1 juin 2022
Introduction
Cette page énonce les standards qui s’appliquent au traitement des Données Personnelles Européennes (comme définies ci-dessous) au sein de Crefovi SELAS (‟Crefovi” et les ‟Standards”, respectivement). Crefovi est un cabinet d’avocats européens avec des bureaux dans 2 pays dans le monde. Le cabinet opère sans limites internes et la nature internationale de son activité signifie qu’il est vital que les données personnelles puissent être transférées au sein du cabinet.
Crefovi, par le biais de son conseil d’administration, a pris l’engagement de protéger les données personnelles qui sont traitées au sein du cabinet. En particulier, ces Standards sont destinés à faciliter le transfert des Données Personnelles Européennes (tel que ce terme est défini ci-dessous) au sein de Crefovi, conformément au Règlement Général sur la Protection des Données Personnelles (EU) 2016/679 (le ‟RGPD”).
Définitions
‟Accord REO” désigne l’accord qui engage toutes les Entités de Crefovi qui traitent des Données Personnelles Européennes (tel que ce terme est défini ci-dessous) à se conformer aux Standards.
‟AIPD” désigne l’analyse d’impact sur la protection des données telle que définie à l’article 35 du RGPD.
‟Autorité de Protection des Données” ou ‟APD” signifie l’autorité de supervision responsable pour contrôler et faire respecter la conformité avec les lois de protection des données personnelles dans un pays donné.
‟Clauses Modèles” signifie les clauses contractuelles standard pour le transfert de données personnelles à des gestionnaires ou contrôleurs de données établis dans des pays tiers qui sont publiées, et approuvées, par la Commission Européenne de temps à autre.
‟Crefovi” et ‟le cabinet” signifie Crefovi SELAS, un cabinet d’avocats qui opère de manière globale en tant que société d’exercice libéral par actions simplifiée organisée selon les lois françaises, avec une succursale affiliée conduisant l’activité au Royaume Uni.
‟Données de catégorie spéciale” signifie les Données Personnelles Européennes relatives à l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, les adhésions aux syndicats, les infractions, les condamnations pénales, la santé, l’orientation ou la vie sexuelle, les données génétiques et biométriques et toute autre catégorie couverte par les Lois de Confidentialité de l’UE en vigueur.
‟Données personnelles” signifie des informations relatives à une personne physique identifiée ou identifiable (‟Personne concernée”), une personne identifiable étant une personne pouvant être identifiée, directement ou indirectement, en particulier par référence à un identificateur, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à leur identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale. Le terme « Données personnelles » comprend aussi toutes informations relatives aux personnes qui ne sont pas des personnes physiques , lorsqu’il y a une telle exigence dans les Lois de Confidentialité de l’UE en vigueur.
‟Données Personnelles Européennes” signifie les données personnelles (i) des salariés, avocats, associés, consultants, sous-traitants et candidats potentiels, collectées et traitées en relation avec le recrutement et l’administration des ressources humaines; (ii) des clients, prospects et anciens salariés, traitées en relation avec la fourniture de services juridiques et/ou des objectifs de marketing et communications; et (iii) des fournisseurs, vendeurs, sous-traitants et conseils, traitées dans le contexte d’une relation entre ces entités et Crefovi (davantage d’information à ce propos est énoncée dans l’Avis de confidentialité des client et tiers), par toute Entité de Crefovi, en tant que contrôleur de données soumis aux Lois de Confidentialité de l’UE en vigueur.
‟Droit applicable” signifie la loi du pays où l’Entité de Crefovi est située, et toute autre loi à laquelle une Entité de Crefovi est assujettie.
‟EEE” signifie l’Espace Économique Européen.
‟Entité de Crefovi” signifie chacune des sociétés et succursales formant partie du cabinet.
‟Loi Locale” signifie les lois et/ou règlements de, ou toute autre obligation légale imposée par, tout pays dans lequel une entité de Crefovi est située, autre que les Lois de Confidentialité de l’UE en vigueur.
‟Lois de Confidentialité de l’UE” signifie les lois nationales de l’EEE et du Royaume-Uni mettant en oeuvre le RGPD, la Directive 2002/58/EC du Parlement et du Conseil Européens du 12 juillet 2002 relative au traitement des données personnelles et à la protection de la confidentialité dans le secteur des communications électroniques (la ‟Directive sur la confidentialité et les communications électroniques”) (et toute législation qui l’amende ou la remplace) et toute autre législation européenne sur la confidentialité (y compris, pour éviter tout doute, le ‟Data protection act 2018” du Royaume-Uni).
‟Personnel” signifie les associés, avocats et salariés de Crefovi, à la fois temporaires et permanents.
‟Violation de la sécurité” désigne toute violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à des Données Personnelles Européennes qui sont traitées par une entité de Crefovi.
Les termes ‟traitement”, ‟contrôleur des données” et ‟gestionnaire des données” auront le sens qui leur est attribué dans le RGPD.
Périmètre
Crefovi opère à ce jour dans les pays suivants, avec uniquement le bureau de Paris situé dans l’EEE:
Pays | Bureaux |
France | 59 rue Legendre, 75017 Paris, France |
Royaume Uni | 19 Swallow House, Barrow Hill Estate, Londres, NW8 7BD, Royaume Uni |
Les Standards s’appliquent au traitement des Données Personnelles Européennes par les Entités de Crefovi situées dans l’EEE et au Royaume-Uni.
Les Standards s’appliquent en outre à tout transfert des Données Personnelles Européennes hors de l’EEE ou du Royaume-Uni, par une Entité de Crefovi, et au traitement de ces données exportées par une Entité de Crefovi (soit en sa capacité de contrôleur de données, soit en tant que gestionnaire de données) hors de l’EEE ou du Royaume-Uni.
Aux fins des présents Standards, il est reconnu que:
a) le Royaume-Uni est considéré comme un pays tiers, selon les dispositions du RGPD;
b) en vertu du ‟Data protection act 2018” britannique, les données personnelles peuvent être exportées du Royaume-Uni vers les états-membres de l’EEE, et
c) en vertu du ‟Data protection act 2018” britannique, les Règles d’Entreprise Obligatoires fournissent des garanties appropriées pour le transfert de données personnelles au sein d’un groupe d’entreprises vers des pays en dehors de l’EEE.
Règles et principes
1. Principes de traitement des données personnelles
Lorsqu’elle agit en tant que contrôleur de données, chaque Entité de Crefovi, qui traite des Données personnelles conformément à l’Avis de confidentialité des client et tiers (le cas échéant), se conformera aux principes suivants:
1.1. Les Données Personnelles Européennes seront traitées de manière transparente, équitablement et de manière légale: les personnes concernées auront à leur portée, dans l’hypothèse où les personnes concernées en question ne sont pas déjà au courant, ou ont déjà reçu, des informations concernant l’identité des contrôleurs de données, les objectifs dans lesquels leurs Données personnelles peuvent être utilisées (conformément à toutes restrictions permises sur la fourniture de telles informations, par exemple en connection avec la lutte contre la criminalité, des actions judiciaires ou fiscales, ou lorsque cela est interdit par le Droit applicable), la base légale pour le traitement et autres informations, tel que requis par les Lois de Confidentialité de l’UE en vigueur. Ces informations comprendront des précisions sur les droits existants pour les personnes concernées, conformément aux Lois de Confidentialité de l’UE.
1.2. Les Données Personnelles Européennes seront collectées pour remplir des objectifs professionnels spécifiques, explicites et légitimes et, à moins qu’il n’en soit prévu autrement dans les Lois de Confidentialité de l’UE, ne seront pas traitées plus profondément, de manière qui soit incompatible avec ces objectifs.
1.3. Les Données de catégorie spéciale seront traitées uniquement lorsque cela est vraiment nécessaire, pour les objectifs professionnels légitimes du cabinet et en conformité avec les gardes-fous requis par les Lois de Confidentialité de l’UE en vigueur.
1.4. Des mesures adéquates seront prises pour faire en sorte que les Données Personnelles Européennes collectées et traitées soient appropriées mais non excessives, et qu’elles soient pertinentes, exactes et (quand nécessaire) mises à jour. Des mesures adéquates seront en outre prises afin de corriger ou de supprimer les Données personnelles, lorsque ces dernières seront identifiées comme inexactes.
1.5. Les Données Personnelles Européennes ne seront pas conservées pour une durée plus longue que ce qui est nécessaire pour les objectifs dans lesquels elles sont traitées, et seront conservées conformément avec les politiques de rétention des données personnelles documentées du cabinet (conformément à toutes obligations réglementaires des Lois de Confidentialité de l’UE en vigueur).
2. Sécurité des données personnelles
2.1. Conformément à la technologie de pointe et aux coûts de mise en oeuvre, chaque Entité de Crefovi prendra des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles Européennes contre la destruction accidentelle ou illégale, la perte accidentelle, les altérations, les dommages, la divulgation ou l’accès non autorisé, en particulier quand le traitement implique la transmission de données sur un réseau, et contre toutes les autres formes de traitement illégales. Les mesures assureront un niveau de sécurité adapté aux risques représentés par le traitement et la nature des Données Personnelles Européennes devant être protégées, de manière que les informations de catégorie spéciale et autres données hautement confidentielles recevront une protection accrue. Ces mesures comprendront les processus suivants, quand cela est approprié:
(a) l’utilisation de pseudonymes;
(b) l’encryption;
(c) la confidentialité, l’intégrité, la disponibilité et la résistance des systèmes et services;
(d) des fonctions de back-up et de récupération en cas de catastrophe, et
(e) des processus pour tester, mesurer et évaluer l’efficacité des mesures de sécurité.
2.2. Chaque Entité de Crefovi devra sans délai notifier au Directeur global de la confidentialité des données du cabinet toute Violation de la sécurité. Le Directeur global de la confidentialité des données conservera les traces écrites appropriées documentant la Violation de sécurité, tout impact potentiel sur les personnes concernées et toute action en réparation prise. Le Directeur global de la confidentialité des données doit faire en sorte que des notifications soit faites aux Autorités de Protection des Données pertinentes, et aux personnes concernées affectées, comme cela peut être requis conformément aux Lois de Confidentialité de l’UE. Le Directeur global de la confidentialité des données partagera les enregistrements des violations de sécurité concernant les Données Personnelles Européennes qui sont traitées par une Entité de Crefovi, en tant que contrôleur des données dans l’EEE ou au Royaume-Uni, avec l’APD dans leur état ou pays, s’il est requis par cet APD d’agir ainsi.
2.3. Chaque Entité de Crefovi prendra des mesures pour s’assurer de la fiabilité du Personnel qui a accès à, ou la responsabilité concernant, les Données Personnelles Européennes, y compris le traitement des Données Personnelles Européennes conformément aux instructions du cabinet.
3. Travailler avec les gestionnaires de données
3.1. Quand une Entité de Crefovi s’engage à recevoir des services d’une autre Entité de Crefovi, en tant que gestionnaire des données, afin de traiter les Données Personnelles Européennes en son nom et pour son compte, ce gestionnaire de données se conformera avec les obligations pertinentes des présents Standards, et, si nécessaire, les parties mettront en place les, et se conformeront aux, stipulations d’accords supplémentaires qui pourraient être requis par les Lois de Confidentialité de l’UE en vigueur.
3.2. Quand une Entité de Crefovi s’engage à recevoir des services d’un gestionnaire de données, afin de traiter les Données Personnelles Européennes en son nom et pour son compte, et le gestionnaire de données est un tiers, l’Entité de Crefovi sélectionnera un gestionnaire de données qui fournit des assurances appropriées concernant le niveau de sécurité qu’il va employer, en relation avec les Données Personnelles Européennes à traiter. L’Entité de Crefovi s’assurera qu’un accord est conclu avec les gestionnaires de données tiers, qui couvre les obligations afférentes des Lois de Confidentialité de l’UE en vigueur.
3.3. Quand l’Entité de Crefovi est établie dans l’EEE ou au Royaume-Uni, et recrute un gestionnaire de données tiers, établi hors de l’EEE ou du Royaume-Uni, afin de traiter les Données Personnelles Européennes en son nom et pour son compte, l’Entité de Crefovi va:
(a) soit s’assurer qu’un accord est signé, avec le gestionnaire de données, qui soit substantiellement dans la forme, ou incorporant les termes, des Clauses Modèles pour les gestionnaires de données (sujet à tous amendements qui soient permis par les Lois de Confidentialité de l’UE en vigueur); ou
(b) soit s’assurer que d’autres protections appropriées soient en place, conformément aux Lois de Confidentialité de l’UE en vigueur, pour protéger les Données Personnelles Européennes.
3.4. Si une Entité de Crefovi (agissant en tant que contrôleur des données) transfère les Données Personnelles Européennes à un contrôleur tiers en dehors du cabinet, l’Entité de Crefovi s’assurera que ces transferts sont effectués en conformité avec les obligations imposées par les Lois de Confidentialité de l’UE en vigueur. Quand requis par les Lois de Confidentialité de l’UE en vigueur, ou quand cela est sinon autorisé par les Lois de Confidentialité de l’UE en vigueur, et considéré approprié, l’Entité de Crefovi mettra en place des dispositifs de sécurité pour protéger les Données Personnelles Européennes et les droits des individus. Ces dispositifs de sécurité peuvent prendre la forme d’un accord, soit en la forme des Clauses Modèles pour les transferts de contrôleurs de données à contrôleurs de données, soit dans toute autre forme qui fournira un niveau de protection adéquat.
4. Formation du personnel
4.1. Crefovi maintient un programme de notions de confidentialité et de sécurité ciblé sur l’éducation de tout son Personnel, avocats et assistants juridiques concernant les politiques de confidentialité et de sécurité du cabinet, ainsi que les meilleures pratiques de confidentialité et sécurité.
4.2. Une palette de canaux de communication sera utilisée pour disséminer les informations relatives aux notions de confidentialité et de sécurité. Les fiches de conseil, concernant les meilleures pratiques et les notions de confidentialité et sécurité, ainsi que des guides d’initiative, sont disponibles sur des sites intranet dédiés à la confidentialité et à la sécurité, pour le bénéfice de tout le Personnel.
4.3. Chaque Entité de Crefovi va aussi faire en sorte que le Personnel qui a accès aux, ou la responsabilité de manipuler des, données personnelles, soit entouré de recommandations et formations appropriées.
5. Conflit avec les Lois Locales en vigueur
Quand les Lois Locales requièrent un niveau de protection supérieur pour les Données Personnelles Européennes, que ce qui est énoncé dans ces Standards, les dispositions de la Loi Locale auront préséance.
6. Assistance et coopération mutuelle avec les Autorités de Protection des Données
6.1. Chaque Entité de Crefovi se conformera avec des instructions fournies par l’APD de son pays ou état, en ce qui concerne ces Standards ou le traitement des Données Personnelles Européennes en général, et prendra en considération tout conseil donné par l’APD concernant l’interprétation de ces Standards.
6.2. Les Entités de Crefovi s’assisteront entre elles, afin de répondre à toute demande ou enquête effectuée par un APD, relative à ces Standards.
6.3. Les Entités de Crefovi s’assisteront entre elles, afin de répondre à une demande ou une réclamation émanant d’une personne concernée, relative à ces Standards, ou au traitement de leurs Données Personnelles Européennes.
7. Responsabilité pour la conformité
7.1. Tout le Personnel de Crefovi est tenu de respecter ces Standards, et doit indiquer son adhérence à ces Standards, en conjonction avec la Politique relative aux Usages Acceptables des Systèmes de Communication du cabinet la plus à jour, quand il rejoint le cabinet et par la suite, sur une base annuelle.
7.2. Le cabinet a conclu l’Accord REO. Crefovi France a été nommé par le cabinet en tant qu’Entité de Crefovi avec des responsabilités déléguées en matière de protection des données dans l’EEE. Crefovi France prendra des mesures pour remédier à toute violation des Standards, qu’elle pourra faire respecter contractuellement par le biais de l’Accord REO.
7.3. Crefovi France accepte la responsabilité de prendre des mesures pour remédier aux actes et omissions d’autres Entités de Crefovi en dehors de l’EEE ou du Royaume-Uni, qui enfreignent les présents Standards, et de verser une indemnisation pour tout dommage résultant d’une telle violation des Standards par les Entités de Crefovi situées en dehors de l’EEE ou du Royaume-Uni. Par conséquent, toute réclamation à l’encontre des bureaux de Crefovi situés en dehors de l’EEE et du Royaume-Uni doit être portée contre Crefovi France. Toute réclamation à l’encontre d’un bureau Crefovi situé dans l’EEE ou au Royaume-Uni doit être intentée contre ce bureau Crefovi.
8. Programme d’audit pour vérifier la conformité
Crefovi s’engage à mettre en place des mesures pour évaluer et vérifier la conformité avec les présents Standards, et la législation sur la protection des données personnelles en vigueur.
9. Mises à jour
9.1. Le Comité de Confidentialité de Crefovi gardera ces Standards sous revue, s’assurera qu’ils sont mis à jour régulièrement et communiquera les mises à jour appropriées aux Entités de Crefovi. Le Comité de Confidentialité s’assurera que tous changements dans la structure du cabinet seront reflétés dans ces Standards, et que toute nouvelle Entité de Crefovi sera dans l’obligation d’accepter et de se conformer avec les stipulations des présents Standards.
9.2. Les stipulations non-confidentielles de ces Standards (y compris le contenu de l’Annexe 1 (Procédure de réclamation sur la confidentialité des données personnelles)) seront publiées sur le site externe de Crefovi. Le texte complet des Standards sera communiqué sur demande (à condition qu’un accord de confidentialité ait été signé) à toute personne concernée qui souhaite exercer les droits de correction décrits dans la Procédure de réclamation sur la confidentialité des données personnelles à l’Annexe 1.
10. Droits d’accès, de correction et d’objection (y compris marketing et profilage)
Chaque Entité de Crefovi reconnaît que les personnes concernées ont les droits suivants, en tant que bénéficiaires tiers en relation avec l’Entité de Crefovi, en tant que contrôleur de Données Personnelles Européennes:
10.1. le droit de recevoir des informations concernant la façon dont leurs Données personnelles sont traitées par l’Entité de Crefovi en question, en tant que contrôleur des Données Personnelles Européennes, y compris une copie de ces Standards et de la Procédure de réclamation sur la confidentialité des données personnelles;
10.2. le droit de recevoir une copie des Données Personnelles Européennes détenues à leur propos (y compris le but et la manière dont elles sont traitées) par l’Entité de Crefovi, dans les limites temporelles et aux intervalles spécifiées dans les Lois de Confidentialité de l’UE en vigueur, sujet au paiement de toute somme que l’Entité de Crefovi est en droit de facturer conformément aux Lois de Confidentialité de l’UE en vigueur, et sujet à tous droits de refuser une telle requête, en totalité ou partiellement, qui puissent être ouverts à l’Entité de Crefovi conformément aux Lois de Confidentialité de l’UE applicables;
10.3. le droit d’avoir leurs Données Personnelles Européennes mises à jour, corrigées ou complétées, en particulier du fait de la nature incomplète ou inexacte des données personnelles, sujet aux dispositions des Lois de Confidentialité de l’UE en vigueur;
10.4. le droit d’avoir leurs Données Personnelles Européennes supprimées, sujet aux dispositions des Lois de Confidentialité de l’UE en vigueur;
10.5. le droit de restreindre le traitement des Données Personnelles Européennes, sujet aux dispositions des Lois de Confidentialité de l’UE applicables;
10.6. le droit de recevoir les Données Personnelles Européennes, que la Personne concernée a fourni à une Entité de Crefovi dans sa fonction de contrôleur des Données Personnelles Européennes, dans un format structuré, utilisé de façon commune et lisible par une machine, et de transmettre ces Données personnelles à un autre contrôleur des données, sujet aux dispositions des Lois de Confidentialité de l’UE en vigueur;
10.7. quand cela est requis par les dispositions des Lois de Confidentialité de l’UE, le droit de ne pas recevoir de contenu marketing direct sans avoir donné son consentement préalable et, dans tous les cas, le droit de s’opposer à tout moment au traitement de leurs Données personnelles (y compris le profiling), pour des objectifs de marketing direct;
10.8. le droit de s’opposer à tout moment au traitement de leurs Données Personnelles Européennes, sujet aux dispositions des Lois de Confidentialité de l’UE, et
10.9. le droit de s’opposer aux décisions relatives à leurs Données Personnelles Européennes, qui sont collectées à leur propos, sur la base uniquement d’un traitement automatisé, y compris le profilage, lorsque ces décisions évaluent leurs caractéristiques personnelles ou leur comportement, et produisent des effets juridiques qui les concernent ou les impactent de manière déterminante (à l’exception des cas autorisés par, et sujet aux dispositifs de sécurité énoncés dans, les Lois de Confidentialité de l’UE en vigueur).
11. Violations des présents Standards
Crefovi reconnaît que les personnes concernées doivent être mises en mesure de faire respecter les droits suivants, vis-à-vis du cabinet, concernant leurs Données Personnelles Européennes, en tant que bénéficiaires tiers:
11.1. le droit d’obtenir une copie des présents Standards sur demande (sujet à tout engagement de confidentialité requis, de manière raisonnable, par le cabinet ou l’Entité de Crefovi qui gère la demande);
11.2. le droit de recevoir une réponse dans un délai raisonnable, et pas au delà d’un mois après que la demande ait été formulée, à toutes demandes concernant le traitement des Données Personnelles Européennes de la personne concernée, hors de l’EEE ou du Royaume-Uni;
11.3. le droit de formuler une réclamation et d’obtenir la correction appropriée (y compris, quand nécessaire, des dommages et intérêts pour réparer le préjudice subi), suite à la violation de ces Standards par toute Entité de Crefovi (à l’exclusion de toutes violations des stipulations relatives à la formation du Personnel, les politiques et fonctionnalités de confidentialité de Crefovi, le programme d’audit et les mises à jour de ces Standards);
11.4. le droit de formuler une réclamation auprès d’une Autorité de Protection des Données personnelles dans l’EEE ou au Royaume-Uni, dans le pays de résidence habituelle, ou du lieu de travail de la personne concernée, ou du lieu de la violation alléguée de ces Standards, et
11.5. le droit d’exercer un recours judiciaire efficace devant la juridiction compétente de l’EEE ou du Royaume-Uni, qui pourrait être dans le pays dans lequel l’Entité de Crefovi pertinente est établie, ou le lieu de résidence habituel de la Personne concernée.
12. Exercice des droits des personnes concernées
12.1. Le processus d’exercice des droits décrits en Section 11 est énoncé de manière plus détaillée dans la Procédure de réclamation sur la confidentialité des données personnelles de Crefovi, à l’Annexe 1 de ces Standards.
12.2. Une personne concernée souhaitant faire respecter ses droits, devrait contacter Directeur global de la confidentialité des données en premier, mais peut aussi formuler une réclamation auprès du Président de la Commission Vie Privée situé à Paris, ou de l’APD, ou des juridictions du territoire sur lequel l’Entité de Crefovi pertinente est située.
12.3. Toute personne concernée souhaitant faire respecter ses droits, en application de ces Standards, sera dans l’obligation de fournir des éléments de preuve permettant d’établir un cas ‟prima facies” démontrant qu’une violation aurait eu lieu.
Annexe 1
Procédure de réclamation sur la confidentialité des données personnelles de Crefovi.
