DESACHÉ AVOCAT
UN CABINET INDEPENDANT EN DROIT DES AFFAIRES
Politique de confidentialité (RGPD)
La présente politique de confidentialité détaille la politique du cabinet Desaché Avocat (D&A) en matière de données personnelles, conformément à la réglementation en vigueur en France en matière de données personnelles telle qu’issue de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi « Informatique et Libertés » et du Règlement UE 2016/679 du 25 mai 2018 sur la protection des données dit « RGPD ».
La présente politique de confidentialité a pour vocation d’informer tout client de D&A (ci-après le « Client ») :
• des traitements des données personnelles du Client réalisés par D&A en tant que responsable de traitement (I) ; et
• des traitements des données personnelles de tiers transmises par le Client à D&A réalisés par D&A en tant que sous-traitant (II).
I. Traitement des données personnelles des Clients par Desache Avocat en tant que responsable de traitement
1. Catégories de données personnelles collectées
Dans le cadre de la mission confiée par le Client à D&A, D&A est amené à collecter et traiter des données personnelles concernant les Clients, relatives notamment à l’état civil (nom, prénom, âge, adresse postale, adresse email), la situation familiale, la vie professionnelle (fonction, etc.), et aux informations économiques et financières (ci-après les « Données du Client »).
2. Coordonnées du responsable de traitement
Le responsable de traitement des Données du Client est Monsieur Desaché Jean-Marc, exerçant à Paris sous forme d’avocat Independant à responsabilité professionnelle individuelle, dont le siège social est situé 4, rue Descombes, 75017 Paris, France, inscrite sous le numéro SIRET xxxxx.
Téléphone : +33 (0)1 44 29 29 311
Le représentant du responsable de traitement peut être contacté(e) à l’adresse électronique suivante : jmdesache@desache-avocat.com.
3. Fondements et finalités de la collecte
Les Données du Client sont exclusivement collectées dans le cadre de l’exécution et de la gestion du contrat qui lie le Client à D&A, en vertu des obligations légales ou règlementaires (obligations comptables, fiscales, etc.) qui incombent à D&A, pour répondre aux intérêts légitimes de D&A (suivi et entretien de la relation commerciale), ou bien encore sur la base du consentement du Client (invitation à des évènements).
4. Acteurs du traitement
4.1. Le personnel de D&A
Les Données du Client sont destinées aux membres de D&A, habilités à les traiter en raison de leurs fonctions.
4.2. Les sous-traitants de D&A
Dans le cadre de l’exercice de ses activités et de la fourniture de ses services, D&A a recours à des sous-traitants situés dans l’Union européenne, qui traitent les Données du Client pour le compte, sur instruction et sous l’autorité de D&A.
Conformément au RGPD, D&A exige de ses sous-traitants qu’ils présentent des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées, afin d’assurer la sécurité et la confidentialité des Données du Client.
4.3. Les tiers
Dans le cadre de l’exercice de ses activités et de la fourniture de ses services, D&A peut être amené à transmettre les Données du Client à des avocats confrères (dans le cadre d’échanges d’actes juridiques, de contentieux, etc.) ou à des formalistes (pour l’accomplissement des formalités liées à l’inscription des dirigeants).
5. Durée de conservation et archivage des Données du Client
D&A ne collecte que les Données du Client strictement nécessaires aux finalités poursuivies telles que rappelées ci-dessus et pour la durée strictement nécessaire à l’objectif poursuivi. Plus particulièrement, les Données du Client sont conservées en base active le temps de l’exécution de la mission confiée par le Client à D&A. A l’issue de cette durée de conservation, les Données du Client seront supprimées ou feront l’objet d’un archivage pour la durée nécessaire (i) au respect par D&A de ses obligations légales et réglementaires, et/ou (ii) pour faire valoir un droit en justice.
6. Sécurité des Données du Client
D&A met en place l’ensemble des mesures techniques et organisationnelles de nature à assurer la confidentialité et la sécurité des Données du Client et à éviter qu’elles ne soient endommagées, effacées ou transmises à des tiers non autorisés.
En cas de violation des Données du Client, susceptible d’engendrer un risque pour les droits et libertés du Client, D&A s’engage à notifier, dans les conditions prévues aux articles 33 et 34 du RGPD, la violation en question à l’autorité de contrôle compétente (CNIL) au plus tard 72 heures après en avoir pris connaissance, et au Client dans les meilleurs délais.
7. Les droits du Client sur ses données personnelles
Dans les conditions prévues aux articles 15 à 22 du RGPD et lorsque cela est compatible avec les finalités de traitement, le Client bénéficie du droit d’accès, de rectification, d’effacement et de portabilité de ses données personnelles ainsi que du droit à la limitation du traitement. Le Client peut également, pour des motifs légitimes, s’opposer au traitement des données personnelles le concernant. Le Client peut exercer ses droits en envoyant sa demande à l’adresse suivante : jmdesache@desache-avocat.com
D&A pourra refuser l’exercice de ces droits pour l’un des motifs prévus aux articles 15 à 22 du RGPD, notamment si le traitement est nécessaire pour respecter une obligation légale ou réglementaire qui lui incombe, ou pour la constatation, l’exercice ou la défense de droits en justice.
D&A fournira au Client des informations sur les mesures prises, dans les meilleurs délais et en tout état de cause dans un délai d’un (1) mois à compter de la réception de la demande. Ce délai peut être prolongé de deux (2) mois, eu égard à la complexité et au nombre de demandes. D&A fournira au Client des informations sur les mesures prises, dans les meilleurs délais et en tout état de cause dans un délai d’un (1) mois à compter de la réception de la demande. Ce délai peut être prolongé de deux (2) mois, eu égard à la complexité et au nombre de demandes.
Si D&A ne donne pas suite à la demande, il en informera le Client, dans les meilleurs délais, et au plus tard dans un délai d’un (1) mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel. L’exercice de ces droits se fait à titre gratuit, mais en cas de demande manifestement infondée ou excessive, D&A se réserve la possibilité (i) d’exiger le paiement de frais tenant compte des coûts administratifs, ou (ii) de refuser de donner suite à ces demandes.
8. Recours auprès d’une autorité de contrôle
Sans préjudice de tout autre recours administratif ou juridictionnel, si le Client estime que le traitement de ses Données constitue une violation des dispositions du RGPD, le Client a le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente (CNIL).
II. Traitement des données personnelles de tiers communiquées par le Client à D&A et traitées par D&A en tant que sous-traitant
1. Dans le cadre de l’exécution de la mission, le Client de D&A peut être amené à transmettre à D&A des données personnelles de tiers (exemple : salariés du Client, clients du Client, etc.) relatives à l’état civil (nom, prénom, âge, adresse postale, adresse email), la situation familiale, la vie professionnelle (fonction, etc.), et aux informations économiques et financières (ci-après les « Données des Tiers »).
2. Le Client est responsable de traitement des Données des Tiers. D&A, qui collecte et traite les Données des Tiers pour le compte et selon les instructions du Client, agit ainsi en qualité de sous-traitant.
3. En tant que responsable de traitement, le Client déclare et garantit répondre aux obligations qui lui incombent en matière de protection des Données des Tiers, et notamment (i) assurer la licéité des traitements qu’il effectue sur les Données des Tiers, (ii) avoir informé et obtenu, le cas échéant, le consentement des personnes concernées, (iii) avoir mis en place toutes les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des Données des Tiers, (iv) permettre l’exercice effectif et rapide des droits des personnes concernées, et (v) avoir mis en place une procédure effective en cas de violation des Données des Tiers.
4. Le Client reste propriétaire des Données des Tiers et est exclusivement responsable de toute infraction à la réglementation en matière de données personnelles commise dans le cadre de la gestion des Données des Tiers en tant que responsable de traitement, D&A n’encourant aucune responsabilité à ce titre. De même, D&A n’ayant ni connaissance de, ni contrôle sur, l’utilisation que le Client fait des Données des Tiers, ne pourra être tenu responsable d’une atteinte au respect de ces données personnelles que le Client est susceptible de commettre.
5. En tant que sous-traitant des Données des Tiers, D&A s’engage, conformément aux dispositions de l’article 28 du RGPD à :
– traiter les Données des Tiers uniquement dans le cadre de l’exécution de la mission confiée par le Client à D&A ;
– ne traiter les Données des Tiers que sur instructions documentées du Client, et à informer ce dernier de toute instruction qui serait contraire à la réglementation relative aux données à caractère personnel ;
– veiller à ce que les personnes autorisées à traiter les Données des Tiers s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
– mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité et la confidentialité des Données des Tiers ;
– prendre en compte, s’agissant des outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
– aider le Client, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées ;
– notifier au Client toute violation des Données des Tiers, dans les meilleurs délais après en avoir eu connaissance ;
– aider le Client, compte tenu des informations mises à sa disposition, à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données ; et
– mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Client ou par un autre auditeur que le Client aura mandaté, et à contribuer à ces audits.
6. D&A s’engage à s’assurer que les Données des Tiers sont localisées dans l’Union européenne ou dans un pays offrant un niveau de protection équivalent au niveau de protection des données personnelles dans l’Union européenne. En cas de transfert des données personnelles hors de l’Union européenne, ou vers un pays n’offrant pas un niveau de protection équivalent à celui de l’Union européenne, D&A s’engage à ce que ledit transfert soit encadré par la signature de clauses contractuelles types établies ou approuvées par la Commission européenne ou par la mise en place de règles internes d’entreprise (Binding Corporate Rules). D&A peut faire appel à un sous-traitant pour mener des activités de traitement spécifique, et s’engage à communiquer la liste de ses sous-traitants à première demande du Client. D&A fait appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des Données des Tiers. D&A demeurera en tout état de cause pleinement responsable à l’égard du Client de tout manquement commis par le sous-traitant ultérieur dans le cadre des traitements effectués pour le compte du Client.
7. D&A traite les Données des Tiers dans les conditions définies ci-dessus pendant toute la durée de la mission confiée par le Client à D&A. A l’issue de ladite mission, D&A s’engage, conformément aux instructions du Client à supprimer les Données des Tiers ou à les lui renvoyer, sauf si une obligation légale ou règlementaire impose à D&A de les conserver.