suivre une formation sur la sécurité et la confidentialité et réussir un examen dès leur premier jour de travail. Le contenu de la formation est périodiquement mis à jour et tout le personnel doit réussir ces mises à jour et réussir les examens correspondants dans les délais impartis, normalement au moins une fois par an. Les résultats de ces examens sont soigneusement surveillés et enregistrés à des fins de responsabilité.
Les développeurs sont formés chaque année aux pratiques de développement de logiciels sécurisés.
Cryptage des Données
Tous les appareils émis par l'entreprise sont cryptés. Les données clients sont toujours traitées sous forme cryptée, tant au repos qu'en transit.
Rôles de Sécurité dans l'Entreprise
Tous les rôles liés à la sécurité sont décrits sur les pages internes de l'entreprise Lyyti. Les canaux de communication sécurisés de l'entreprise incluent les coordonnées des titulaires du rôle de sécurité.
Description de la Politique
La politique de sécurité de l'entreprise comprend plusieurs sous-politiques et directives contrôlés, chacune étant attribué à un propriétaire désigné ayant la responsabilité principale du processus d'examen. Ces documents font l'objet d'un processus de révision annuel, ou plus si besoin. Ce système robuste garantit que les politiques et directives restent à jour et alignées sur les objectifs, les buts et les exigences statutaires de l'entreprise.
Violations de sécurité et
Gestion des incidents
Lyyti maintient des processus documentés et des plans complets de gestion des incidents, assurant une surveillance continue des failles de sécurité avec des solutions sophistiquées. Tous les employés sont tenus de signaler rapidement toute violation détectée ou suspectée des politiques de sécurité de l'information, toute tentative d'intrusion, toute violation de données, tout vol ou perte de matériel, ou tout autre événement et incident lié à la sécurité.
L'entreprise revoit régulièrement sa documentation de gestion des incidents et la rend accessible à tous les utilisateurs. La documentation décrit les protocoles de communication à suivre lors d'incidents, soulignant l'importance d'une réponse rapide pour protéger les services et les données de Lyyti.
Gestion des Risques
La gestion des risques fait partie intégrante du processus stratégique de Lyyti. Elle aide l'entreprise à atteindre ses objectifs en garantissant que les risques sont proportionnels à la capacité de risque.
Lyyti a identifié et documenté divers risques dans son registre des risques. Les risques ont été classifiés et analysés, et des plans d'action sont élaborés chaque année pour les atténuer. Le CTO, avec le PDG et l'équipe de conformité, est responsable de la formulation de la politique de gestion des risques et de l'évaluation des risques. L'équipe de direction approuve la politique de gestion des risques et revoit le processus chaque année.
Plan de Continuité des Activités (PCA) et Plan de Reprise d'Activité (PRA)
Lyyti dispose d'un Plan de Continuité des Activités (Business Continuity Plan) soutenu par un Plan de Reprise d'Activité après sinistre (Disaster Recovery Plan). Cela garantit que toutes les fonctions commerciales critiques peuvent continuer, pendant et après un incident grave. L’objectif principal du Plan de Reprise d'Activité après sinistre est de minimiser les temps d’arrêt du système et les pertes de données. Ces documents sont régulièrement révisés pour garantir leur efficacité.
Analyses de vulnérabilité et Surveillance
Toute l'infrastructure Lyyti fait l'objet d'une surveillance opérationnelle 24h/24 et 7j/7, y compris l'infrastructure cloud, les réseaux, les points finaux et les propriétés des bureaux. Toutes les anomalies trouvées sont classées, documentées et traitées conformément aux politiques et directives.
Tous les environnements sont analysés contre les vulnérabilités en ligne, quotidiennement ou hebdomadairement, selon le système.
Tests d'Intrusions
Une société externe indépendante effectue des tests d'intrusion au moins une fois par an. Tous les résultats possibles sont documentés dans les systèmes électroniques et traités de manière appropriée.
Un résumé du dernier test d'intrusion, exécuté par Fraktal Oy en mars 2024.
Processus de Mise à Jour
Le matériel et les logiciels de production de Lyyti sont surveillés en permanence pour détecter les vulnérabilités potentielles. Les vulnérabilités classées comme « Critiques » ou « Élevées » selon le système d'évaluation de gravité CVSS v3.0 sont corrigées immédiatement, tandis que celles classées « Moyennes » ou inférieures sont corrigées dans le mois suivant la publication du correctif.
Pratiques de Sécurité des Employés et des Sous-traitants
Lyyti s'engage à maintenir les plus hauts niveaux de sécurité, en commençant par les processus d'embauche et d'intégration des employés et des sous-traitants. L'entreprise n'embauche que des personnes fiables et dignes de confiance et, de plus, chaque contrat comprend une clause de confidentialité pour protéger toute information sensible.
Pour garantir la sécurité, le personnel et les sous-traitants suivent une formation et doivent passer des évaluations avant de se voir accorder l'accès au système. L'accès est strictement réglementé en fonction des rôles professionnels, autorisant uniquement l'accès nécessaire aux données sensibles.
De plus, comme exigence de leur emploi ou de leur accord contractuel, tous les membres du personnel doivent adhérer aux politiques de sécurité de l'entreprise. Cet engagement strict envers les pratiques et politiques de sécurité aide Lyyti à protéger ses actifs, ses données et la confidentialité de ses clients.
Départ d'un Employé
Lorsqu’un employé quitte l’entreprise, un processus de départ détaillé, étape par étape, est suivi. Cela inclut, par exemple, la désactivation ou la suppression immédiate du compte utilisateur sur tous les systèmes utilisés et l'effacement des terminaux utilisés. Tous les appareils émis par l'entreprise sont répertoriés dans les registres d'actifs et sont collectés et gérés selon des procédures documentées.
Emplacement des données et sous-traitement
Toutes les données traitées par Lyyti, y compris le sous-traitement, sont traitées dans la région UE. Une liste des sous-traitants utilisés par Lyyti est disponible sur https://www.lyyti.com/en/subprocessors et tous les sous-traitants sont examinés chaque année.
Les fonctionnalités Lyyti pour la protection des données
Des listes d'informations dispersées, c'est-à-dire enregistrées ici et là, peuvent poser problème. Des listes dispersés se forment facilement lors d’événements, lorsqu’il existe un besoin indéniable de partager des informations spécifiques sur les participants avec des tiers tels que des représentants de la restauration ou de l’hébergement.
Lyyti propose une base de données centralisée des participants pour le stockage en toute sécurité des informations personnellement identifiables. Les données peuvent être partagées en toute sécurité via des rapports en ligne, qui peuvent être étroitement réglementés par l'expéditeur : le rapport peut être protégé par mot de passe, l'accès peut être restreint et le rapport peut expirer à une certaine heure. Grâce aux rapports en ligne, le destinataire n'a jamais besoin de sauvegarder de données personnelles sur son propre appareil.
La fonctionnalité de reporting en ligne est incluse dans tous les types de licence Lyyti.
La politique de confidentialité est le document qui explique à la personne enregistrée comment et pourquoi ses données sont stockées et traitées. Une entreprise peut avoir plusieurs politiques de confidentialité en raison de plusieurs registres, par ex. un à des fins de marketing et un autre pour les données clients. La politique de confidentialité doit être accessible aux personnes enregistrées.
Tous nos clients ont la possibilité de créer et de publier (en plusieurs langues si nécessaire) une politique de confidentialité pour leurs événements Lyyti. En pratique, cela est suffisant lorsque le client ne tient qu'un seul registre.
Une fonctionnalité de politique de confidentialité est incluse dans tous les types de licence Lyyti.
Si une entreprise gère des événements qui forment des systèmes de classement ou des listes distinctes (par exemple, des événements clients liés aux listes de marketing ou des événements internes liés au registre des employés), il peut être nécessaire de gérer plusieurs politiques de confidentialité différentes.
Une personne peut être inscrite dans un système de classement dans Lyyti sur la base d'un consentement explicite, où la personne coche une case pour accepter d'être enregistrée. L'inscription peut également être basée sur d'autres conditions, qui doivent être précisées à la personne lors de son inscription. Dans ce cas, un consentement explicite n’est pas nécessaire, à condition que les conditions soient clairement présentées à la personne enregistrée.
Plusieurs listes distinctes dans Lyyti constituent un modèle particulièrement utile pour les agences événementielles. Dans ce modèle, le client produit des événements pour son client, ce qui en fait non pas un contrôleur de registre, mais un processeur. Une agence événementielle peut créer des politiques de confidentialité spécifiques au client, gérer les questions de consentement spécifiques au client et modifier ou supprimer des données dans des listes spécifiques de son client.
La fonctionnalité de listes multiples est disponible dans les licences Lyyti qui incluent le Centre de Conformité. Le Centre de Conformité est inclus dans les licences achetées ou mises à jour après le 1er janvier 2017.
Si le consentement explicite du participant/de la personne inscrite est demandé pour quelque chose (par exemple pour une newsletter), les informations de consentement peuvent être stockées et traitées dans Lyyti. La fonctionnalité de question de consentement est facile à utiliser et transparente tant pour l’utilisateur que pour le participant. Si le consentement a été donné lors d'un événement précédent, Lyyti le reconnaîtra sur la base de l'adresse e-mail liée à la participation, ce qui élimine les questions de consentement répétées.
Une question de consentement et la gestion du consentement sont incluses dans tous les types de licence Lyyti.
Lorsqu'il est nécessaire de répondre à plusieurs questions de consentement distinctes (par exemple plusieurs newsletters différentes ou d'autres types de consentements marketing), un nombre illimité peut être créé dans Lyyti. Les questions de consentement pertinentes peuvent être sélectionnées pour chaque événement à la discrétion de l’utilisateur.
La fonctionnalité de questions de consentements multiples est disponible dans les licences Lyyti qui incluent le Centre de Conformité. Le Centre de Conformité est inclus dans les licences achetées ou mises à jour après le 1er janvier 2017.
Conformément à l'article 15 du règlement, la personne inscrite (en l'occurrence le participant) a le droit d'accéder à ses données personnelles et aux informations sur la manière dont ses données personnelles sont traitées, et de demander des modifications ou leur effacement.
Lyyti a résolu ce problème en fournissant une fonction de recherche qui récupère toutes les données sur un participant et les compile dans un fichier PDF ou en langage machine. La recherche peut être exécutée soit parmi les événements appartenant à un utilisateur, soit parmi tous les événements appartenant à l'ensemble de l'entreprise cliente.
La récupération des données des participants à partir des événements d'un utilisateur est incluse dans tous les types de licence Lyyti.
La récupération des données des participants à partir des événements de l'ensemble de l'entreprise et la génération de fichiers PDF ou en langage machine sont disponibles dans les licences Lyyti qui incluent le Centre de Conformité. Le Centre de Conformité est inclus dans les licences achetées ou mises à jour après le 1er janvier 2017.
Lorsqu'une entreprise gère plusieurs registres, la recherche des données des participants peut être effectuée soit dans un seul registre, soit dans tous les registres existants à la fois.
La récupération des données des participants à partir d'une ou plusieurs listes est disponible dans les licences Lyyti qui incluent le Centre de Conformité. Le Centre de Conformité est inclus dans les licences achetées ou mises à jour après le 1er janvier 2017.
Les informations personnelles identifiables perdent leur statut de sensibilité lorsque toutes les données qui pourraient aider à relier les informations à une personne physique sont supprimées. Le processus est appelé anonymisation, après quoi les données ne sont plus soumises au RGPD. Ces données d'événement anonymisées peuvent être utilisées à des fins statistiques, etc. Le besoin d'anonymisation peut résulter soit de la demande de la personne inscrite à l'événement, soit lorsque la nécessité de traiter certaines informations personnelles a disparu (par exemple, un temps suffisamment long s'est écoulé depuis l'événement).
Une fonctionnalité d'anonymisation permettant de traiter un participant individuel à la fois est incluse dans tous les types de licence Lyyti.
Lorsqu’une entreprise contrôle plusieurs listes, il peut s’avérer nécessaire de rechercher et d’anonymiser une personne enregistrée dans une seule de ces listes. Un bon exemple est une entreprise qui exige un consentement explicite pour inscrire un participant dans son registre des participants, mais qui souhaite séparer sa liste de participants et sa liste commerciale.
Les agences d'événements et les organisateurs de conférences apprécient cette fonctionnalité, car elle permet de conserver séparément les listes des participants des différents clients et de diriger facilement la recherche de participants vers la bonne liste.
L'anonymisation couvrant une ou plusieurs liste est disponible dans les licences Lyyti qui incluent le Centre de Conformité. Le Centre de Conformité est inclus dans les licences achetées ou mises à jour après le 1er janvier 2017.
L'anonymisation de l'intégralité d'un événement en un seul clic est une fonctionnalité pratique pour se débarrasser des données personnelles identifiables, par ex. pour les événements anciens et archivés.
L'anonymisation de l'intégralité d'un événement est disponible dans les licences Lyyti qui incluent le Centre de Conformité. L’anonymisation étant irréversible, cette fonctionnalité n’est accessible qu’à l’utilisateur administrateur.
L'anonymisation automatique est un ensemble d'outils permettant à l'utilisateur administrateur de définir certaines règles d'anonymisation à l'échelle de l'entreprise. Les données peuvent être configurées pour être anonymisées à un moment donné, ou alors un certain champ ou une certaine question peuvent être anonymisé automatiquement à la discrétion de l’utilisateur administrateur.
Cet ensemble d'outils est particulièrement utile aux grandes entreprises et autres clients qui souhaitent standardiser et centraliser les pratiques de gestion des données et d'anonymisation pour l'ensemble de l'entreprise.
L'anonymisation automatique est disponible dans les licences Lyyti Entreprise.
La participation à un événement agit souvent comme une expression de consentement, par ex. lorsqu'un participant s'inscrit à un événement et accepte simultanément de recevoir une newsletter comme indiqué dans la politique de confidentialité du registre du marketing. Dans ces cas, les informations de consentement ainsi que les informations sur les participants doivent être saisies dans un autre système (par exemple une plateforme de marketing), où le registre est ensuite traité.
L'exportation des informations de consentement via des rapports et la génération de fichiers Excel est disponible dans tous les types de licence Lyyti.
Les utilisateurs qui gèrent et traitent généralement leurs registres dans un autre système (CRM, plateforme marketing, système RH, etc.) et la gestion de leurs événements dans Lyyti, apprécient le fait que les informations de consentement puissent être gérées automatiquement. L’exportation (et l’importation) automatique des informations de consentement peut être facilitée via l’API de Lyyti.
L'exportation et l'importation des informations de consentement via l'API sont disponibles dans les licences Lyyti Entreprise.
Les informations concernant l’état de santé, l’activité politique ou l’orientation sexuelle d’une personne physique sont des exemples d’informations personnelles sensibles. Les informations personnelles sensibles ne doivent être traitées et stockées que lorsqu’elles sont absolument nécessaires et supprimées lorsqu’elles ne sont plus nécessaires.
Lyyti propose des outils permettant de signaler certaines questions comme données sensibles et de planifier la suppression de ces données. L'utilisateur administrateur peut définir les règles relatives aux données sensibles pour l'ensemble de l'entreprise, garantissant ainsi une suppression sûre et certaine des données sensibles.
Des outils de gestion des données personnelles sensibles sont disponibles dans les licences Lyyti Entreprise.
Veuillez garder à l’esprit que les événements eux-mêmes n’ont pas besoin d’être supprimés, car ils ne constituent pas des informations personnellement identifiables.
Lorsqu’il s’agit de données personnelles contenues dans des événements passés, il est bon de réfléchir à ces points :
L'organisateur est-il soumis à une obligation légale de conserver les données, par ex. relative à une preuve d’études ou à des fins de comptabilité ?
L'organisateur a-t-il une base et une finalité légales pour le traitement des données, par ex. dans des événements destinés aux clients déjà inscrits dans le registre des clients ?
L'organisateur a-t-il une raison de stocker les données dans le cadre d'une activité économique légitime ou pour remplir des obligations contractuelles (par exemple un événement récurrent où une participation antérieure peut affecter les futures listes d'invités) ?
S’il n’est pas nécessaire de conserver des données personnelles issues d’événements passés, cela peut être pour les anonymiser, par exemple les événements qui se sont terminés il y a plus de deux ans, au lieu de les supprimer complètement. Nous recommandons de procéder à cette opération un événement à la fois, car l'anonymisation ne peut pas être annulée.
Lyyti en chiffres
55+
Employés en Europe
2100+
Clients internationaux
50+/98+
NPS/CSAT
22
Langues d'inscription
100+K
Evénements créés annuellement