Normes Mondiales en matière de Protection des Données
View in English.
INTRODUCTION
Le présent document présente les normes qui s’appliquent au traitement des Données à caractère personnel européennes (tel que ce terme est défini ci-dessous) au sein de Latham & Watkins (les « Normes »). Latham & Watkins est un cabinet d’avocats international qui détient des bureaux dans 15 pays à travers le monde. Le cabinet mène son activité sans frontières internes et du fait de la nature internationale de cette activité, il est vital que les données à caractère personnel puissent être transférées au sein du cabinet.
Latham & Watkins, par le biais de son Executive Committee (Comité exécutif), a pris l’engagement de protéger les données à caractère personnel qui sont traitées au sein du cabinet. En particulier, les présentes Normes visent à faciliter le transfert de Données à caractère personnel européennes au sein de Latham & Watkins, conformément au Règlement européen (UE) 2016/679.
Définitions
« Accord BCR » désigne l’accord par lequel toutes les Entités L&W qui traitent des Données à caractère personnel européennes s’engagent à se conformer aux Normes.
« AIPD » désigne l’analyse d’impact relative à la protection des données définie dans l’article 35 du RGPD.
« Atteinte à la sécurité » désigne toute atteinte à la sécurité ayant pour conséquence la destruction, la perte, l'altération, la divulgation de, ou l’accès non autorisée à, de manière accidentelle ou illicite, des Données à caractère personnel européennes traitées par une Entité L&W.
« Autorité de protection des données » ou « APD » désigne l’autorité responsable de la régulation et de la mise en application des lois sur la protection des données dans un pays donné.
« Clauses types » désigne les clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants ou des responsables du traitement établis dans des pays tiers qui sont publiées et approuvées par la Commission européenne.
« Données de catégories particulières » désigne les Données à caractère personnel européennes qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données relatives aux infractions et condamnations pénales, concernant la santé, l’orientation sexuelle ou la vie sexuelle, les données génétiques et biométriques et toute autre catégorie particulière couverte par la Législation de l’UE en matière de protection des données applicable.
« Données à caractère personnel » désigne les informations relatives à une personne physique identifiée ou identifiable (« personne concernée ») ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Le terme « Données à caractère personnel » inclut également les informations liées aux personnes qui ne sont pas des personnes physiques si cela est une exigence de la Législation de l’UE en matière de protection des données en vigueur.
« Données à caractère personnel européennes » désigne les données à caractère personnel (i) du personnel, des avocats, des associés, des consultants, des intérimaires et des candidats potentiels à ces postes qui sont collectées et traitées dans le cadre du recrutement et de l’administration des ressources humaines ; (ii) des clients, prospects et alumni qui sont traitées dans le cadre de la fourniture de services juridiques et/ou à des fins de marketing ou de communication ; et (iii) des fournisseurs, prestataires et consultants qui sont traitées dans le cadre de leur relation avec Latham & Watkins (vous trouverez plus d’informations à ce sujet dans la Notice d’information sur le traitement des données à caractère personnel, la Recruitment Privacy Policy, l’Alumni Privacy Policy ou la Notice d'information relative au traitement des données des clients et des tiers), par une Entité L&W en tant que responsable du traitement et qui sont soumises à la Législation de l’UE en matière de protection des données en vigueur.
« Droit applicable » désigne le droit du territoire où l’Entité L&W est située et toute autre législation à laquelle une Entité L&W est assujettie.
« Droit local » désigne les lois et/ou réglementations d’un pays, ou toute autre obligation légale imposée par ce dernier, auxquelles une Entité L&W est assujettie, autres que la Législation de l’UE en matière de protection des données en vigueur.
« EEE » désigne l’Espace économique européen.
« Entité L&W » désigne chaque société ou association faisant partie du cabinet.
« Latham & Watkins » et « le cabinet » désignent Latham & Watkins, un cabinet qui exerce dans le monde entier en tant que limited liability partnership, constitué selon le droit de l’État du Delaware (États-Unis d’Amérique) (le « Delaware LLP »), avec, en France, en Italie, à Hong Kong, à Singapour, en Arabie Saoudite et au Royaume Uni, des affiliés exerçant l’activité sous la forme de limited liability partnerships ou d’associations d’avocats et, au Japon, sous la forme d’un partnership. Latham & Watkins exerce en Corée du Sud en tant que Foreign Legal Consultant Office, et, en plus de ce qui précède, « le cabinet » inclut également toutes les Entités entièrement détenues par le Delaware LLP.
« Législation de l’UE en matière de protection des données » désigne les lois nationales au sein de l’EEE qui transposent le Règlement européen (UE) 2016/679, la Directive 2002/58 (et toute loi qui les modifie ou les remplace) et la législation européenne associée en matière de protection des données.
« L&W Allemagne » désigne le bureau Latham & Watkins de Francfort.
« Personnel » désigne l’ensemble des associés, avocats collaborateurs et counsels, stagiaires, salariés et intérimaires de Latham & Watkins.
« RGPD » désigne le règlement européen (UE) 2016/679.
Les termes « traitement », « responsable du traitement » et « sous-traitant » ont le sens qui leur est donné dans le RGPD.
Champ d’Application
Latham & Watkins exerce actuellement son activité dans les pays suivants (les pays au sein de l'EEE sont surlignés en gras) :
Pays |
Bureaux |
Coordonnées |
Etats-Unis | Austin, Boston, Century City, Chicago, Houston, Los Angeles, Los Angeles GSO, New York, Orange County, San Diego, San Francisco, Silicon Valley, Washington D.C. | 1271 Avenue of the Americas, New York, NY 10020 |
Royaume-Uni | Londres, Manchester (bureau sans pratique juridique) | 99 Bishopsgate, London EC2M 3XF, United Kingdom |
Belgique | Bruxelles | Boulevard du Régent, 43-44, B-1000 Brussels, Belgium |
France | Paris | 45, rue Saint-Dominique, Paris 75007, France |
Italie | Milan | Corso Matteotti, 22, Milano, 20121, Italy |
Allemagne | Francfort, Munich, Hambourg, Düsseldorf |
Reuterweg 20, 60323 Frankfurt am Main, Germany |
Espagne | Madrid | Plaza de la Independencia 6, Madrid 28001, Spain |
Arabie Saoudite | Riyad | Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, PO Box 17411, Riyadh 11484, Saudi Arabia |
Emirats Arabes Unis | Dubaï | ICD Brookfield Place, Level 16, Dubai International Financial Centre, PO Box 506698, Dubai, United Arab Emirates |
Israël | Tel Aviv | 28 HaArba’a Street, North Tower, 34th floor, Tel Aviv, 6473925, Israel |
Corée du Sud | Séoul | 29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea |
Chine | Pékin | Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People's Republic of China |
Hong Kong | Hong Kong | 18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong |
Singapour | Singapour | 9 Raffles Place, #42-02 Republic Plaza, Singapore 048619 |
Japon | Tokyo | Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan |
Les présentes Normes s’applique au traitement de Données à caractère personnel européennes par les Entités L&W assujetties à la Législation de l’UE en matière de protection des données applicable.
Les présentes Normes s’appliquent au transfert de données à caractère personnel des employées, des candidats, des clients et des tiers.
Les données à caractère personnel des employées comprennent notamment :
- identifiants (par exemple, nom, coordonnées, contacts d’urgence, photographies, preuve d’éligibilité à travailler et numéros d’identification) ;
- détails personnels et familiaux (par exemple, lieu de naissance, état civil, nationalité, citoyenneté, composition familiale, informations sur le passeport et le visa) ;
- informations de santé (par exemple, handicaps, dossiers d'absence pour maladie, rapports d'accidents, informations de dépistage de la santé, informations de santé au travail, préférences alimentaires et allergies alimentaires) ;
- données relatives à la gestion et au développement de carrière (par exemple, catégorie d'employé, temps plein/partiel, études et diplômes, compétences linguistiques, références, vérifications des antécédents, expérience professionnelle) ;
- données relatives à l'exécution et à la résiliation du contrat de travail ou de son contenu (par exemple, dates d’embauche, identifiant de l'employé, enregistrement du temps, temps de travail et congés, évaluations de performance, formations, procédures disciplinaires et plaintes, entretien de sortie) ;
- données financières (par exemple, rémunération, bonus, salaire, avantages, coordonnées bancaires, numéro de sécurité sociale, numéro fiscal) ;
- enregistrements audio et vidéo (par exemple, enregistrements de vidéosurveillance, réunions en ligne et webinaires, événements et publications) ;
- données relatives à l'utilisation des systèmes de contrôle d'accès aux bâtiments et à l'accès et à l'utilisation des équipements et ressources de bureau ;
- données relatives aux déplacements dans le cadre de du travail ou dans le cadre des programmes d'avantages pour les employés.
Les données personnelles des candidats incluent par exemple :
- informations incluses dans la candidature (par exemple, nom, coordonnées, expérience professionnelle et universitaire, diplômes, preuve d’éligibilité à travailler, identifiants et autres informations figurant sur le CV) ;
- informations sensibles (par exemple, race ou origine ethnique, handicaps) ;
- informations collectées lors des entretiens et évaluations (par exemple, notes d'entretien, retours, informations collectées lors des évaluations et entretiens vidéo) ;
- informations sur l'utilisation du portail de recrutement et du site web (par exemple, adresse IP collectée via des cookies) ;
- informations provenant de tiers, tels que les référents et les recruteurs ;
- informations nécessaires pour effectuer des vérifications préalables à l'emploi (par exemple, vérifications des casiers judiciaires, vérification des diplômes et de l'emploi) ;
- informations sur l'accès aux bâtiments, enregistrements de sécurité vidéo.
Les informations relatives aux clients et aux tiers incluent par exemple :
- identifiants (par exemple, nom, coordonnées et numéros d'identification) ;
- informations biométriques (par exemple, photographies) ;
- informations commerciales ;
- informations professionnelles ou liées à l'emploi ;
- informations disponibles publiquement sur les réseaux sociaux et dans la presse ;
- spécificités des données protégées (par exemple, nationalité, affiliation politique, citoyenneté) ;
- enregistrements audio et vidéo (par exemple, enregistrements de vidéosurveillance, réunions en ligne et webinaires).
Le traitement des Données à caractère personnel européennes est basé, selon le cas, sur :
- le consentement, article 6, paragraphe 1.a) et article 9, paragraphe 2.a) du RGPD,
- l'exécution d'un contrat, article 6, paragraphe 1.b) du RGPD,
- le respect d'une obligation légale, article 6, paragraphe 1.c) du RGPD,
- l'intérêt légitime, article 6, paragraphe 1.f) du RGPD,
- l'exécution des obligations et de l'exercice des droits propres en matière de droit du travail, article 9, paragraphe 2.b) du RGPD,
- la constatation, l'exercice ou la défense d’un droit en justice, article 9, paragraphe 2.f) du RGPD.
Les Données à caractère personnel européennes peuvent être transférés vers tous les bureaux du cabinet listés dans le tableau ci-dessus.
Les présentes Normes s’appliquent aussi à tout transfert de Données à caractère personnel européennes d’une Entité L&W vers un pays situé en dehors de l’EEE et au traitement de ces données transférées par une Entité L&W (que ce soit en tant que responsable du traitement ou sous-traitant) située en dehors de l’EEE et tout transfert de Données à caractère personnel européennes vers une Entité L&W située en dehors de l’EEE. Aux fins des présentes Normes, il est reconnu que le Royaume-Uni (RU) est considéré comme un pays tiers au regard du RGPD. En conséquence, Latham & Watkins (London) LLP ("L&W London") mettra en œuvre des normes globales en matière de protection des données (Global Data Privacy Standards) distinctes couvrant le transfert de données du Royaume-Unis au sein du cabinet. En ce qui concerne le transfert de ses données, L&W London assumera l'entière responsabilité des mesures prises pour remédier aux actes et omissions d'autres Entités L&W situées en dehors de l'EEE qui enfreignent les normes britanniques et du versement d’une indemnisation pour tout dommage résultant d'une telle violation par des Entités L&W situées en dehors de l'EEE. Par conséquent, les personnes concernées souhaitant déposer une plainte concernant le traitement des données à caractère personnel britanniques doivent contacter L&W London.
RÈGLES ET PRINCIPES
1. Principes de gestion des données
Chaque Entité L&W agissant en qualité de responsable du traitement dans le cadre du traitement de Données à caractère personnel européennes conformément à la Notice d’information sur le traitement des données à caractère personnel, la Recruitment Privacy Policy, l’Alumni Privacy Policy ou la Notice d’information relative au traitement des données des clients et des tiers (selon le cas), se conformera aux principes suivants :
1.1. Les Données à caractère personnel européennes seront traitées de manière transparente, loyale et licite : les personnes concernées disposeront, dans la mesure où elles n’en ont pas déjà connaissance ou ne les ont pas déjà reçues, des informations sur l’identité du ou des responsables du traitement des données, sur les finalités pour lesquelles leurs Données à caractère personnel peuvent être utilisées (sous réserve de toute restriction autorisée concernant la fourniture de ces informations, par exemple en matière de prévention de la criminalité, de procédures judiciaires ou fiscales, ou lorsque le Droit applicable l’interdit), sur la base juridique du traitement et de toutes autres informations pertinentes requises par la Législation de l’UE en matière de protection des données en vigueur. Ces informations comprendront des renseignements sur les droits des personnes concernées en vertu de la Législation de l’UE en matière de protection des données.
1.2. Les Données à caractère personnel européennes seront collectées à des fins professionnelles déterminées, explicites et légitimes et, à moins que la Législation de l’UE en matière de protection des données en vigueur ne l’autorise, ne feront l’objet d’aucun traitement ultérieur incompatible avec ces finalités.
1.3. Les Données de catégories particulières seront traitées uniquement de manière strictement nécessaire aux fins professionnelles du cabinet et conformément aux exigences de la Législation de l’UE en matière de protection des données en vigueur.
1.4. Des mesures appropriées seront prises pour veiller à ce que les Données à caractère personnel européennes collectées et traitées soient adéquates et non excessives, et qu’elles soient pertinentes, exactes et à jour (lorsque cela est nécessaire). Des mesures appropriées seront également prises pour corriger ou supprimer sans délai les Données à caractère personnel si elles s’avèrent inexactes.
1.5. Les Données à caractère personnel européennes ne seront pas conservées plus longtemps que nécessaire compte tenu des finalités pour lesquelles elles sont traitées et seront conservées conformément aux politiques de conservation des données documentées du cabinet (sous réserve des exigences réglementaires et des dispositions de la Législation de l’UE en matière de protection des données en vigueur).
2. Sécurité des données
2.1. Compte tenu de l’état de l’art et du coût de mise en œuvre, chaque Entité L&W prendra les mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel européennes contre la destruction accidentelle ou illicite ou la perte accidentelle, l’altération, les dommages, la divulgation ou l’accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite. Ces mesures garantiront un niveau de sécurité approprié compte tenu des risques que représentent le traitement et la nature des Données à caractère personnel européennes à protéger, de sorte que les Données de catégories particulières et autres informations hautement confidentielles bénéficieront d’une protection renforcée. Ces mesures comprendront ce qui suit, le cas échéant :
a) la pseudonymisation ;
b) le cryptage ;
c) la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services ;
d) des installations de sauvegarde et de récupération en cas de catastrophe ; et
e) des processus pour tester et évaluer l’efficacité des mesures de sécurité.
2.2. Chaque Entité L&W devra informer sans délai le Global Data Privacy Office à l’adresse email GlobalDPO@lw.com de toute Atteinte à la sécurité. Le Global Data Privacy Office tiendra à jour les registres appropriés documentant l’Atteinte à la sécurité, toute incidence potentielle sur les personnes concernées et les mesures de correction prises. Le Global Data Privacy Office veillera à ce que des notifications soient adressés aux Autorités de protection des données concernées et aux personnes concernées impactées, comme le prévoit la Législation de l’UE en matière de protection des données. Le Global Data Privacy Office partagera les dossiers relatifs aux Atteintes à la sécurité concernant les Données à caractère personnel européennes traitées par une Entité L&W en tant que responsable du traitement dans l’EEE avec l’APD de son pays ou territoire si cette APD le lui demande.
2.3. Chaque Entité L&W prendra des mesures pour veiller à la fiabilité des membres du personnel qui ont accès aux Données à caractère personnel européennes ou qui en ont la responsabilité, y compris s’agissant du traitement de ces dernières conformément aux instructions du cabinet.
3. Relation avec les sous-traitants
3.1. Lorsqu’une Entité L&W utilise les services d’une autre Entité L&W en tant que sous-traitant afin de traiter des Données à caractère personnel européennes en son nom, ce sous-traitant se conformera à l’ensemble des exigences de ces Normes et si nécessaire, les parties mettront en place tout accord supplémentaire et s’y conformeront, conformément à la Législation de l’UE en matière de protection des données en vigueur.
3.2. Lorsqu’une Entité L&W utilise les services d’un sous-traitant afin de traiter des Données à caractère personnel européennes en son nom, et si le sous-traitant est un tiers, l’Entité L&W sélectionnera un sous-traitant qui fournit des garanties suffisantes quant au niveau de sécurité qu’il applique relativement aux Données à caractère personnel européennes à traiter. L’Entité L&W veillera à ce qu’un contrat soit conclu avec tout sous-traitant tiers, conformément aux exigences pertinentes de la Législation de l’UE en matière de protection des données en vigueur.
3.3. Si l’Entité L&W est établie dans l’EEE et recrute un sous-traitant tiers établi en dehors de l’EEE pour traiter les Données à caractère personnel européennes en son nom, cette Entité L&W s’assurera que :
a) un contrat est en place avec le sous-traitant, sous la forme des Clauses types pour les sous-traitants (sous réserve des amendements autorisés par la Législation de l’UE en matière de protection des données en vigueur), ou incorporant leurs termes ; ou
b) d’autres protections adéquates sont en place, conformément à la Législation de l’UE en matière de protection des données en vigueur, pour garantir la protection des Données à caractère personnel européennes.
Les mêmes normes s'appliquent aux sous-traitant tiers établis au Royaume-Uni une fois que la période de transition mentionnée à l'Article FINPROV.10A, paragraphes 1 et 4, de l'Accord de Commerce et de Coopération entre l'UE et le Royaume-Uni daté du 24 décembre 2020, aura expiré. Après l'expiration de la période de transition, les Entités L&W ne transféreront des Données Personnelles Européennes vers le Royaume-Uni que sur la base de garanties juridiques appropriées au sens de l'Article 45 et suivants du RGPD. Les garanties respectives peuvent être, entre autres, des Clauses types ou une décision d’adéquation de la Commission Européenne déterminant que le Royaume-Uni peut garantir un niveau de protection des données comparable à celui de l’UE.
3.4. Si une Entité L&W (agissant en qualité de responsable du traitement) transfère des Données à caractère personnel européennes à un responsable du traitement tiers en dehors du cabinet, l’Entité L&W veillera à ce que ces transferts soient menés conformément aux exigences de la Législation de l’UE en matière de protection des données en vigueur. Si la Législation de l’UE en matière de protection des données en vigueur l’exige, ou si elle l’autorise et que cela est approprié, l’Entité L&W mettra en place des mesures de protection pour protéger les Données à caractère personnel européennes et les droits des personnes. Ces mesures de protection pourront prendre la forme d’un contrat, soit sous la forme de Clauses types pour les transferts entre deux responsables du traitement ou sous toute autre forme qui permettra d’assurer un niveau de protection adéquat.
4. Formation du personnel
4.1. Latham & Watkins met en place un programme de sensibilisation à la protection des données et à la sécurité afin d’informer et de former l’ensemble du Personnel sur les bonnes pratiques et les politiques de protection des données et de sécurité du cabinet.
4.2. Différents canaux de communication sont utilisés pour la sensibilisation à la protection des données et de la sécurité. Des fiches-conseils et des guides sur les bonnes pratiques en la matière sont disponibles sur des sites intranet dédiés accessibles à tout le personnel.
4.3. Chaque Entité L&W veillera également à ce que les membres du Personnel qui ont accès à des Données à caractère personnel ou qui ont des responsabilités s’agissant de leur traitement reçoivent les directives et la formation qui conviennent.
5. Conflit avec le droit local applicable
5.1. Si un Droit local exige un niveau de protection supérieur concernant les Données à caractère personnel européennes par rapport à celui prévu par les présentes Normes, les dispositions du Droit local prévaudront.
6. Assistance mutuelle et coopération avec les autorités de protection des données
6.1. Chaque Entité L&W se conformera aux instructions émises par l’APD dans son pays ou territoire dans la mesure où elles se rapportent aux présentes Normes ou au traitement des Données à caractère personnel européennes d’une façon générale, et tiendra compte des conseils qui lui seront donnés par l’APD quant à l’interprétation de ces Normes.
6.2. Les Entités L&W s’entraideront pour répondre à une demande ou à une enquête menée par une APD en lien avec les présentes Normes et fourniront à l’APD compétente les information que celle-ci aura raisonnablement demandé en relation avec le traitement des Données à caractère personnel européennes.
6.3. Les Entités L&W s’entraideront également pour répondre à une demande ou à une plainte émanant d’une personne concernée en lien avec ces Normes ou avec le traitement de ses Données à caractère personnel européennes.
7. Transfert de Données
7.1 Les Entités L&W doivent transférer les Données à caractère personnel européennes à des sous-traitants et à d'autres tiers conformément aux Articles 44 à 46 du RGPD ou sous réserve d'une dérogation conformément à l'Article 49 du RGPD.
7.2 Le Global Data Privacy Office, au nom des Entités L&W, doit effectuer et documenter une évaluation de l'impact du transfert avant de procéder à un transfert de Données à caractère personnel européennes en tenant compte des éléments suivants :
7.2.1 les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;
7.2.2 les lois et pratiques du pays de destination tiers — y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l'accès par ces autorités — pertinentes selon les circonstances spécifiques du transfert, et les limitations et garanties applicables ;
7.2.3 toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par ces Clauses, y compris les mesures appliquées pendant la transmission et le traitement des données à caractère personnel dans le pays de destination.
8. Politiques, Responsabilité et Fonction de Protection des données de Latham & Watkins
8.1 Conformément Législation de l’UE en matière de protection des données, L&W Allemagne a nommé un Délégué à la Protection des Données (DPD). Les coordonnées du DPP seront publiées dans les politiques de protection des données de Latham & Watkins.
RÈGLES RELATIVES À LA PRATIQUE ET A LA CONFORMITÉ
9. Responsabilité relative à la conformité
9.1. Le Personnel de Latham & Watkins est tenu de respecter les présentes Normes et doit accepter les présentes, conjointement avec la dernière Politique relative à l’utilisation acceptable des systèmes de communication du cabinet, et ce chaque année.
9.2. Le cabinet a conclu un Accord BCR. L&W Allemagne a été désigné par le cabinet comme l’Entité L&W responsable de la protection des données dans l’EEE. L&W Allemagne prendra les mesures nécessaires pour remédier à toute infraction aux Normes, qu’elle peut faire exécuter contractuellement par le biais de l’Accord BCR.
9.3. L&W Allemagne accepte la responsabilité de prendre des mesures pour remédier aux actes et omissions d’autres Entités L&W en dehors de l’EEE qui enfreindraient les présentes Normes et de verser une indemnisation pour tout dommage résultant d’une telle violation des Normes par des Entités L&W situées en dehors de l’EEE. En conséquence, toute procédure à l’encontre de bureaux Latham & Watkins situés hors de l’EEE doit être intentée contre le bureau Latham & Watkins Allemagne (à l’exception des procédures relatives au Royaume-Uni, qui doivent être intentées contre L&W London). Toute procédure à l’encontre d’un bureau Latham & Watkins situé dans l’EEE doit être intentée contre ledit bureau Latham & Watkins.
10. Programme d’audit pour vérifier la conformité
Latham & Watkins s’engage à mettre en place des mesures pour évaluer et vérifier la conformité vis-à-vis des présentes Normes et de la législation en vigueur relative à la protection des données.
11. Mises à jour
11.1. Le Privacy Committee continuera de revoir les présentes Normes, veillera à ce qu’elles soient mises à jour régulièrement et communiquera les mises à jour pertinentes aux Entités L&W dans les meilleurs délais. Le Privacy Committee veillera à ce que toute modification apportée à la structure du cabinet soit prise en compte dans les présentes Normes et que toute nouvelle Entité L&W soit tenue d’accepter les termes de ces Normes et de s’y conformer. Le Privacy Committee informera les Entités L&W de toute modification apportée à ces Normes.
11.2. Les dispositions non confidentielles des présentes Normes, y compris le contenu de l’Annexe 1 (Procédure de plainte relative à la protection des données), seront publiées sur le site Internet externe de Latham & Watkins tout comme sur son site intranet. Toute mise à jour des Normes sera publié sans délai. Le texte intégral des Normes sera mis à disposition, à sa demande (sous réserve d’un accord de confidentialité), de toute personne concernée qui souhaite exercer les droits de recours décrits dans la Procédure de plainte relative à la protection des données en Annexe 1.
DROITS DES PERSONNES CONCERNÉES
12. Droits d’accès, de correction et d’opposition (y compris marketing et profilage)
Chaque Entité L&W reconnaît que les personnes concernées ont les droits suivants en lien avec l’Entité L&W responsable du traitement des Données à caractère personnel européennes :
12.1. le droit de recevoir des informations sur la façon dont leurs Données à caractère personnel sont traitées par l’Entité L&W concernée en sa qualité de responsable du traitement des Données à caractère personnel européennes, y compris une copie des présentes Normes et de la Procédure de plainte en matière de protection des données ;
12.2. le droit de recevoir une copie des Données à caractère personnel européennes détenues sur elles (y compris leurs finalités et modalités de traitement) par l’Entité L&W dans les délais prévus par la Législation de l’UE en matière de protection des données en vigueur, sous réserve du droit de l’Entité L&W de refuser une telle demande, en totalité ou en partie, en vertu de la Législation de l’UE en matière de protection des données en vigueur ;
12.3. le droit à ce que leurs Données à caractère personnel européennes soient mises à jour, corrigées ou complétées, en particulier en raison de la nature incomplète ou inexacte des données, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;
12.4. le droit à ce que leurs Données à caractère personnel européennes soient effacées, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;
12.5. le droit de limiter le traitement de leurs Données à caractère personnel européennes, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;
12.6. le droit de recevoir les Données à caractère personnel européennes, que la personne concernée a fourni à une Entité L&W responsable du traitement des Données à caractère personnel européennes, dans un format structuré, communément utilisé et lisible par une machine et de transmettre ces Données à caractère personnel à un autre responsable du traitement, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;
12.7. si les dispositions de la Législation de l’UE en matière de protection des données en vigueur le prévoient, le droit de ne pas recevoir des messages marketing direct sans y avoir consenti au préalable et, en tout état de cause, le droit de s’opposer à tout moment au traitement de leurs Données à caractère personnel (y compris le profilage) à des fins de marketing direct ;
12.8. le droit de définir des directives relatives à la conservation, à l’effacement et à la communication de leurs Données à caractère personnel après leur décès ;
12.9. le droit de s’opposer à tout moment au traitement de leurs Données à caractère personnel européennes, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ; et
12.10. le droit de s’opposer aux décisions impliquant la collecte de leurs Données à caractère personnel européennes uniquement par le biais d’un traitement automatisé, y compris le profilage, si ces décisions évaluent leurs caractéristiques personnelles ou leur comportement et produisent des effets juridiques qui les concernent ou ont une incidence significative sur elles (sauf dans la mesure autorisée par, et sous réserve des mesures de protection visées dans la Législation de l’UE en matière de protection des données en vigueur).
13. Violation des présentes Normes
Latham & Watkins reconnaît que les personnes concernées ont le droit de faire valoir les droits suivants à l’encontre du cabinet concernant les Données à caractère personnel européennes :
13.1. le droit d’obtenir une copie des présentes Normes sur demande (sous réserve d’un engagement de confidentialité raisonnablement demandé par le cabinet ou l’Entité L&W traitant la demande) ;
13.2. le droit de recevoir une réponse dans un délai raisonnable et au plus tard 1 mois après que la demande ait été adressée (ou dans un délai maximum de trois mois en cas de demande complexe), à toute requête concernant le traitement des Données à caractère personnel européennes de la personne concernée en dehors de l’EEE ;
13.3. le droit de déposer une plainte et d’obtenir une réparation adéquate (y compris, le cas échéant, une indemnisation des dommages subis) suite à une violation des présentes Normes par une Entité L&W (à l’exclusion des cas de violation des dispositions relatives à la formation du personnel, des politiques et de la fonction de protection des données de Latham & Watkins, du programme d’audit et des mises à jour des présentes Normes) ;
13.4. le droit de déposer une plainte auprès d’une APD au sein de l’EEE dans le pays de résidence habituel ou de travail de la personne concernée, ou le lieu où la violation des présentes Normes est censée avoir eu lieu ; et
13.5. le droit d’introduire un recours juridictionnel effectif devant le tribunal compétent de l’EEE, qui peut se situer dans le territoire où l’Entité L&W concernée est établie ou dans le lieu de résidence habituelle de la personne concernée.
14. Mise en application des droits d’une personne concernée
14.1. Le processus relatif à l’exercice des droits décrit à l’article 14 est présenté plus en détail dans la Procédure de plainte de Latham & Watkins en matière de protection des données en Annexe 1 des présentes Normes.
14.2. Une personne concernée qui souhaite faire valoir ses droits devrait en premier lieu contacter le Global Privacy Office par e-mail à l’adresse GlobalDPO@lw.com, mais peut également introduire une réclamation auprès du président du Privacy Committee situé à Francfort ou de l’APD ou des tribunaux du territoire où l’Entité L&W concernée est située.
14.3. Toute personne concernée qui cherche à faire valoir ses droits en vertu des présentes Normes sera tenue de produire des preuves établissant à première vue qu’une violation est survenue.
14.4 Les Entités L&W reconnaissent que la personne concernée peut être représentée par un organisme, une organisation ou une association à but non lucratif conformément à la Législation de l’UE en matière de protection des données et sous réserve d'une procuration appropriée.
15. Cessation
15.1 Lors de la résiliation des présentes Normes ou à la suspension du transfert, les Entités L&W concernées peuvent conserver, retourner ou supprimer les Données à caractère personnel européennes et leurs copies en fonction du choix de l'exportateur de données.
Date d’entrée en vigueur des Normes : septembre 2016
Mise à jour en avril 2024
Annexe 1 Procédure de plainte de Latham & Watkins relative aux droits des personnes concernées en matière de protection des données
Procédure de plainte de Latham & Watkins relative aux droits des personnes concernées en matière de protection des données