Normes Mondiales en matière de Protection des Données

View in English.

INTRODUCTION

Le présent document présente les normes qui s’appliquent au traitement des Données à caractère personnel européennes (tel que ce terme est défini ci-dessous) au sein de Latham & Watkins (les « Normes »). Latham & Watkins est un cabinet d’avocats international qui détient des bureaux dans 15 pays à travers le monde. Le cabinet mène son activité sans frontières internes et du fait de la nature internationale de cette activité, il est vital que les données à caractère personnel puissent être transférées au sein du cabinet.

Latham & Watkins, par le biais de son Executive Committee (Comité exécutif), a pris l’engagement de protéger les données à caractère personnel qui sont traitées au sein du cabinet. En particulier, les présentes Normes visent à faciliter le transfert de Données à caractère personnel européennes au sein de Latham & Watkins, conformément au Règlement européen (UE) 2016/679.

Définitions

« Accord BCR » désigne l’accord par lequel toutes les Entités L&W qui traitent des Données à caractère personnel européennes s’engagent à se conformer aux Normes.

« AIPD » désigne l’analyse d’impact relative à la protection des données définie dans l’article 35 du RGPD.

« Atteinte à la sécurité » désigne toute atteinte à la sécurité ayant pour conséquence la destruction, la perte, l'altération, la divulgation de, ou l’accès non autorisée à, de manière accidentelle ou illicite, des Données à caractère personnel européennes traitées par une Entité L&W.

« Autorité de protection des données » ou « APD » (Data Protection Authority, DPA) désigne l’autorité responsable de la régulation et de la mise en application des lois sur la protection des données dans un pays donné.

« Clauses types » désigne les clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants ou des responsables du traitement établis dans des pays tiers qui sont publiées et approuvées par la Commission européenne.

« Données de catégories particulières » désigne les Données à caractère personnel européennes qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données relatives aux infractions et condamnations pénales, concernant la santé, l’orientation sexuelle ou la vie sexuelle, les données génétiques et biométriques et toute autre catégorie particulière couverte par la Législation de l’UE en matière de protection des données applicable.

« Données à caractère personnel » désigne les informations relatives à une personne physique identifiée ou identifiable (« personne concernée ») ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Le terme « Données à caractère personnel » inclut également les informations liées aux personnes qui ne sont pas des personnes physiques si cela est une exigence de la Législation de l’UE en matière de protection des données en vigueur.

« Données à caractère personnel européennes » désigne les données à caractère personnel (i) du personnel, des avocats, des associés, des consultants, des intérimaires et des candidats potentiels à ces postes qui sont collectées et traitées dans le cadre du recrutement et de l’administration des ressources humaines ; (ii) des clients, prospects et alumni qui sont traitées dans le cadre de la fourniture de services juridiques et/ou à des fins de marketing ou de communication ; et (iii) des fournisseurs, prestataires et consultants qui sont traitées dans le cadre de leur relation avec Latham & Watkins (vous trouverez plus d’informations à ce sujet dans la Notice d’information sur le traitement des données à caractère personnel, la Politique de protection des données en matière de recrutementl’Alumni Privacy Policy ou la Notice d’information relative au traitement des données clients et des tiers), par une Entité L&W en tant que responsable du traitement et qui sont soumises à la Législation de l’UE en matière de protection des données en vigueur.

« Droit applicable » désigne le droit du territoire où l’Entité L&W est située et toute autre législation à laquelle une Entité L&W est assujettie.

« Droit local » désigne les lois et/ou réglementations d’un pays, ou toute autre obligation légale imposée par ce dernier, auxquelles une Entité L&W est assujettie, autres que la Législation de l’UE en matière de protection des données en vigueur.

« EEE » désigne l’Espace économique européen.

« Entité L&W » désigne chaque société ou association faisant partie du cabinet.

« Latham & Watkins » et « le cabinet » désignent Latham & Watkins, un cabinet qui exerce dans le monde entier en tant que limited liability partnership, constitué selon le droit de l’État du Delaware (États-Unis d’Amérique) (le « Delaware LLP »), avec, en France, en Italie, à Hong Kong, à Singapour, en Arabie Saoudite et au Royaume Uni, des affiliés exerçant l’activité sous la forme de limited liability partnerships ou d’associations d’avocats et, au Japon, sous la forme d’un partnership. Latham & Watkins exerce en Corée du Sud en tant que Foreign Legal Consultant Office. En plus de ce qui précède, « le cabinet » inclut également toutes les Entités entièrement détenues par le Delaware LLP..

« Législation de l’UE en matière de protection des données » désigne les lois nationales au sein de l’EEE qui transposent le Règlement européen (UE) 2016/679, la Directive 2002/58 (et toute loi qui les modifie ou les remplace) et la législation européenne associée en matière de protection des données

« L&W Allemagne » désigne le bureau Latham & Watkins de Francfort.

« Personnel » désigne l’ensemble des associés, avocats collaborateurs et counsels, stagiaires, salariés et intérimaires de Latham & Watkins.

« RGPD » désigne le règlement européen (UE) 2016/679.

Les termes « traitement », « responsable du traitement » et « sous-traitant » ont le sens qui leur est donné dans le RGPD.

Champ d’Application

Latham & Watkins exerce actuellement son activité dans les pays suivants (les pays au sein de l’EEE sont surlignés en gris) :

PAYS

BUREAUX

COORDONNÉES

Etats-Unis

Austin, Boston, Century City, Chicago, Houston, Los Angeles, Los Angeles GSO, New York, Orange County, San Diego, San Francisco, Silicon Valley, Washington D.C.

1271 Avenue of the Americas, New York, NY 10020

Royaume-Uni

Londres, Manchester (bureau sans pratique juridique)

99 Bishopsgate, London EC2M 3XF, United Kingdom

Belgique

Bruxelles

Boulevard du Régent, 43-44, B-1000 Brussels, Belgium

France

Paris

45, rue Saint-Dominique, Paris 75007, France

Italie

Milan

Corso Matteotti, 22, Milano, 20121, Italy

Allemagne

Francfort, Munich, Hambourg, Düsseldorf

Reuterweg 20, 60323 Frankfurt am Main, Germany

Espagne

Madrid

Plaza de la Independencia 6, 28001 Madrid, Spain

Arabie Saoudite

Riyad

Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, P.O. Box 17411, Riyadh 11484, Saudi Arabia

Emirats Arabes Unis

Dubaï

ICD Brookfield Place, Level 16, Dubai International Financial Centre, P.O. Box 506698, Dubai, United Arab Emirates

Israel

Tel Aviv

28 HaArba’a Street, North Tower, 34th floor, Tel Aviv 6473925, Israel

Corée du Sud

Séoul

29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea

Chine

Pékin

Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People’s Republic of China

Hong Kong

Hong Kong

18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong

Singapour

Singapour

9 Raffles Place, #42-02 Republic Plaza, Singapore 048619

Japon

Tokyo

Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan

Les présentes Normes s’applique au traitement de Données à caractère personnel européennes par les Entités L&W assujetties à la Législation de l’UE en matière de protection des données applicable.

Les présentes Normes s’appliquent au transfert de données à caractère personnel des employées, des candidats, des clients et des tiers.

Les données à caractère personnel des employées comprennent notamment :

  • identifiants (par exemple, nom, coordonnées, contacts d’urgence, photographies, preuve d’éligibilité à travailler et numéros d’identification) ;
  • détails personnels et familiaux (par exemple, lieu de naissance, état civil, nationalité, citoyenneté, composition familiale, informations sur le passeport et le visa) ;
  • informations de santé (par exemple, handicaps, dossiers d’absence pour maladie, rapports d’accidents, informations de dépistage de la santé, informations de santé au travail, préférences alimentaires et allergies alimentaires) ;
  • données relatives à la gestion et au développement de carrière (par exemple, catégorie d’employé, temps plein/partiel, études et diplômes, compétences linguistiques, références, vérifications des antécédents, expérience professionnelle) ;
  • données relatives à l’exécution et à la résiliation du contrat de travail ou de son contenu (par exemple, dates d’embauche, identifiant de l’employé, enregistrement du temps, temps de travail et congés, évaluations de performance, formations, procédures disciplinaires et plaintes, entretien de sortie) ;
  • données financières (par exemple, rémunération, bonus, salaire, avantages, coordonnées bancaires, numéro de sécurité sociale, numéro fiscal) ;
  • enregistrements audio et vidéo (par exemple, enregistrements de vidéosurveillance, réunions en ligne et webinaires, événements et publications) ;
  • données relatives à l’utilisation des systèmes de contrôle d'accès aux bâtiments et à l’accès et à l’utilisation des équipements et ressources de bureau ;
  • données relatives aux déplacements dans le cadre de du travail ou dans le cadre des programmes d’avantages pour les employés.

Les données à caractère personnel des candidats incluent par exemple :

  • informations incluses dans la candidature (par exemple, nom, coordonnées, expérience professionnelle et universitaire, diplômes, preuve d’éligibilité à travailler, identifiants et autres informations figurant sur le CV) ;
  • informations sensibles (par exemple, race ou origine ethnique, handicaps) ;
  • informations collectées lors des entretiens et évaluations (par exemple, notes d’entretien, retours, informations collectées lors des évaluations et entretiens vidéo) ;
  • informations sur l’utilisation du portail de recrutement et du site web (par exemple, adresse IP collectée via des cookies) ;
  • informations provenant de tiers, tels que les référents et les recruteurs ;
  • informations nécessaires pour effectuer des vérifications préalables à l’emploi (par exemple, vérifications des casiers judiciaires, vérification des diplômes et de l’emploi) ;
  • informations sur l’accès aux bâtiments, enregistrements de sécurité vidéo.

Les informations relatives aux clients et aux tiers incluent par exemple :

  • identifiants (par exemple, nom, coordonnées et numéros d’identification) ;
  • informations biométriques (par exemple, photographies) ;
  • informations commerciales ;
  • informations professionnelles ou liées à l’emploi ;
  • informations disponibles publiquement sur les réseaux sociaux et dans la presse ;
  • spécificités des données protégées (par exemple, nationalité, affiliation politique, citoyenneté) ;
  • enregistrements audio et vidéo (par exemple, enregistrements de vidéosurveillance, réunions en ligne et webinaires).

Le traitement des Données à caractère personnel européennes est basé, selon le cas, sur :

  • le consentement, article 6, paragraphe 1.a) et article 9, paragraphe 2.a) du RGPD,
  • l’exécution d’un contrat, article 6, paragraphe 1.b) du RGPD,
  • le respect d’une obligation légale, article 6, paragraphe 1.c) du RGPD,
  • l’intérêt légitime, article 6, paragraphe 1.f) du RGPD,
  • l’exécution des obligations et de l’exercice des droits propres en matière de droit du travail, article 9, paragraphe 2.b) du RGPD,
  • la constatation, l’exercice ou la défense d’un droit en justice, article 9, paragraphe 2.f) du RGPD.

Les Données à caractère personnel européennes peuvent être transférées vers tous les bureaux du cabinet listés dans le tableau ci-dessus.

Les présentes Normes s’appliquent aussi à tout transfert de Données à caractère personnel européennes d’une Entité L&W vers un pays situé en dehors de l’EEE et au traitement de ces données transférées par une Entité L&W (que ce soit en tant que responsable du traitement ou sous-traitant) située en dehors de l’EEE et tout transfert de Données à caractère personnel européennes vers une Entité L&W située en dehors de l’EEE.

Aux fins des présentes Normes, il est reconnu que le Royaume-Uni (« RU ») est considéré comme un pays tiers au regard du RGPD. En conséquence, Latham & Watkins (London) LLP (« L&W London ») mettra en œuvre des normes globales en matière de protection des données (Global Data Privacy Standards) distinctes couvrant le transfert de données du Royaume-Uni au sein du cabinet. En ce qui concerne le transfert de ses données, L&W London assumera l’entière responsabilité des mesures prises pour remédier aux actes et omissions d’autres Entités L&W situées en dehors de l’EEE qui enfreignent les normes britanniques et du versement d’une indemnisation pour tout dommage résultant d’une telle violation par des Entités L&W situées en dehors de l’EEE. Par conséquent, les personnes concernées souhaitant déposer une plainte concernant le traitement des données à caractère personnel britanniques doivent contacter L&W London. Pour plus d’informations, veuillez-vous référer aux Normes Mondiales en matière de Protection des Données du RU, disponibles sur la page https://www.lw.com/Privacy.

RÈGLES ET PRINCIPES

1. Principes de gestion des données

Chaque Entité L&W agissant en qualité de responsable du traitement dans le cadre du traitement de Données à caractère personnel européennes conformément à la Notice d’information sur le traitement des données à caractère personnel, la Politique de protection des données en matière de recrutementl’Alumni Privacy Policy ou la Notice d’information relative au traitement des données clients et des tiers (selon le cas), se conformera aux principes suivants :

1.1. Les Données à caractère personnel européennes seront traitées de manière transparente, loyale et licite : les personnes concernées disposeront, dans la mesure où elles n’en ont pas déjà connaissance ou ne les ont pas déjà reçues, des informations sur l’identité du ou des responsables du traitement des données, sur les finalités pour lesquelles leurs Données à caractère personnel peuvent être utilisées (sous réserve de toute restriction autorisée concernant la fourniture de ces informations, par exemple en matière de prévention de la criminalité, de procédures judiciaires ou fiscales, ou lorsque le Droit applicable l’interdit), sur la base juridique du traitement et de toutes autres informations pertinentes requises par la Législation de l’UE en matière de protection des données en vigueur. Ces informations comprendront des renseignements sur les droits des personnes concernées en vertu de la Législation de l’UE en matière de protection des données.

1.2. Les Données à caractère personnel européennes seront collectées à des fins professionnelles déterminées, explicites et légitimes et, à moins que la Législation de l’UE en matière de protection des données en vigueur ne l’autorise, ne feront l’objet d’aucun traitement ultérieur incompatible avec ces finalités.

1.3. Les Données de catégories particulières seront traitées uniquement de manière strictement nécessaire aux fins professionnelles du cabinet et conformément aux exigences de la Législation de l’UE en matière de protection des données en vigueur.

1.4. Des mesures appropriées seront prises pour veiller à ce que les Données à caractère personnel européennes collectées et traitées soient adéquates et non excessives, et qu’elles soient pertinentes, exactes et à jour (lorsque cela est nécessaire). Des mesures appropriées seront également prises pour corriger ou supprimer sans délai les Données à caractère personnel si elles s’avèrent inexactes.

1.5. Les Données à caractère personnel européennes ne seront pas conservées plus longtemps que nécessaire compte tenu des finalités pour lesquelles elles sont traitées et seront conservées conformément aux politiques de conservation des données documentées du cabinet (sous réserve des exigences réglementaires et des dispositions de la Législation de l’UE en matière de protection des données en vigueur).

2. Sécurité des données

2.1. Compte tenu de l’état de l’art et du coût de mise en œuvre, chaque Entité L&W prendra les mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel européennes contre la destruction accidentelle ou illicite ou la perte accidentelle, l’altération, les dommages, la divulgation ou l’accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite. Ces mesures garantiront un niveau de sécurité approprié compte tenu des risques que représentent le traitement et la nature des Données à caractère personnel européennes à protéger, de sorte que les Données de catégories particulières et autres informations hautement confidentielles bénéficieront d’une protection renforcée. Ces mesures comprendront ce qui suit, le cas échéant :

a) la pseudonymisation ;

b) le cryptage ;

c) la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services ;

d) des installations de sauvegarde et de récupération en cas de catastrophe ; et

e) des processus pour tester et évaluer l’efficacité des mesures de sécurité.

2.2. Chaque Entité L&W devra informer sans délai le Global Data Privacy Office à l’adresse email GlobalDPO@lw.com de toute Atteinte à la sécurité. Le Global Data Privacy Office tiendra à jour les registres appropriés documentant l’Atteinte à la sécurité, toute incidence potentielle sur les personnes concernées et les mesures de correction prises. Le Global Data Privacy Office veillera à ce que des notifications soient adressés aux Autorités de protection des données concernées et aux personnes concernées impactées, comme le prévoit la Législation de l’UE en matière de protection des données. Le Global Data Privacy Office partagera les dossiers relatifs aux Atteintes à la sécurité concernant les Données à caractère personnel européennes traitées par une Entité L&W en tant que responsable du traitement dans l’EEE avec l’APD de son pays ou territoire si cette APD le lui demande.

2.3. Chaque Entité L&W prendra des mesures pour veiller à la fiabilité des membres du personnel qui ont accès aux Données à caractère personnel européennes ou qui en ont la responsabilité, y compris s’agissant du traitement de ces dernières conformément aux instructions du cabinet.

2.4. L’article 8 décrit les politiques de sécurité des données et la fonction de confidentialité du cabinet. Le comité de sécurité (Security Committee) présenté dans le paragraphe 8.3 est responsable de toutes les politiques et normes de sécurité des données au sein du cabinet. Les politiques et procédures du cabinet, telles que modifiées de temps à autre, établissent les normes détaillées du cabinet en matière de sécurité des données qui doivent être respectées.

3. Relation avec les sous-traitants

3.1. Lorsqu’une Entité L&W utilise les services d’une autre Entité L&W en tant que sous-traitant afin de traiter des Données à caractère personnel européennes en son nom, ce sous-traitant se conformera à l’ensemble des exigences de ces Normes et si nécessaire, les parties mettront en place tout accord supplémentaire et s’y conformeront, conformément à la Législation de l’UE en matière de protection des données en vigueur.

3.2. Lorsqu’une Entité L&W utilise les services d’un sous-traitant afin de traiter des Données à caractère personnel européennes en son nom, et si le sous-traitant est un tiers, l’Entité L&W sélectionnera un sous-traitant qui fournit des garanties suffisantes quant au niveau de sécurité qu’il applique relativement aux Données à caractère personnel européennes à traiter. L’Entité L&W veillera à ce qu’un contrat soit conclu avec tout sous-traitant tiers, conformément aux exigences pertinentes de la Législation de l’UE en matière de protection des données en vigueur.

3.3. Si l’Entité L&W est établie dans l’EEE et recrute un sous-traitant tiers établi en dehors de l’EEE pour traiter les Données à caractère personnel européennes en son nom, cette Entité L&W s’assurera que :

a) un contrat est en place avec le sous-traitant, sous la forme des Clauses types pour les sous-traitants (sous réserve des amendements autorisés par la Législation de l’UE en matière de protection des données en vigueur), ou incorporant leurs termes ; ou

b) d’autres protections adéquates sont en place, conformément à la Législation de l’UE en matière de protection des données en vigueur, pour garantir la protection des Données à caractère personnel européennes.

Les mêmes normes s’appliquent aux sous-traitant tiers établis au Royaume-Uni une fois que la période de transition mentionnée à l’Article FINPROV.10A, paragraphes 1 et 4, de l’Accord de Commerce et de Coopération entre l’UE et le Royaume-Uni daté du 24 décembre 2020, aura expiré. Après l’expiration de la période de transition, les Entités L&W ne transféreront des Données à caractère personnel européennes vers le Royaume-Uni que sur la base de garanties juridiques appropriées au sens de l’Article 45 et suivants du RGPD. Les garanties respectives peuvent être, entre autres, des Clauses types ou une décision d’adéquation de la Commission Européenne déterminant que le Royaume-Uni peut garantir un niveau de protection des données comparable à celui de l’UE.

3.4. Si une Entité L&W (agissant en qualité de responsable du traitement) transfère des Données à caractère personnel européennes à un responsable du traitement tiers en dehors du cabinet, l’Entité L&W veillera à ce que ces transferts soient menés conformément aux exigences de la Législation de l’UE en matière de protection des données en vigueur. Si la Législation de l’UE en matière de protection des données en vigueur l’exige, ou si elle l’autorise et que cela est approprié, l’Entité L&W mettra en place des mesures de protection pour protéger les Données à caractère personnel européennes et les droits des personnes. Ces mesures de protection pourront prendre la forme d’un contrat, soit sous la forme de Clauses types pour les transferts entre deux responsables du traitement ou sous toute autre forme qui permettra d’assurer un niveau de protection adéquat.

4. Formation du personnel

4.1. Latham & Watkins met en place un programme de sensibilisation à la protection des données et à la sécurité afin d’informer et de former l’ensemble du Personnel sur les bonnes pratiques et les politiques de protection des données et de sécurité du cabinet. L’ensemble du personnel doit compléter un module de formation en ligne obligatoire sur la protection des données lorsqu’ils rejoignent le cabinet, puis tous les deux ans. Le taux de complétion de ce module est suivi par le cabinet. Une formation sur mesure sur la protection des données est également dispensée, si nécessaire, au personnel ayant une responsabilité spécifique concernant les données à caractère personnel.

4.2. Différents canaux de communication sont utilisés pour la sensibilisation à la protection des données et de la sécurité. Des fiches-conseils et des guides sur les bonnes pratiques en la matière sont disponibles sur des sites intranet dédiés accessibles à tout le personnel.

4.3. Chaque Entité L&W veillera également à ce que les membres du Personnel qui ont accès à des Données à caractère personnel ou qui ont des responsabilités s’agissant de leur traitement reçoivent les directives et la formation qui conviennent.

5. Conflit avec le droit local applicable

5.1. Si une Entité L&W a des raisons de croire que le droit local applicable, les règlements ou d’autres obligations légales l’empêchent de se conformer aux Normes et que cela pourrait avoir un effet négatif substantiel sur les garanties fournies par les Normes, l’Entité L&W informera rapidement le Privacy Committee (Comité de Confidentialité) (tel que défini ci-dessous) (sauf si la loi ou les forces de l’ordre l’interdisent, par exemple pour préserver la confidentialité d’une enquête) et suspendra le transfert prévu de Données à caractère personnel européennes. Le Comité de Confidentialité tiendra des registres de toutes ces notifications et des actions entreprises à leur égard.

5.2. Le Comité de Confidentialité prendra toutes les décisions nécessaires concernant toute action requise à la suite d’une telle notification par une Entité L&W, et celle-ci se conformera à toutes les instructions émises par le Comité de Confidentialité. Celui-ci reconnaît qu'aucun transfert de Données à caractère personnel européennes ne doit être effectué par une Entité L&W à une autorité publique de manière massive, disproportionnée ou indiscriminée, allant au-delà de ce qui est nécessaire dans une société démocratique. Le Comité de Confidentialité peut consulter à tout moment l’APD concernée pour obtenir des conseils, notamment sur la manière de résoudre un conflit entre le droit local applicable et les Normes.

5.3. Le Comité de Confidentialité informera l’APD concernée s’il a déterminé que le droit local applicable est susceptible d’avoir un effet négatif substantiel sur les garanties fournies par les Normes, sauf si la loi ou les forces de l’ordre l’interdisent, par exemple pour préserver la confidentialité d’une enquête. Si une telle interdiction est en vigueur, le Comité de Confidentialité demandera à l’Entité L&W concernée de faire de son mieux pour obtenir une levée de la restriction afin de permettre la divulgation d’autant d’informations que possible à l’APD concernée, et de tenir des registres de ses efforts en ce sens. Tout litige avec l’APD concernant l’exercice de la supervision de la conformité à ces Normes sera porté devant un tribunal de l’EEE.

5.4. Le Comité de Confidentialité tiendra des registres de toute divulgation de Données à caractère personnel européennes que le cabinet est obligé de faire et qui est susceptible d’avoir un effet négatif substantiel sur les garanties fournies par ces Normes, et fournira un résumé des divulgations à l’APD concernée sur une base annuelle (en tenant compte de toute restriction imposée par la loi ou par les forces de l’ordre).

5.5. Si un Droit local exige un niveau de protection supérieur concernant les Données à caractère personnel européennes par rapport à celui prévu par les présentes Normes, les dispositions du Droit local prévaudront.

6. Assistance mutuelle et coopération avec les autorités de protection des données

6.1. Chaque Entité L&W se conformera aux instructions émises par l’APD dans son pays ou territoire dans la mesure où elles se rapportent aux présentes Normes ou au traitement des Données à caractère personnel européennes d’une façon générale, et tiendra compte des conseils qui lui seront donnés par l’APD quant à l’interprétation de ces Normes.

6.2. Les Entités L&W s’entraideront pour répondre à une demande ou à une enquête menée par une APD en lien avec les présentes Normes et fourniront à l’APD compétente les informations que celle-ci aura raisonnablement demandées en relation avec le traitement des Données à caractère personnel européennes.

6.3. Les Entités L&W s’entraideront également pour répondre à une demande ou à une plainte émanant d’une personne concernée en lien avec ces Normes ou avec le traitement de ses Données à caractère personnel européennes.

7. Transfert de Données

7.1 Les Entités L&W doivent transférer les Données à caractère personnel européennes à des sous-traitants et à d’autres tiers conformément aux Articles 44 à 46 du RGPD ou sous réserve d’une dérogation conformément à l’Article 49 du RGPD.

7.2 Le Global Data Privacy Office, au nom des Entités L&W, doit effectuer et documenter une évaluation de l’impact du transfert avant de procéder à un transfert de Données à caractère personnel européennes en tenant compte des éléments suivants :

7.2.1 les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d’acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;

7.2.2 les lois et pratiques du pays de destination tiers — y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l’accès par ces autorités — pertinentes selon les circonstances spécifiques du transfert, et les limitations et garanties applicables ;

7.2.3 toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par ces Clauses, y compris les mesures appliquées pendant la transmission et le traitement des données à caractère personnel dans le pays de destination.

7.3 Les Entités L&W informeront le Le Global Data Privacy Office et le Comité de Confidentialité dans la mesure où des garanties supplémentaires doivent être mises en place avant le transfert de Données à caractère personnel européennes.

7.4 Dans le cas où l’Entité L&W agissant en tant qu’importateur de données estime qu’en raison des lois ou pratiques du pays de destination, elle ne peut pas remplir ses obligations en vertu de ces Normes, l’Entité L&W agissant en tant qu’importateur de données doit en informer l’Entité L&W agissant en tant qu’exportateur de données ainsi que le Comité de Confidentialité des Données et doit identifier des mesures supplémentaires pour garantir la sécurité et la confidentialité des Données à caractère personnel européennes. Dans la mesure où les Entités L&W et le Comité de Confidentialité des Données déterminent que les mesures supplémentaires identifiées ne peuvent garantir la conformité à ces Normes, les Entités L&W suspendront le transfert prévu de données à caractère personnel européennes.

7.5 Les Entités L&W examineront régulièrement les évaluations d’impact des transferts et partageront les évaluations avec les autres Entités L&W.

8. Politiques, Responsabilité et Fonction de confidentialité de Latham & Watkins

8.1 Politiques et Directives

Le cabinet a mis en place des politiques, normes, procédures et documents de directives détaillés, approuvés par le Comité de Confidentialité et le Comité de Sécurité, et mis à jour et modifiés de temps à autre, pour décrire plus en détail les règles et processus à suivre pour se conformer à ces Normes, et en particulier les principes de gestion des données énoncés dans l’article 1 et les obligations de sécurité des données énoncées dans l’article 2. Les employés peuvent trouver plus de détails sur les politiques pertinentes sur la page dédiée aux politiques sur l’intranet du cabinet.

8.2 Responsabilité

Le cabinet maintiendra des registres de ses activités de traitement relatives aux données à caractère personnel européennes comme l’exige la Législation de l’UE en matière de protection des données. Plus particulièrement, le cabinet maintiendra sous forme électronique les registres des activités de traitement requis en vertu de l’article 30.1 du RGPD. Ces registres seront mis à disposition sur demande des autorités de protection des données dans les pays de l’EEE où le cabinet exerce ses activités.

8.3 Comités de Confidentialité et de Sécurité

(a) Les Comités de Confidentialité et de Sécurité de Latham & Watkins sont des comités distincts mais étroitement liés, présidés par des associés du cabinet et relevant de l’Executive Committee du cabinet. Alors que le principal objectif du Comité de Confidentialité (par l’intermédiaire du Global Data Privacy Office) est de sensibiliser et de faire respecter la conformité aux lois sur la protection de la vie privée pertinentfes et aux Normes (et à toute politique associée), le principal objectif du Comité de Sécurité est de développer et de faire respecter la politique et les normes de sécurité des données du cabinet ainsi que le Plan de Réponse aux Incidents du cabinet. Le Comité de Sécurité est responsable des politiques, normes, lignes directrices et pratiques de sécurité du cabinet, y compris l’adhésion à la politique d’utilisation acceptable des systèmes de communication (Acceptable Use of Communication Systems Policy, « AUP »), tandis que le Comité de Confidentialité (par l’intermédiaire du Global Data Privacy Office) supervise les questions de confidentialité internes telles que les accords de transfert de données, les accords de traitement des données avec les fournisseurs, la conformité aux exigences réglementaires locales, les mises à jour internes de confidentialité (y compris celles de l’AUP), les formations et notes d’orientation et les questions de confidentialité des bureaux locaux. Le Comité de Confidentialité (avec le Global Data Privacy Office) est responsable de faire respecter la conformité à ces Normes.

(b) Le Comité de Confidentialité (par l’intermédiaire du Global Data Privacy Office) et le Comité de Sécurité sont conjointement responsables de s’assurer que l’approche du cabinet en matière de confidentialité est proactive, incorporant les principes de la protection de la vie privée dès la conception et par défaut, et n’est pas seulement une réaction aux violations de données ou à d’autres défauts. Cette approche inclura l’utilisation de techniques (telles que la minimisation des données) conçues pour limiter le traitement à ce qui est nécessaire aux fins en question et pour protéger les droits des personnes concernées.

(c) Le Comité de Confidentialité (par l’intermédiaire du Global Data Privacy Office) est responsable de la réalisation des AIPD comme l’exige la Législation de l’UE en matière de protection des données. Lorsqu’une AIPD indique que le traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées par les données à caractère peronnel européennes, en l’absence de mesures prises pour atténuer le risque, le Comité de Confidentialité consultera l’autorité de protection des données concernée conformément aux lois sur la protection de la Lie privée de l’UE.

8.4 Conformément Législation de l’UE en matière de protection des données, L&W Allemagne a nommé un Délégué à la Protection des Données (DPD). Les coordonnées du DPD seront publiées dans les politiques de protection des données de Latham & Watkins.

8.5 Personnel en charge de la protection de données

8.5.1 Le Global Data Privacy Office de Latham & Watkins est la fonction administrative du Comité de Confidentialité du cabinet et est responsable de la promotion de la conformité à la protection des données et des meilleures pratiques à travers le cabinet. Le Global Data Privacy Office travaille en étroite collaboration avec les Comités de Confidentialité et de Sécurité ainsi qu’avec les avocats spécialisés en protection des données dans les différents bureaux du cabinet pour développer, interpréter et surveiller les pratiques, politiques et procédures de protection des données du cabinet. Il contribue à la planification stratégique et à la mise en œuvre des objectifs pertinents à la conformité et aux meilleures pratiques en matière de protection des données dans les différents bureaux de Latham & Watkins. Le Global Data Privacy Office fournit des conseils et des recommandations aux associés, managers, superviseurs, avocats et employés concernant les meilleures pratiques en matière de confidentialité. En cas de violation ou de risque de violation des Normes, le Global Data Privacy Office signalera cette violation ou ce risque de violation au Comité de Confidentialité, qui pourra décider si des mesures d’application ou d’autres actions doivent être prises.

8.5.2 Le Directeur des services d’information (Chief Information Officer) de Latham & Watkins est membre du Comité de Sécurité du cabinet et supervise les responsabilités en matière de sécurité de la personne chargée de la sécurité des données (Information Security Officer). L’Information Security Officer est responsable du programme de gestion de la sécurité des données de Latham & Watkins. Cela inclut l’établissement de processus pour superviser, appliquer et surveiller la conformité aux politiques de sécurité des données et aux normes de sécurité des données du cabinet.

8.5.3 Chaque système ou application développé pour soutenir une pratique ou une fonction commerciale au sein du cabinet dépend d’un Propriétaire de l’Information (Information Owner). Le Propriétaire de l’Information est un représentant de la direction du cabinet et est responsable de la protection du système ou de l’application. De plus, les Managers et Leads du département Technology de chaque bureau sont en charge de soutenir et mettre en œuvre les politiques et normes de sécurité des données du cabinet dans leur bureau.

8.5.4 Les Directeurs Administratifs (Office Administrator) de chaque bureau travaillent conjointement avec l’OMP et le COO pour développer, interpréter et surveiller les pratiques, politiques et procédures du cabinet pour les mettre en œuvre, et contribuent à la planification stratégique et à l’implémentation des objectifs dans le Bureau L&W concerné. Le Directeur Administratif donne des conseils et des recommandations à tous les managers, superviseurs, avocats et employés sur les orientations commerciales du cabinet. Il est également en charge de la gestion des demandes et problèmes relatifs aux affaires du cabinet qui sont remontés à la direction.

RÈGLES RELATIVES À LA PRATIQUE ET A LA CONFORMITÉ

9. Responsabilité relative à la conformité

9.1. Le Personnel de Latham & Watkins est tenu de respecter les présentes Normes et doit accepter les présentes (exception faite du bureau de Paris), conjointement avec la dernière Politique relative à l’utilisation acceptable des systèmes de communication du cabinet, et ce chaque année. Le personnel du bureau Paris de Latham & Watkins sera informé des Normes via le règlement intérieur du bureau, que le personnel peut consulter via le site intranet du bureau ou par le biais d’un affichage physique au bureau. De plus, le règlement intérieur est envoyé par e-mail à tout le personnel chaque année pour s’assurer que tous les membres du personnel ont connaissance des règles et de leur contenu. En vertu de la loi française, tout le personnel du bureau de Paris est tenu de se conformer aux dispositions du règlement intérieur. Le non-respect des Normes (ou du règlement intérieur dans le cas du bureau de Paris) constitue une infraction disciplinaire, pouvant entraîner des mesures disciplinaires allant jusqu’à la résiliation du contrat de travail ou l’exclusion du Partnership. À Paris, la mesure disciplinaire sera applicable à chaque catégorie de personnel : pour les employés, la sanction disciplinaire est définie dans le Code du travail français (qui peut aller d'un avertissement à un licenciement pour faute grave) ; pour les avocats, les sanctions peuvent être prononcées par l’organe disciplinaire du Conseil de l’Ordre et/ou par le cabinet (allant jusqu’à la résiliation du contrat de collaboration ou l’exclusion du Partnership).

9.2. Le cabinet a conclu un Accord BCR. L&W Allemagne a été désigné par le cabinet comme l’Entité L&W responsable de la protection des données dans l’EEE. L&W Allemagne prendra les mesures nécessaires pour remédier à toute infraction aux Normes, qu’elle peut faire exécuter contractuellement par le biais de l’Accord BCR.

9.3. L&W Allemagne accepte la responsabilité de prendre des mesures pour remédier aux actes et omissions d’autres Entités L&W en dehors de l’EEE qui enfreindraient les présentes Normes et de verser une indemnisation pour tout dommage résultant d’une telle violation des Normes par des Entités L&W situées en dehors de l’EEE. En conséquence, toute procédure à l’encontre de bureaux Latham & Watkins situés hors de l’EEE doit être intentée contre le bureau Latham & Watkins Allemagne (à l’exception des procédures relatives au Royaume-Uni, qui doivent être intentées contre L&W London). Toute procédure à l’encontre d’un bureau Latham & Watkins situé dans l’EEE doit être intentée contre ledit bureau Latham & Watkins.

9.4 Afin de se dégager de toute responsabilité dans le cadre d’une réclamation formulée par une personne concernée, L&W Allemagne doit démontrer qu'aucune violation de ce type n’a eu lieu ou qu’aucune Entité L&W située en dehors de l’EEE n’est responsable d’une violation des Normes ayant entraîné les dommages ou autres réparations réclamés par la personne concernée.

9.5 Les Entités L&W ne doivent transférer des données à caractère personnel européennes soumises à ces Normes qu’à des Entités L&W qui sont effectivement liées par ces Normes.

10. Programme d’audit pour vérifier la conformité

Latham & Watkins s’engage à mettre en place les mesures suivantes pour évaluer et vérifier la conformité vis-à-vis des présentes Normes et de la législation en vigueur relative à la protection des données.

10.1 Audit interne — Les audits sont réalisés par l’équipe d’audit interne du cabinet avec le soutien des membres du Comité de Confidentialité et/ou du Global Data Privacy Office sur une base continue pour évaluer la conformité à ces Normes, comme la réalisation de tests des applications, des systèmes informatiques et des bases de données qui traitent des données à caractère personnel européennes, les transferts de données à caractère personnel européennes, l’examen des lois des pays destinataires, l’examen des contrats avec les fournisseurs. La portée de l’audit sera déterminée au cas par cas. Ces Normes seront auditées régulièrement, comme cela est requis par la méthode d’audit basée sur les risques du cabinet. Les résultats des audits seront communiqués, le cas échéant, au Global Data Privacy Office du cabinet, à la direction de L&W Allemagne et à la direction du cabinet. Si ces audits révèlent la nécessité d’actions correctives afin de se conformer à ces Normes, celles-ci seront mises en place, puis surveillées par le Comité d’Audit (Audit Committee).

10.2 Audit externe — Les audits testant la sécurité des systèmes de gestion du cabinet sont réalisés annuellement par les auditeurs externes du cabinet. Des audits externes supplémentaires peuvent être organisés de manière ponctuelle par toute Entité L&W. Les résultats des audits seront communiqués, le cas échéant, au Comité de Confidentialité et/ou au Comité de Sécurité du cabinet dans la mesure où ils concernent la confidentialité ou la sécurité des données.

10.3 En plus des audits décrits dans les articles 10.1 et 10.2, le Comité Exécutif, le Comité d’Audit, le DPD, le Comité de Confidentialité ou le Comité de Sécurité peuvent demander des audits supplémentaires.

10.4 Résultats des audits aux APD au sein de l’EEE — dans la mesure où ils concernent la conformité à ces Normes, une Entité L&W dans l’EEE partagera les résultats de ces audits internes ou externes avec l’APD de leur pays ou juridiction si cette APD le demande.

10.5 Audits conduits par l’APD — chaque Entité L&W doit permettre à l’APD du pays de l’EEE dans lequel elle exerce ses activités d’auditer ses opérations dans ledit pays de l’EEE afin de vérifier la conformité à ces Normes et à la Législation de l’UE en matière de protection des données.

11. Demandes d’accès gouvernementales

11.1 Dans le cas où il est demandé à une Entité L&W de fournir, conserver, divulguer, accorder l’accès ou traiter des données à caractère personnel européennes de la part de tout tiers, y compris, sans s’y limiter, les forces de l’ordre ou une autorité gouvernementale (« Demande de Tiers »), alors l’Entité L&W doit :

11.1.1 notifier rapidement les autres Entités L&W concernées et le Comité de Confidentialité de la demande ou de l’ordre, et faire de son mieux pour aider l’Entité L&W agissant en tant qu’exportateur de données à s’opposer à la demande ou à l’ordre ;

11.1.2 dans le cas où le droit applicable interdit de notifier les autres Entités L&W concernées et le Comité de Confidentialité de la demande ou de l’ordre, faire de son mieux pour contester cette demande ou cet ordre devant un tribunal compétent et chercher à obtenir l’autorisation pertinente pour permettre aux autres Entités L&W concernées d’intervenir dans la procédure ; et

11.1.3 dans le cas où cette demande ou toute divulgation ultérieure ou autre action par l’Entité L&W qui a reçu la Demande de Tiers empêche ou empêcherait l’Entité L&W concernée de se conformer à ces Normes, alors celle-ci s’engage à informer rapidement les autres Entités L&W concernées et le Comité de Confidentialité de son incapacité à s’y conformer.

11.2 Les Entités L&W documenteront leur évaluation juridique relative à la Demande de Tiers et conserveront les données pendant la durée de ces Normes. L'évaluation sera mise à disposition l’APD sur demande.

11.3 Sous réserve de l’article 11.1, les Entités L&W ne fourniront à la tierce partie que les données à caractère personnel européennes nécessaires pour se conformer à la Demande de Tiers. Ce transfert ne doit pas être excessif, disproportionné et sans discernement, au point d’aller au-delà de ce qui est nécessaire dans une société démocratique.

12. Mises à jour

12.1. Le Comité de Confidentialité des Données visé à l’article 8.3 continuera de revoir les présentes Normes, veillera à ce qu’elles soient mises à jour régulièrement et communiquera les mises à jour pertinentes aux Entités L&W dans les meilleurs délais. Le Comité de Confidentialité des Données veillera à ce que toute modification apportée à la structure du cabinet soit prise en compte dans les présentes Normes et que toute nouvelle Entité L&W soit tenue d’accepter les termes de ces Normes et de s’y conformer. Le Comité de Confidentialité informera les Entités L&W de toute modification apportée à ces Normes.

12.2 Le Comité de Confidentialité tiendra le Comité de Sécurité et les Entités L&W informés de toute mise à jour et les signalera rapidement aux APD concernées, le cas échéant.

12.3. Les dispositions non confidentielles des présentes Normes, y compris le contenu de l’Annexe 1 (Procédure de plainte relative à la protection des données), seront publiées sur le site Internet externe de Latham & Watkins tout comme sur son site intranet. Toute mise à jour des Normes sera publiée sans délai. Le texte intégral des Normes sera mis à disposition, à sa demande (sous réserve d’un accord de confidentialité), de toute personne concernée qui souhaite exercer les droits de recours décrits dans la Procédure de plainte relative à la protection des données en Annexe 1.

DROITS DES PERSONNES CONCERNÉES

13. Droits d’accès, de correction et d’opposition (y compris marketing et profilage)

Chaque Entité L&W reconnaît que les personnes concernées ont les droits suivants en lien avec l’Entité L&W responsable du traitement des Données à caractère personnel européennes :

13.1. le droit de recevoir des informations sur la façon dont leurs Données à caractère personnel sont traitées par l’Entité L&W concernée en sa qualité de responsable du traitement des Données à caractère personnel européennes, y compris une copie des présentes Normes et de la Procédure de plainte en matière de protection des données ;

13.2. le droit de recevoir une copie des Données à caractère personnel européennes détenues sur elles (y compris leurs finalités et modalités de traitement) par l’Entité L&W dans les délais prévus par la Législation de l’UE en matière de protection des données en vigueur, sous réserve du droit de l’Entité L&W de refuser une telle demande, en totalité ou en partie, en vertu de la Législation de l’UE en matière de protection des données en vigueur ;

13.3. le droit à ce que leurs Données à caractère personnel européennes soient mises à jour, corrigées ou complétées, en particulier en raison de la nature incomplète ou inexacte des données, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;

13.4. le droit à ce que leurs Données à caractère personnel européennes soient effacées, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;

13.5. le droit de limiter le traitement de leurs Données à caractère personnel européennes, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;

13.6. le droit de recevoir les Données à caractère personnel européennes, que la personne concernée a fourni à une Entité L&W responsable du traitement des Données à caractère personnel européennes, dans un format structuré, communément utilisé et lisible par une machine et de transmettre ces Données à caractère personnel à un autre responsable du traitement, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ;

13.7. si les dispositions de la Législation de l’UE en matière de protection des données en vigueur le prévoient, le droit de ne pas recevoir des messages marketing direct sans y avoir consenti au préalable et, en tout état de cause, le droit de s’opposer à tout moment au traitement de leurs Données à caractère personnel (y compris le profilage) à des fins de marketing direct ;

13.8. le droit de définir des directives relatives à la conservation, à l’effacement et à la communication de leurs Données à caractère personnel après leur décès ;

13.9. le droit de s’opposer à tout moment au traitement de leurs Données à caractère personnel européennes, sous réserve des dispositions de la Législation de l’UE en matière de protection des données en vigueur ; et

13.10. le droit de s’opposer aux décisions impliquant la collecte de leurs Données à caractère personnel européennes uniquement par le biais d’un traitement automatisé, y compris le profilage, si ces décisions évaluent leurs caractéristiques personnelles ou leur comportement et produisent des effets juridiques qui les concernent ou ont une incidence significative sur elles (sauf dans la mesure autorisée par, et sous réserve des mesures de protection visées dans la Législation de l’UE en matière de protection des données en vigueur).

14. Violation des présentes Normes

Latham & Watkins reconnaît que les personnes concernées ont le droit de faire valoir les droits suivants à l’encontre du cabinet concernant les Données à caractère personnel européennes :

14.1. le droit d’obtenir une copie des présentes Normes sur demande (sous réserve d’un engagement de confidentialité raisonnablement demandé par le cabinet ou l’Entité L&W traitant la demande) ;

14.2. le droit de recevoir une réponse dans un délai raisonnable et au plus tard 1 mois après que la demande ait été adressée (ou dans un délai maximum de trois mois en cas de demande complexe), à toute requête concernant le traitement des Données à caractère personnel européennes de la personne concernée en dehors de l’EEE ;

14.3. le droit de déposer une plainte et d’obtenir une réparation adéquate (y compris, le cas échéant, une indemnisation des dommages subis) suite à une violation des présentes Normes par une Entité L&W (à l’exclusion des cas de violation des dispositions relatives à la formation du personnel, des politiques et de la fonction de protection des données de Latham & Watkins, du programme d’audit et des mises à jour des présentes Normes) ;

14.4. le droit de déposer une plainte auprès d’une APD au sein de l’EEE dans le pays de résidence habituel ou de travail de la personne concernée, ou le lieu où la violation des présentes Normes est censée avoir eu lieu ; et

14.5. le droit d’introduire un recours juridictionnel effectif devant le tribunal compétent de l’EEE, qui peut se situer dans le territoire où l’Entité L&W concernée est établie ou dans le lieu de résidence habituelle de la personne concernée.

15. Mise en application des droits d’une personne concernée

15.1. Le processus relatif à l’exercice des droits décrit à l’article 14 est présenté plus en détail dans la Procédure de plainte de Latham & Watkins en matière de protection des données en Annexe 1 des présentes Normes.

15.2. Une personne concernée qui souhaite faire valoir ses droits devrait en premier lieu contacter le Global Data Privacy Office par e-mail à l’adresse GlobalDPO@lw.com, mais peut également introduire une réclamation auprès du président du Comité de Confidentialité des Données situé à Francfort ou de l’APD ou des tribunaux du territoire où l’Entité L&W concernée est située.

15.3. Toute personne concernée qui cherche à faire valoir ses droits en vertu des présentes Normes sera tenue de produire des preuves établissant à première vue qu’une violation est survenue.

15.4 Les Entités L&W reconnaissent que la personne concernée peut être représentée par un organisme, une organisation ou une association à but non lucratif conformément à la Législation de l’UE en matière de protection des données et sous réserve d’une procuration appropriée.

16. Cessation

16.1 Lors de la résiliation des présentes Normes ou à la suspension du transfert, les Entités L&W concernées peuvent conserver, retourner ou supprimer les Données à caractère personnel européennes et leurs copies en fonction du choix de l’exportateur de données.

17. Résiliation

17.1 À la résiliation de ces Normes ou à la suspension du transfert, les Entités L&W concernées peuvent conserver, retourner ou supprimer les données à caractère personnel européennes et leurs copies en fonction du choix de l’exportateur de données.

17.2 Dans la mesure où l’exportateur de données accepte que l’Entité L&W concernée puisse conserver les données à caractère personnel, l’importateur de données doit s’assurer que la protection des données à caractère personnel européennes est maintenue conformément aux dispositions de transfert de données du RGPD.

17.3 Dans la mesure où le droit local interdit à l’Entité L&W agissant en tant qu’importateur de données de retourner ou de supprimer les données à caractère personnel européennes, l’importateur de données doit s’assurer que la protection des données à caractère personnel européennes est maintenue conformément à ces Normes.

Date d’entrée en vigueur des Normes : septembre 2016

Mise à jour en avril 2024

Annexe 1 Procédure de plainte de Latham & Watkins relative aux droits des personnes concernées en matière de protection des données

Procédure de plainte de Latham & Watkins relative aux droits des personnes concernées en matière de protection des données