Standards de confidentialité globaux | Règles d’Entreprise Obligatoires

27 août 2020

Introduction

Cette page énonce les standards qui s’appliquent au traitement des Données Personnelles Européennes (comme définies ci-dessous) au sein de Crefovi SELAS (les ‟Standards”). Crefovi SELAS est un cabinet d’avocats européens avec des bureaux dans 2 pays en Europe. Le cabinet opère sans limites internes et la nature internationale de son activité signifie qu’il est vital que les données personnelles puissent être transférées au sein du cabinet.

Crefovi SELAS, par le biais de son conseil d’administration, a pris l’engagement de protéger les données personnelles qui sont traitées au sein du cabinet. En particulier, ces Standards sont destinés à faciliter le transfert des Données Personnelles Européennes au sein de Crefovi SELAS, conformément au Règlement Général sur la Protection des Données Personnelles (EU) 2016/679 (the ‟RGPD”).

Définitions

‟Autorité de Protection des Données” ou ‟APD” signifie l’autorité de supervision responsable pour contrôler et faire respecter la conformité avec les lois de protection des données personnelles dans un pays donné.

‟Clauses Modèles” signifie les clauses contractuelles standard pour le transfert de données personnelles à des gestionnaires ou contrôleurs de données établis dans des pays tiers qui sont publiées, et approuvées, par la Commission Européenne de temps à autre.

Crefovi” et ‟le cabinet” signifie Crefovi SELAS, un cabinet d’avocats qui opère de manière globale en tant que société d’exercice libéral par actions simplifiée organisée selon les lois françaises, avec une succursale affiliée conduisant l’activité au Royaume Uni.

‟Données de catégorie spéciale” signifie les Données Personnelles Européennes relatives à l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, les adhésions aux syndicats, les infractions, les condamnations pénales, la santé, l’orientation ou la vie sexuelle, les données génétiques et biométriques et toute autre catégorie couverte par les Lois de Confidentialité de l’UE en vigueur.

‟Données personnelles” signifie des informations relatives à une personne physique identifiée ou identifiable (‟Personne concernée”), une personne identifiable étant une personne pouvant être identifiée, directement ou indirectement, en particulier par référence à un identificateur, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à leur identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale. Le terme « Données personnelles » comprend aussi toutes informations relatives aux personnes qui ne sont pas des personnes physiques , lorsqu’il y a une telle exigence dans les Lois de Confidentialité de l’UE en vigueur.

‟Données Personnelles Européennes” signifie les données personnelles (i) des salariés, avocats, associés, consultants, sous-traitants et candidats potentiels, collectées et traitées en relation avec le recrutement et l’administration des ressources humaines; (ii) des clients, prospects et anciens salariés, traitées en relation avec la fourniture de services juridiques et/ou des objectifs de marketing et communications; et (iii) des fournisseurs, vendeurs, sous-traitants et conseils, traitées dans le contexte d’une relation entre ces entités et Crefovi (davantage d’information à ce propos est énoncée dans l’Avis de confidentialité des client et tiers), par toute Entité de Crefovi, en tant que contrôleur de données soumis aux Lois de Confidentialité de l’UE en vigueur.

Droit applicable” signifie la loi du pays où l’Entité de Crefovi est située, et toute autre loi à laquelle une Entité de Crefovi est assujettie.

EEE” signifie l’Espace Économique Européen.

‟Entité de Crefovi” signifie chacune des sociétés et succursales formant partie du cabinet.

Loi Locale” signifie les lois et/ou règlements de, ou toute autre obligation légale imposée par, tout pays dans lequel une entité de Crefovi est située, autre que les Lois de Confidentialité de l’UE en vigueur.

Lois de Confidentialité de l’UE” signifie les lois nationales mettant en oeuvre le RGPD, la Directive 2002/58/EC du Parlement et du Conseil Européens du 12 juillet 2002 relative au traitement des données personnelles et à la protection de la confidentialité dans le secteur des communications électroniques (la ‟Directive sur la confidentialité et les communications électroniques”) (et toute législation qui l’amende ou la remplace) et toute autre législation européenne sur la confidentialité.

Personnel” signifie les associés, avocats et salariés de Crefovi.

Les termes ‟traitement”, ‟contrôleur des données” et ‟gestionnaire des données” auront le sens qui leur est attribué dans le RGPD.

Périmètre

Crefovi opère à ce jour dans les pays suivants, tous situés dans l’EEE:

Pays

Bureaux

France

59 rue Legendre, 75017 Paris, France

Royaume Uni

19 Swallow House, Barrow Hill Estate, Londres, NW8 7BD, Royaume Uni

Les Standards s’appliquent au traitement des Données Personnelles Européennes par les Entités de Crefovi situées dans l’EEE.

Les Standards s’appliquent en outre à tout transfert des Données Personnelles Européennes hors de l’EEE, par une Entité de Crefovi, et au traitement de ces données exportées par une Entité de Crefovi (soit en sa capacité de contrôleur de données, soit en tant que gestionnaire de données) hors de l’EEE.

Règles et principes

1. Principes de traitement des données personnelles

Lorsqu’elle agit en tant que contrôleur des données, chaque Entité de Crefovi, qui traite des Données personnelles conformément à l’Avis de confidentialité des client et tiers (le cas échéant), se conformera aux principes suivants:

  • les Données Personnelles Européennes seront traitées de manière transparente, équitablement et de manière légale: les Personnes concernées auront à leur portée, dans l’hypothèse où les Personnes concernées en question ne sont pas déjà au courant, ou ont déjà reçu, des informations concernant l’identité des contrôleurs de données; les objectifs dans lesquels leurs Données personnelles peuvent être utilisées (conformément à toutes restrictions permises sur la fourniture de telles informations, par exemple en connection avec la lutte contre la criminalité, des actions judiciaires ou fiscales, ou lorsque cela est interdit par le Droit applicable), la base légale pour le traitement et autres informations, tel que requis par les Lois de Confidentialité de l’UE en vigueur. Ces informations comprendront des précisions sur les droits existants pour les Personnes concernées, conformément aux Lois de Confidentialité de l’UE.
  • les Données Personnelles Européennes seront collectées pour remplir des objectifs professionnels spécifiques, explicites et légitimes et, à moins qu’il n’en soit prévu autrement dans les Lois de Confidentialité de l’UE, ne seront pas traitées plus profondément, de manière qui soit incompatible avec ces objectifs.
  • les Données de catégorie spéciale seront traitées uniquement lorsque cela est vraiment nécessaire, pour les objectifs professionnels légitimes du cabinet et en conformité avec les gardes-fous requis par les Lois de Confidentialité de l’UE en vigueur.
  • des mesures adéquates seront prises pour faire en sorte que les Données Personnelles Européennes collectées et traitées soient appropriées mais non excessives, et qu’elles soient pertinentes, exactes et (quand nécessaire) mises à jour. Des mesures adéquates seront en outre prises afin de corriger ou de supprimer les Données personnelles, lorsque ces dernières seront identifiées comme inexactes.
  • les Données Personnelles Européennes ne seront pas conservées pour une durée plus longue que ce qui est nécessaire pour les objectifs dans lesquels elles sont traitées, et seront conservées conformément avec les politiques de rétention des données personnelles documentées du cabinet (conformément à toutes obligations réglementaires ou aux Lois de Confidentialité de l’UE en vigueur).

2. Sécurité des données personnelles

Conformément à la technologie de pointe et aux coûts de mise en oeuvre, chaque Entité de Crefovi prendra des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles Européennes contre la destruction accidentelle ou illégale, la perte accidentelle, les altérations, les dommages, la divulgation ou l’accès non autorisé, en particulier quand le traitement implique la transmission de données  sur un réseau, et contre toutes les autres formes de traitement illégales. Les mesures assureront un niveau de sécurité adapté aux risques représentés par le traitement et la nature des Données Personnelles Européennes devant être protégées, afin que les informations de catégorie spéciale et autres données hautement confidentielles recevront une protection accrue. Ces mesures comprendront les processus suivants, quand cela est approprié:

  • l’utilisation de pseudonymes;
  • l’encryption;
  • la confidentialité, l’intégrité, la disponibilité et la résistante des systèmes et services;
  • des fonctions de back-up et de récupération en cas de catastrophe, et
  • des processus pour tester, mesurer et évaluer l’efficacité des mesures de sécurité.

Chaque Entité de Crefovi devrait sans délai notifier au Directeur global de la confidentialité des données de Crefovi toute violation de la sécurité causant la destruction, la perte, l’altération, la divulgation non autorisée, ou l’accès, accidentels ou illégaux, aux Données Personnelles Européennes qui sont traitées par cette Entité de Crefovi (une ‟violation de sécurité”). Le Directeur global de la confidentialité des données conservera des traces écrites appropriées documentant la violation de sécurité, tout impact potentiel sur les Personnes concernées et toute action en réparation prise. Le Directeur global de la confidentialité des données doit faire en sorte que des notifications soit faites aux Autorités de Protection des Données pertinentes, et aux Personnes concernées affectées, comme cela peut être requis conformément aux Lois de Confidentialité de l’UE. Le Directeur global de la confidentialité des données va partager les enregistrements des violations de sécurité  concernant les Données Personnelles Européennes qui sont traitées par une Entité de Crefovi, en tant que contrôleur des données dans l’EEE, avec l’APD dans leur état ou pays, s’il est requis par cet APD d’agir ainsi.

Chaque Entité de Crefovi prendra des mesures pour s’assurer de la fiabilité du Personnel qui a accès à, ou la responsabilité concernant, les Données Personnelles Européennes, y compris le traitement des Données Personnelles Européennes conformément aux instructions du cabinet.

3. Travailler avec les gestionnaires de données

Quand une Entité de Crefovi s’engage à recevoir des services d’une autre Entité de Crefovi, en tant que gestionnaire des données, afin de traiter les Données Personnelles Européennes en son nom et pour son compte, ce gestionnaire des données va se conformer avec les obligations pertinentes des présents Standards, et, si nécessaire, les parties mettront en place les, et se conformeront aux, stipulations d’accords supplémentaires qui pourraient être requis par les Lois de Confidentialité de l’UE en vigueur.

Quand une Entité de Crefovi s’engage à recevoir des services d’un gestionnaire de données, afin de traiter les Données Personnelles Européennes en son nom et pour son compte, et le gestionnaire de données est un tiers, l’Entité de Crefovi va sélectionner un gestionnaire de données qui fournit des assurances appropriées concernant le niveau de sécurité qu’il va employer, en relation avec les Données Personnelles Européennes à traiter. L’Entité de Crefovi va s’assurer qu’un accord est conclu avec les gestionnaires de données tiers, qui couvre les obligations afférentes des Lois de Confidentialité de l’UE en vigueur.

Quand l’Entité de Crefovi est établie dans l’EEE et recrute un gestionnaire de données tiers, établi hors de l’EEE, afin de traiter les Données Personnelles Européennes en son nom et pour son compte, l’Entité de Crefovi va:

  • soit s’assurer qu’un accord est signé, avec le gestionnaire de données, qui soit substantiellement dans la forme, ou incorporant les termes, des Clauses Modèles pour les gestionnaires de données (sujet à tous amendements qui soient permis par les Lois de Confidentialité de l’UE en vigueur); ou
  • soit s’assurer que d’autres protections appropriées soient en place, conformément aux Lois de Confidentialité de l’UE en vigueur, pour protéger les Données Personnelles Européennes.

Si une Entité de Crefovi (agissant en tant que contrôleur des données) transfère les Données Personnelles Européennes à un contrôleur tiers en dehors du cabinet, l’Entité de Crefovi va s’assurer que ces transferts sont effectués en conformité avec les obligations imposées par les Lois de Confidentialité de l’UE en vigueur. Quand requis par les Lois de Confidentialité de l’UE en vigueur, ou quand cela est sinon autorisé par les Lois de Confidentialité de l’UE en vigueur, et considéré approprié, l’Entité de Crefovi mettra en place des dispositifs de sécurité pour protéger les Données Personnelles Européennes et les droits des individus. Ces dispositifs de sécurité peuvent prendre la forme d’un accord, soit en la forme des Clauses Modèles pour les transferts de contrôleurs de données à contrôleurs de données, soit dans toute autre forme qui fournira un niveau de protection adéquat.

4. Formation du personnel

Crefovi maintient un programme de notions de confidentialité et de sécurité ciblé sur l’éducation de tout son Personnel, avocats et assistants juridiques concernant les politiques de confidentialité et de sécurité du cabinet, ainsi que les meilleures pratiques de confidentialité et sécurité. Une palette de canaux de communication sera utilisée pour disséminer les informations relatives aux notions de confidentialité et de sécurité. Les fiches de conseil, concernant les meilleures pratiques et les notions de confidentialité et sécurité, ainsi que des guides d’initiative, sont disponibles sur des sites intranet dédiés à la confidentialité et à la sécurité, pour le bénéfice de tout le Personnel.

Chaque Entité de Crefovi va aussi faire en sorte que le Personnel qui a accès aux, ou la responsabilité de manipuler des, données personnelles, soit entouré de recommandations et formations appropriées.

5. Conflit avec les Lois Locales en vigueur

Quand les Lois Locales requièrent un niveau de protection supérieur pour les Données Personnelles Européennes, que ce qui est énoncé dans ces Standards, les dispositions de la Loi Locale auront préséance.

6. Assistance et coopération mutuelle avec les Autorités de Protection des Données

Chaque Entité de Crefovi se conformera avec des instructions fournies par l’APD de son pays ou état, en ce qui concerne ces Standards ou le traitement des Données Personnelles Européennes en général, et prendra en considération tout conseil donné par l’APD concernant l’interprétation de ces Standards.

Les Entités de Crefovi s’assisteront entre elles, afin de répondre à toute demande ou enquête effectuée par un APD, relative à ces Standards.

Les Entités de Crefovi s’assisteront entre elles, en outre, afin de répondre à une demande ou une réclamation émanant d’une Personne concernée, relative à ces Standards, ou au traitement de leurs Données Personnelles Européennes.

Règles applicables à l’exercice et à la conformité

7. Responsabilité pour la conformité

Tout le Personnel de Crefovi est tenu de respecter ces Standards, et doit indiquer son adhérence à ces Standards, en conjonction avec la Politique la plus à jour, du cabinet, relative aux Usages Acceptables des Systèmes de Communication, sur une base annuelle.

Le cabinet a conclu un accord qui engage toutes les Entités de Crefovi qui traitent des Données Personnelles Européennes, de se conformer avec ces Standards (l’ ‟Accord REO”). Crefovi SELAS a été mandaté par le cabinet en tant qu’Entité de Crefovi ayant les responsabilités déléguées de protection des données personnelles de l’EEE. Le Directeur global de la confidentialité des données à Crefovi Paris est le point de contact pour toute demande ou réclamation relative à la conformité avec ces Standards. Crefovi SELAS fera en sorte de prendre les mesures appropriées pour remédier à toute violation des Standards, qu’elle peut appliquer contractuellement par le biais de l’Accord REO.

8. Programme d’audit pour vérifier la conformité

Crefovi s’engage à mettre en place des mesures pour évaluer et vérifier la conformité avec les présents Standards, et la législation sur la protection des données personnelles en vigueur.

9. Mises à jour

Le Comité de Confidentialité de Crefovi gardera ces Standards sous revue, s’assurera qu’ils sont mis à jour régulièrement et communiquera les mises à jour appropriées aux Entités de  Crefovi. Le Comité de Confidentialité s’assurera que tous changements dans la structure du cabinet seront reflétés dans ces Standards, et que toute nouvelle Entité de Crefovi sera dans l’obligation d’accepter et de se conformer avec les stipulations des présents Standards.

Les stipulations non-confidentielles de ces Standards (y compris le contenu de l’Annexe 1 (Procédure de réclamation sur la confidentialité des données personnelles)) seront publiées sur le site externe de Crefovi. Le texte complet des Standards sera communiqué sur demande (à condition qu’un accord de confidentialité ait été signé) à toute Personne concernée qui souhaite exercer les droits de correction décrits dans la Procédure de réclamation sur la confidentialité des données personnelles à l’Annexe 1.

Droits des Personnes concernées

10. Droits d’accès, de correction et d’objection (y compris marketing)

Chaque Entité de Crefovi reconnaît que les Personnes concernées ont les droits suivants, en relation avec l’Entité de Crefovi, en tant que contrôleur de Données Personnelles Européennes:

  • le droit de recevoir des informations concernant la façon dont leurs Données personnelles sont traitées par l’Entité de Crefovi en question, en tant que contrôleur des Données Personnelles Européennes, y compris une copie de ces Standards et de la Procédure de réclamation sur la confidentialité des données personnelles;
  • le droit de recevoir une copie des Données Personnelles Européennes détenues à leur propos (y compris le but et la manière dont elles sont traitées) par l’Entité de Crefovi, dans les limites temporelles et aux intervalles spécifiées dans les Lois de Confidentialité de l’UE en vigueur, sujet au paiement de toute somme que l’Entité de Crefovi est en droit de facturer conformément aux Lois de Confidentialité de l’UE en vigueur, et sujet à tous droits de refuser une telle requête, en totalité ou partiellement, qui puissent être ouverts à l’Entité de Crefovi conformément aux Lois de Confidentialité de l’UE applicables;
  • le droit d’avoir leurs Données Personnelles Européennes mises à jour, corrigées ou complétées, en particulier du fait de la nature incomplète ou inexacte des données personnelles, sujet aux dispositions des Lois de Confidentialité de l’UE en vigueur;
  • le droit d’avoir leurs Données Personnelles Européennes supprimées, sujet aux dispositions des Lois de Confidentialité de l’UE en vigueur;
  • le droit de restreindre le traitement des Données Personnelles Européennes, sujet aux dispositions des Lois de Confidentialité de l’UE applicables;
  • le droit de recevoir les Données Personnelles Européennes, que la Personne concernée a fourni à une Entité de Crefovi dans sa fonction de contrôleur des Données Personnelles Européennes, dans un format structuré, utilisé de façon commune et lisible par une machine, et de transmettre ces Données personnelles à un autre contrôleur des données, sujet aux dispositions des Lois de Confidentialité de l’UE en vigueur;
  • quand cela est requis par les dispositions des Lois de Confidentialité de l’UE, le droit de ne pas recevoir de contenu marketing direct sans avoir donné son consentement préalable et, dans tous les cas, le droit de s’opposer à tout moment au traitement de leurs Données personnelles (y compris le profiling), pour des objectifs de marketing direct;
  • le droit de s’opposer à tout moment au traitement de leurs Données Personnelles Européennes, sujet aux dispositions des Lois de Confidentialité de l’UE, et
  • le droit de s’opposer aux décisions relatives à leurs Données Personnelles Européennes, qui sont collectées à leur propos, sur la base uniquement d’un traitement automatisé, y compris le profiling, lorsque ces décisions évaluent leurs caractéristiques personnelles ou leur comportement, et produisent des effets juridiques qui les concernent ou les impactent de manière déterminante (à l’exception des cas autorisés par, et sujet aux dispositifs de sécurité énoncés dans, les Lois de Confidentialité de l’UE en vigueur).

11. Violations des présents Standards

Crefovi reconnaît que les Personnes concernées doivent être mis en mesure de faire respecter les droits suivants, vis-à-vis du cabinet, concernant leurs Données Personnelles Européennes, en tant que bénéficiaires tiers:

  • le droit d’être informées (sujet à toutes exceptions ou exemptions énoncées dans les Lois de Confidentialité de l’UE en vigueur), quand les données de catégorie spéciale sont transférées dans un état situé hors de l’EEE, qui ne fournit pas de protection adéquate aux données personnelles;
  • le droit d’obtenir une copie des présents Standards sur demande (sujet à tout engagement de confidentialité requis, de manière raisonnable, par le cabinet ou l’Entité de Crefovi qui gère la demande);
  • le droit de recevoir une réponse dans un délai raisonnable, et pas au delà d’un mois après que la demande ait été formulée, à toutes demandes concernant le traitement des Données Personnelles Européennes de la Personne concernée, hors de l’EEE;
  • le droit de formuler une réclamation et d’obtenir la correction appropriée (y compris, quand nécessaire, des dommages et intérêts pour réparer le préjudice subi), suite à la violation de ces Standards par toute Entité de Crefovi (à l’exclusion de toutes violations des stipulations relatives à la formation du Personnel, les politiques et fonctionnalités de confidentialité de Crefovi, le programme d’audit et les mises à jour de ces Standards);
  • le droit de formuler une réclamation auprès d’une Autorité de Protection des Données personnelles dans l’EEE, dans le pays de résidence habituelle, ou du lieu de travail de la Personne concernée, ou du lieu de la violation alléguée de ces Standards, et
  • le droit d’exercer un recours judiciaire efficace devant la juridiction compétente de l’EEE, qui pourrait être dans le pays dans lequel l’Entité de Crefovi pertinente est établie, ou le lieu de résidence habituel de la Personne concernée.

12. Exercice des droits des Personnes concernées

Le processus d’exercice des droits décrits en Section 11, est énoncé de manière plus détaillée dans la Procédure de réclamation sur la confidentialité des données personnelles de Crefovi, à l’Annexe 1 de ces Standards.

Une Personne concernée souhaitant faire respecter ses droits, peut formuler une réclamation auprès du Directeur global de la confidentialité des données, ou de l’APD ou des juridictions du territoire sur lequel l’Entité de Crefovi pertinente est située.

Toute Personne concernée souhaitant faire respecter ses droits, en application de ces Standards, sera dans l’obligation de fournir des éléments de preuve permettant d’établir un cas ‟prima facies démontrant qu’une violation aurait eu lieu.

Annexe 1

Procédure de réclamation sur la confidentialité des données personnelles de Crefovi.