Normes Mondiales en matière de Protection des Données

Click here to view this page in English.

INTRODUCTION

Le présent document présente les normes qui s’appliquent au traitement des Données à caractère personnel européennes (tel que ce terme est défini ci-dessous) au sein de Latham & Watkins (les « Normes »). Latham & Watkins est un cabinet d’avocats international qui détient des bureaux dans 16 pays à travers le monde. Le cabinet mène son activité sans frontières internes et du fait de la nature internationale de cette activité, il est vital que les Données à caractère personnel puissent être transférées au sein du cabinet.

Latham & Watkins, par le biais de son Executive Committee (Comité exécutif), a pris l’engagement de protéger les Données à caractère personnel qui sont traitées au sein du cabinet. En particulier, les présentes Normes visent à faciliter le transfert de Données à caractère personnel européennes au sein de Latham & Watkins, conformément au Règlement européen (UE) 2016/679.

Définitions

« Accord BCR » désigne l’accord par lequel toutes les Entités L&W qui traitent des Données à caractère personnel européennes s’engagent à se conformer aux Normes.

« AIPD » désigne l’analyse d’impact relative à la protection des données définie dans l’article 35 du RGPD.

« Atteinte à la sécurité » désigne toute atteinte à la sécurité ayant pour conséquence la destruction, la perte, l'altération, la divulgation de, ou l’accès non autorisée à, de manière accidentelle ou illicite, des Données à caractère personnel européennes traitées par une Entité L&W.

« Autorité de protection des données » ou « APD » désigne l’autorité responsable de la régulation et de la mise en application des lois sur la protection des données dans un pays donné.

« Clauses types » désigne les clauses contractuelles types pour le transfert de Données à caractère personnel vers des sous-traitants ou des responsables du traitement établis dans des pays tiers qui sont publiées et approuvées par la Commission européenne.

« Données de catégories particulières » désigne les Données à caractère personnel européennes qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données relatives aux infractions et condamnations pénales, concernant la santé, l’orientation sexuelle ou la vie sexuelle, les données génétiques et biométriques.

« Données à caractère personnel » désigne les informations relatives à une personne physique identifiée ou identifiable (« personne concernée ») ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Le terme « Données à caractère personnel » inclut également les informations liées aux personnes qui ne sont pas des personnes physiques si cela est une exigence de la Législation de l’UE en matière de protection des données en vigueur.

« Données à caractère personnel européennes » désigne les Données à caractère personnel (i) du personnel, des avocats, des associés, des consultants, des intérimaires et des candidats potentiels à ces postes qui sont collectées et traitées dans le cadre du recrutement et de l’administration des ressources humaines ; (ii) des clients, prospects et alumni qui sont traitées dans le cadre de la fourniture de services juridiques et/ou à des fins de marketing ou de communication ; et (iii) des fournisseurs, prestataires et consultants qui sont traitées dans le cadre de leur relation avec Latham & Watkins (vous trouverez plus d’informations à ce sujet dans la Notice d’information sur le traitement des données à caractère personnel, la Recruitment Privacy Policy, l’Alumni Privacy Policy ou la Notice d'information relative au traitement des données des clients et des tiers), par une Entité L&W en tant que responsable du traitement et qui sont soumises à la Législation de l’UE en matière de protection des données en vigueur.

« Droit applicable » désigne le droit du territoire où l’Entité L&W est située et toute autre législation à laquelle une Entité L&W est assujettie.

« Droit local » désigne les lois et/ou réglementations d’un pays, ou toute autre obligation légale imposée par ce dernier, auxquelles une Entité L&W est assujettie, autres que la Législation de l’UE en matière de protection des données en vigueur.

« EEE » désigne l’Espace économique européen.

« Entité L&W » désigne chaque société ou association faisant partie du cabinet.

« Latham & Watkins » et « le cabinet » désignent Latham & Watkins, un cabinet qui exerce son activité dans le monde entier en tant que société à responsabilité limitée (Limited Liability Partnership), constituée selon le droit de l’État du Delaware (États-Unis d’Amérique) (la « LLP du Delaware ») avec des sociétés ou associations à responsabilité limitée affiliées exerçant en France, en Italie, à Hong Kong, à Singapour et au Royaume-Uni, et en tant que société affiliée exerçant au Japon. Latham & Watkins exerce en Corée du Sud en qualité de Foreign Legal Consultant Office. En Arabie Saoudite, Latham & Watkins LLP exerce en coopération avec le cabinet The Law Office of Salman M. Al-Sudairi. Outre ce qui précède, le cabinet comprend également l’ensemble des entités qui sont détenues à part entière par la LLP du Delaware.

« Législation de l’UE en matière de protection des données » désigne les lois nationales au sein de l’EEE et du Royaume-Uni (« UK ») qui transposent le Règlement européen (UE) 2016/679, la Directive 2002/58 (et toute loi qui les modifie ou les remplace) et la législation européenne associée en matière de protection des données (y compris le UK Data Protection Act de 2018).

« L&W Allemagne » désigne le bureau Latham & Watkins de Francfort.

« Personnel » désigne l’ensemble des associés, avocats collaborateurs et counsels, stagiaires, salariés et intérimaires de Latham & Watkins.

« RGPD » désigne le règlement européen (UE) 2016/679.

Les termes « traitement », « responsable du traitement » et « sous-traitant » auront le sens qui leur est donné dans le RGPD.

Champ d’Application

Latham & Watkins exerce actuellement son activité dans les pays suivants (les pays au sein de l'EEE sont surlignés en gris) :


* Latham & Watkins exerce en Arabie Saoudite en coopération avec The Law Office of Salman M. Al-Sudairi.

Les présentes Normes s’applique au traitement de Données à caractère personnel européennes par les Entités L&W situées dans l’EEE et au Royaume-Uni.

Les présentes Normes s’appliquent aussi à tout transfert de Données à caractère personnel européennes d’une Entité L&W vers un pays situé en dehors de l’EEE ou du Royaume-Uni et au traitement de ces données transférées par une Entité L&W (que ce soit en tant que responsable du traitement ou sous-traitant) située en dehors de l’EEE. Aux fins des présentes Normes, il est reconnu que :

a) le Royaume-Uni est considéré comme un pays tiers au regard du RGPD ;

b) en vertu du UK Data Protection Act de 2018, les Données à caractère personnel peuvent être exportées du Royaume-Uni vers les États membres de l'EEE ; et

c) en vertu du UK Data Protection Act de 2018, les règles d'entreprise contraignantes (BCR : Binding Corporate Rules) fournissent des garanties appropriées pour le transfert de Données à caractère personnel au sein d'un groupe d'entreprises vers des pays situés en dehors de l'EEE.

RÈGLES ET PRINCIPES

1. Principes de gestion des données

Chaque Entité L&W agissant en qualité de responsable du traitement dans le cadre du traitement de Données à caractère personnel conformément à la Notice d’information sur le traitement des données à caractère personnel, la Recruitment Privacy Policy, l’Alumni Privacy Policy ou la Notice d’information relative au traitement des données des clients et des tiers (selon le cas), se conformera aux principes suivants :

1.1. Les Données à caractère personnel européennes seront traitées de manière transparente, loyale et licite : les personnes concernées disposeront, dans la mesure où elles n’en ont pas déjà connaissance ou ne les ont pas déjà reçues, des informations sur l’identité du ou des responsables du traitement des données, sur les finalités pour lesquelles leurs Données à caractère personnel peuvent être utilisées (sous réserve de toute restriction autorisée concernant la fourniture de ces informations, par exemple en matière de prévention de la criminalité, de procédures judiciaires ou fiscales, ou lorsque le Droit applicable l’interdit), sur la base juridique du traitement et de toutes autres informations pertinentes requises par la Législation de l’UE en matière de protection des données en vigueur. Ces informations comprendront des renseignements sur les droits des personnes concernées en vertu de la Législation de l’UE en matière de protection des données.

1.2. Les Données à caractère personnel européennes seront collectées à des fins professionnelles déterminées, explicites et légitimes et, à moins que la Législation de l’UE en matière de protection des données en vigueur ne l’autorise, ne feront l’objet d’aucun traitement ultérieur incompatible avec ces finalités.

1.3. Les Données de catégories particulières seront traitées uniquement de manière strictement nécessaire aux fins professionnelles du cabinet et conformément aux exigences de la Législation de l’UE en matière de protection des données en vigueur.

1.4. Des mesures appropriées seront prises pour veiller à ce que les Données à caractère personnel européennes collectées et traitées soient adéquates et non excessives, et qu’elles soient pertinentes, exactes et à jour (lorsque cela est nécessaire). Des mesures appropriées seront également prises pour corriger ou supprimer sans délai les Données à caractère personnel si elles s’avèrent inexactes.

1.5. Les Données à caractère personnel européennes ne seront pas conservées plus longtemps que nécessaire compte tenu des finalités pour lesquelles elles sont traitées et seront conservées conformément aux politiques de conservation des données documentées du cabinet (sous réserve des exigences réglementaires et des dispositions de la Législation de l’UE en matière de protection des données en vigueur).

2. Sécurité des données

2.1. Compte tenu de l’état de l’art et du coût de mise en œuvre, chaque Entité L&W prendra les mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel européennes contre la destruction accidentelle ou illicite ou la perte accidentelle, l’altération, les dommages, la divulgation ou l’accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite. Ces mesures garantiront un niveau de sécurité approprié compte tenu des risques que représentent le traitement et la nature des Données à caractère personnel européennes à protéger, de sorte que les Données de catégories particulières et autres informations hautement confidentielles bénéficieront d’une protection renforcée. Ces mesures comprendront ce qui suit, le cas échéant :

a) la pseudonymisation ;

b) le cryptage ;

c) la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services ;

d) des installations de sauvegarde et de récupération en cas de catastrophe ; et

e) des processus pour tester et évaluer l’efficacité des mesures de sécurité.

2.2. Chaque Entité L&W devra informer sans délai le Global Data Privacy Office à l’adresse email GlobalDPO@lw.com de toute Atteinte à la sécurité. Le Global Data Privacy Office tiendra à jour les registres appropriés documentant l’Atteinte à la sécurité, toute incidence potentielle sur les personnes concernées et les mesures de correction prises. Le Global Data Privacy Office veillera à ce que des notifications soient adressés aux Autorités de protection des données concernées et aux personnes concernées impactées, comme le prévoit la Législation de l’UE en matière de protection des données. Le Global Data Privacy Office partagera les dossiers relatifs aux Atteintes à la sécurité concernant les Données à caractère personnel européennes traitées par une Entité L&W en tant que responsable du traitement dans l’EEE ou au Royaume-Uni avec l’APD de son pays ou territoire si cette APD le lui demande.

2.3. Chaque Entité L&W prendra des mesures pour veiller à la fiabilité des membres du personnel qui ont accès aux Données à caractère personnel européennes ou qui en ont la responsabilité, y compris s’agissant du traitement de ces dernières conformément aux instructions du cabinet.

3. Relation avec les sous-traitants

3.1. Lorsqu’une Entité L&W utilise les services d’une autre Entité L&W en tant que sous-traitant afin de traiter des Données à caractère personnel européennes en son nom, ce sous-traitant se conformera à l’ensemble des exigences de ces Normes et si nécessaire, les parties mettront en place tout accord supplémentaire et s’y conformeront, conformément à la Législation de l’UE en matière de protection des données en vigueur.

3.2. Lorsqu’une Entité L&W utilise les services d’un sous-traitant afin de traiter des Données à caractère personnel européennes en son nom, et si le sous-traitant est un tiers, l’Entité L&W sélectionnera un sous-traitant qui fournit des garanties suffisantes quant au niveau de sécurité qu’il applique relativement aux Données à caractère personnel européennes à traiter. L’Entité L&W veillera à ce qu’un contrat soit conclu avec tout sous-traitant tiers, conformément aux exigences pertinentes de la Législation de l’UE en matière de protection des données en vigueur.

3.3. Si l’Entité L&W est établie dans l’EEE ou au Royaume-Uni et recrute un sous-traitant tiers établi en dehors de l’EEE pour traiter les Données à caractère personnel européennes en son nom, cette Entité L&W s’assurera que :

a) un contrat est en place avec le sous-traitant, sous la forme des Clauses types pour les sous-traitants (sous réserve des amendements autorisés par la Législation de l’UE en matière de protection des données en vigueur), ou incorporant leurs termes ; ou

b) d’autres protections adéquates sont en place, conformément à la Législation de l’UE en matière de protection des données en vigueur, pour garantir la protection des Données à caractère personnel européennes.

3.4. Si une Entité L&W (agissant en qualité de responsable du traitement) transfère des Données à caractère personnel européennes à un responsable du traitement tiers en dehors du cabinet, l’Entité L&W veillera à ce que ces transferts soient menés conformément aux exigences de la Législation de l’UE en matière de protection des données en vigueur. Si la Législation de l’UE en matière de protection des données en vigueur l’exige, ou si elle l’autorise et que cela est approprié, l’Entité L&W mettra en place des mesures de protection pour protéger les Données à caractère personnel européennes et les droits des personnes. Ces mesures de protection pourront prendre la forme d’un contrat, soit sous la forme de Clauses types pour les transferts entre deux responsables du traitement ou sous toute autre forme qui permettra d’assurer un niveau de protection adéquat.

4. Formation du personnel

4.1. Latham & Watkins met en place un programme de sensibilisation à la protection des données et à la sécurité afin d’informer et de former l’ensemble du Personnel sur les bonnes pratiques et les politiques de protection des données et de sécurité du cabinet.

4.2. Différents canaux de communication sont utilisés pour la sensibilisation à la protection des données et de la sécurité. Des fiches-conseils et des guides sur les bonnes pratiques en la matière sont disponibles sur des sites intranet dédiés accessibles à tout le personnel.

4.3. Chaque Entité L&W veillera également à ce que les membres du Personnel qui ont accès à des Données à caractère personnel ou qui ont des responsabilités s’agissant de leur traitement reçoivent les directives et la formation qui conviennent.

5. Conflit avec le droit local applicable

5.1. Si un Droit local exige un niveau de protection supérieur concernant les Données à caractère personnel européennes par rapport à celui prévu par les présentes Normes, les dispositions du Droit local prévaudront.

6. Assistance mutuelle et coopération avec les autorités de protection des données

6.1. Chaque Entité L&W se conformera aux instructions émises par l’APD dans son pays ou territoire dans la mesure où elles se rapportent aux présentes Normes ou au traitement des Données à caractère personnel européennes d’une façon générale, et tiendra compte des conseils qui lui seront donnés par l’APD quant à l’interprétation de ces Normes.

6.2. Les Entités L&W s’entraideront pour répondre à une demande ou à une enquête menée par une APD en lien avec les présentes Normes.

6.3. Les Entités L&W s’entraideront également pour répondre à une demande ou à une plainte émanant d’une personne concernée en lien avec ces Normes ou avec le traitement de ses Données à caractère personnel européennes.

RÈGLES RELATIVES À LA PRATIQUE ET A LA CONFORMITÉ

7. Responsabilité relative à la conformité

7.1. Le Personnel de Latham & Watkins est tenu de respecter les présentes Normes et doit accepter les présentes, conjointement avec la dernière Politique relative à l’utilisation acceptable des systèmes de communication du cabinet, et ce chaque année.

7.2. Le cabinet a conclu un Accord BCR. L&W Allemagne a été désigné par le cabinet comme l’Entité L&W responsable de la protection des données dans l’EEE. L&W Allemagne prendra les mesures nécessaires pour remédier à toute infraction aux Normes, qu’elle peut faire exécuter contractuellement par le biais de l’Accord BCR.

7.3. L&W Allemagne accepte la responsabilité de prendre des mesures pour remédier aux actes et omissions d’autres Entités L&W en dehors de l’EEE qui enfreindraient les présentes Normes et de verser une indemnisation pour tout dommage résultant d’une telle violation des Normes par des Entités L&W situées en dehors de l’EEE. En conséquence, toute procédure à l’encontre de bureaux Latham & Watkins situés hors de l’EEE doit être intentée contre le bureau Latham & Watkins Allemagne. Toute procédure à l’encontre d’un bureau Latham & Watkins situé dans l’EEE doit être intentée contre ledit bureau Latham & Watkins.

8. Programme d’audit pour vérifier la conformité

Latham & Watkins s’engage à mettre en place des mesures pour évaluer et vérifier la conformité vis-à-vis des présentes Normes et de la législation en vigueur relative à la protection des données.

9. Mises à jour

9.1. Le Data Privacy Committee continuera de revoir les présentes Normes, veillera à ce qu’elles soient mises à jour régulièrement et communiquera les mises à jour pertinentes aux Entités L&W dans les meilleurs délais. Le Data Privacy Committee veillera à ce que toute modification apportée à la structure du cabinet soit prise en compte dans les présentes Normes et que toute nouvelle Entité L&W soit tenue d’accepter les termes de ces Normes et de s’y conformer.

9.2. Les dispositions non confidentielles des présentes Normes, y compris le contenu de l’Annexe 1 (Procédure de plainte relative à la protection des données), seront publiées sur le site Internet externe de Latham & Watkins tout comme sur son site intranet. Le texte intégral des Normes sera mis à disposition, à sa demande (sous réserve d’un accord de confidentialité), de toute personne concernée qui souhaite exercer les droits de recours décrits dans la Procédure de plainte relative à la protection des données en Annexe 1.

DROITS DES PERSONNES CONCERNÉES

10. Droits d’accès, de correction et d’opposition (y compris marketing et profilage)

Chaque Entité L&W reconnaît que les personnes concernées ont les droits suivants en lien avec l’Entité L&W responsable du traitement des Données à caractère personnel européennes :

10.1. le droit de recevoir des informations sur la façon dont leurs Données à caractère personnel sont traitées par l’Entité L&W concernée en sa qualité de responsable du traitement des Données à caractère personnel européennes, y compris une copie des présentes Normes et de la Procédure de plainte en matière de protection des données ;

10.2. le droit de recevoir une copie des Données à caractère personnel européennes détenues sur elles (y compris leurs finalités et modalités de traitement) par l’Entité L&W dans les délais prévus par la Législation de l’UE en matière de protection des données en vigueur, sous réserve du droit de l’Entité L&W de refuser une telle demande, en totalité ou en partie, en vertu de la Législation de l’UE en matière de protection des données en vigueur ;

10.3. le droit à ce que leurs Données à caractère personnel européennes soient mises à jour, corrigées ou complétées, en particulier en raison de la nature incomplète ou inexacte des données, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;

10.4. le droit à ce que leurs Données à caractère personnel européennes soient effacées, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;

10.5. le droit de limiter le traitement de leurs Données à caractère personnel européennes, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;

10.6. le droit de recevoir les Données à caractère personnel européennes, que la personne concernée a fourni à une Entité L&W responsable du traitement des Données à caractère personnel européennes, dans un format structuré, communément utilisé et lisible par une machine et de transmettre ces Données à caractère personnel à un autre responsable du traitement, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;

10.7. si les dispositions de la Législation de l’UE en matière de protection des données en vigueur le prévoient, le droit de ne pas recevoir des messages marketing direct sans y avoir consenti au préalable et, en tout état de cause, le droit de s’opposer à tout moment au traitement de leurs Données à caractère personnel (y compris le profilage) à des fins de marketing direct ;

10.8. le droit de définir des directives relatives à la conservation, à l’effacement et à la communication de leurs Données à caractère personnel après leur décès ;

10.9. le droit de s’opposer à tout moment au traitement de leurs Données à caractère personnel européennes, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ; et

10.10. le droit de s’opposer aux décisions impliquant la collecte de leurs Données à caractère personnel européennes uniquement par le biais d’un traitement automatisé, y compris le profilage, si ces décisions évaluent leurs caractéristiques personnelles ou leur comportement et produisent des effets juridiques qui les concernent ou ont une incidence significative sur elles (sauf dans la mesure autorisée par, et sous réserve des mesures de protection visées dans la Législation de l’UE en matière de protection des données en vigueur).

11. Violation des présentes Normes

Latham & Watkins reconnaît que les personnes concernées ont le droit de faire valoir les droits suivants à l’encontre du cabinet concernant les Données à caractère personnel européennes :

11.1. le droit d’obtenir une copie des présentes Normes sur demande (sous réserve d’un engagement de confidentialité raisonnablement demandé par le cabinet ou l’Entité L&W traitant la demande) ;

11.2. le droit de recevoir une réponse dans un délai raisonnable et au plus tard 1 mois après que la demande ait été adressée, à toute requête concernant le traitement des Données à caractère personnel européennes de la personne concernée en dehors de l’EEE ;

11.3. le droit de déposer une plainte et d’obtenir une réparation adéquate (y compris, le cas échéant, une indemnisation des dommages subis) suite à une violation des présentes Normes par une Entité L&W (à l’exclusion des cas de violation des dispositions relatives à la formation du personnel, des politiques et de la fonction de protection des données de Latham & Watkins, du programme d’audit et des mises à jour des présentes Normes) ;

11.4. le droit de déposer une plainte auprès d’une APD au sein de l’EEE dans le pays de résidence habituel ou de travail de la personne concernée, ou le lieu où la violation des présentes Normes est censée avoir eu lieu ; et

11.5. le droit d’introduire un recours juridictionnel effectif devant le tribunal compétent de l’EEE, qui peut se situer dans le territoire où l’Entité L&W concernée est établie ou dans le lieu de résidence habituelle de la personne concernée.

12. Mise en application des droits d’une personne concernée

12.1. Le processus relatif à l’exercice des droits décrit à l’article 11 est présenté plus en détail dans la Procédure de plainte de Latham & Watkins en matière de protection des données en Annexe 1 des présentes Normes.

12.2. Une personne concernée qui souhaite faire valoir ses droits devrait en premier lieu contacter le Global Data Privacy Office par e-mail à l’adresse GlobalDPO@lw.com, mais peut également introduire une réclamation auprès du président du Data Privacy Committee situé à Francfort ou de l’APD ou des tribunaux du territoire où l’Entité L&W concernée est située.

12.3. Toute personne concernée qui cherche à faire valoir ses droits en vertu des présentes Normes sera tenue de produire des preuves établissant à première vue qu’une violation est survenue.

Date d’entrée en vigueur des Normes : septembre 2016
Mise à jour en novembre 2020

Annexe 1 Procédure de plainte de Latham & Watkins en matière de confidentialité des données
Procédure de plainte de Latham & Watkins en matière de confidentialité des données