Addendum GDPR sur la protection de la vie privée des clients

1. Introduction

Le présent addendum sur la protection de la vie privée dans le cadre du GDPR complète les informations contenues dans l'avis de confidentialité des clients de Foley & Lardner LLP et s'applique aux clients et aux entités apparentées qui sont situés dans l'Espace économique européen.  

Le présent addenda GDPR sur la confidentialité des clients (l'"addenda GDPR sur la confidentialité des clients") complète les informations contenues dans l'avis de confidentialité des clients de Foley & Lardner LLP et s'applique uniquement à tous les clients et entités liées qui sont situés dans l'Espace économique européen, au Royaume-Uni ou en Suisse. Nous adoptons ce GDPR Client Privacy Addendum pour nous conformer au Règlement général sur la protection des données (2016/679) et à tout acte de mise en œuvre de ce qui précède par l'un des États membres de l'Espace économique européen, le Royaume-Uni ou la Suisse (collectivement, "GDPR") et tous les termes définis dans le GDPR ou dans notre Avis de confidentialité du client ont la même signification lorsqu'ils sont utilisés dans le présent GDPR Client Privacy Addendum. Le présent addendum sur la protection de la vie privée des clients dans le cadre du GDPR prévaut sur toute disposition contradictoire figurant dans notre avis de confidentialité des clients. 

2. Contrôleur des données, délégué à la protection des données et représentant

Foley et nos clients sont les contrôleurs indépendants des données personnelles fournies à Foley dans le cadre d'une affaire. Foley a nommé un délégué à la protection des données et un représentant dans l'Union européenne. 

Foley et ses clients sont des contrôleurs indépendants des données personnelles qu'ils traitent. Foley a désigné un délégué à la protection des données et un représentant dans l'Union Européenne en conformité avec le Règlement Général sur la Protection des Données. Foley, son délégué à la protection des données ou son représentant peuvent être contactés de la manière décrite dans la section "Informations de contact" de cet addendum sur la protection de la vie privée des clients dans le cadre du Règlement général sur la protection des données. 

3. Informations que nous recueillons sur les clients et les entités apparentées et comment nous les recueillons

Les données personnelles que Foley recueille sur les clients et les entités apparentées sont décrites dans notre avis de confidentialité.

Les données personnelles collectées par Foley et la manière dont nous les collectons sur nos clients et entités liées sont décrites dans notre avis de confidentialité. Les données personnelles que nous collectons auprès de nos clients peuvent être nécessaires à la conclusion d'un contrat pour nos services. Le fait de ne pas fournir les données personnelles d'un Client ou d'une Entité Liée peut avoir un impact sur la capacité de Foley à fournir à notre Client une représentation dans le cadre de l'affaire.

4. Base légale du traitement des données à caractère personnel de nos clients et entités apparentées

Nous disposons d'une base légale pour le traitement des données à caractère personnel, y compris le traitement pour nos intérêts légitimes (lorsqu'ils sont mis en balance avec les droits et libertés d'une personne), pour remplir nos obligations en vertu de notre contrat avec nos clients, comme l'exige la loi, et avec le consentement de nos clients ou des entités apparentées. 

Le traitement des données à caractère personnel de nos clients et entités apparentées n'est licite que s'il est autorisé par le GDPR. Nous disposons d'une base légale pour chacune de nos activités de traitement (sauf lorsqu'une exception s'applique, comme décrit ci-dessous) :

• Consentement. Nos clients ou entités apparentées consentent à ce que nous collections, utilisions et partagions ces données personnelles comme décrit dans notre Avis de confidentialité du client et dans le présent addendum GDPR de confidentialité du client lorsqu'ils nous fournissent des données personnelles.
  
• Intérêts légitimes. Nous traiterons les données à caractère personnel si cela est nécessaire pour nos intérêts légitimes ou les intérêts légitimes de nos clients, des entités apparentées ou d'autres tiers. Ces intérêts légitimes sont mis en balance avec les intérêts et les droits et libertés de nos clients et entités apparentées, et nous ne traitons pas les données à caractère personnel si les intérêts ou les droits et libertés des personnes concernées l'emportent sur ces intérêts légitimes. Nos intérêts légitimes sont les suivants : faciliter la communication entre Foley et nos clients et autres entités liées ; facturer et percevoir nos honoraires, respecter les règles applicables, y compris les règles relatives à la confidentialité des clients ; et fournir nos services juridiques à nos clients ;
  
• Pour remplir nos obligations envers nos clients dans le cadre de notre contrat. Nous traitons les données à caractère personnel de nos clients afin de nous acquitter de nos obligations envers eux en vertu du contrat de prestation de services juridiques que nous avons conclu avec eux ;
  
• Si la loi l'exige. Nous pouvons également traiter des données à caractère personnel lorsque la loi l'exige ou l'autorise, pour nous conformer à des inspections gouvernementales, des audits et d'autres demandes valables émanant du gouvernement ou d'autres autorités publiques, pour répondre à des procédures judiciaires telles que des citations à comparaître et d'autres demandes de communication similaires, ou si cela est nécessaire pour protéger nos intérêts ou faire valoir nos droits et recours légaux (par exemple, lorsque cela est nécessaire pour prévenir ou détecter des fraudes ou d'autres activités criminelles et délictuelles, pour défendre des litiges et pour gérer des plaintes ou des réclamations). Nous pouvons également traiter des données à caractère personnel si cela est nécessaire pour respecter les règles applicables, y compris les règles relatives à la confidentialité des clients. 

5. Catégories particulières d'informations

Nous pouvons traiter certaines données à caractère personnel considérées comme sensibles lorsque cela est nécessaire pour l'établissement, l'exercice ou la défense des revendications juridiques de nos clients ou pour fournir à nos clients nos services juridiques.

Certaines données personnelles traitées par Foley peuvent être considérées comme sensibles, notamment les données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance à un syndicat, ou les données personnelles concernant la santé d'une personne, ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne, ou l'historique de ses condamnations pénales. Foley ne traite ces informations que dans la mesure nécessaire à l'établissement, à l'exercice ou à la défense des revendications juridiques de notre client et à l'exécution de nos services juridiques liés à l'affaire, ou dans la mesure où la loi applicable le prévoit.  

6. Prise de décision automatisée

En règle générale, nous n'utilisons pas les données à caractère personnel dans le cadre de processus décisionnels automatisés.

Foley n'utilise pas les données personnelles dans le cadre d'un processus de prise de décision automatisé, y compris le profilage, qui peut produire un effet juridique concernant la personne ou l'affecter de manière significative.

7. Droits des clients et des entités apparentées concernant leurs informations, l'accès à celles-ci et leur correction

Les clients et les entités apparentées peuvent avoir certains droits en vertu du GDPR, y compris le droit d'accéder à leurs données personnelles et de les mettre à jour, de restreindre la façon dont elles sont utilisées, de transférer certaines données personnelles à un autre contrôleur, de retirer le consentement du client ou de l'entité apparentée à tout moment, et le droit de nous demander d'effacer certaines données personnelles concernant notre client ou entité apparentée. Toutefois, les droits des clients et des entités apparentées peuvent être limités en raison de notre rôle d'avocats, notamment lorsque nous invoquons un privilège juridique. Les clients et les entités apparentées ont également le droit de déposer une plainte auprès d'une autorité de contrôle concernant le traitement de leurs données à caractère personnel. 

Le GDPR peut conférer à nos clients et entités apparentées certains droits concernant le traitement de leurs données à caractère personnel. Toutefois, en notre qualité d'avocats, ces droits peuvent être limités en tout ou en partie lorsqu'une revendication de privilège juridique s'applique, ou lorsque nous ne sommes pas en mesure de nous conformer à la prévention, à l'enquête, à la détection ou à la poursuite d'infractions pénales, ou à l'exécution de sanctions pénales. Ces droits peuvent également être limités dans certaines juridictions en raison de nos obligations professionnelles de confidentialité. Sous réserve de ces limitations, tout ou partie des droits suivants peuvent être exercés en vertu de la législation applicable :

• Accès et mise à jour. Les clients et les entités apparentées peuvent consulter et modifier leurs données personnelles respectives en nous contactant aux coordonnées indiquées ci-dessous ou en contactant le partenaire du client pour lui signaler tout changement ou toute erreur dans les données personnelles que nous détenons sur le client ou une entité apparentée, afin de nous assurer qu'elles sont complètes, exactes et aussi à jour que possible. Il se peut également que nous ne soyons pas en mesure de répondre à la demande d'un client ou d'une entité apparentée si nous pensons que cela enfreindrait une loi ou une exigence légale ou que les informations seraient incorrectes.
  
• Restrictions. Les clients et les entités apparentées peuvent avoir le droit de restreindre notre traitement de leurs données à caractère personnel dans certaines circonstances. En particulier, les clients et les entités apparentées peuvent nous demander de restreindre l'utilisation que nous en faisons si le client ou l'entité apparentée en conteste l'exactitude, si le traitement des données personnelles du client ou d'une entité apparentée est jugé illégal, ou si nous n'avons plus besoin des données personnelles du client ou de l'entité apparentée en question pour le traitement, mais que nous les avons conservées dans la mesure permise par la loi.
  
• Portabilité. Dans la mesure où les données personnelles fournies à Foley sont traitées sur la base du consentement du client ou d'une entité apparentée et que nous les traitons par des moyens automatisés, les clients et les entités apparentées peuvent avoir le droit de demander que nous leur fournissions une copie ou un accès à tout ou partie de ces données personnelles dans un format structuré, couramment utilisé et lisible par machine. Les clients et les entités apparentées ont également le droit de nous demander de transmettre ces données à caractère personnel à un autre responsable du traitement, lorsque cela est techniquement possible.
  
• Retrait du consentement. Dans la mesure où le traitement des données personnelles d'un Client ou d'une Entité Liée est basé sur son consentement, ce Client peut avoir le droit de retirer son consentement en mettant fin à son engagement avec Foley. Le retrait du consentement n'affectera cependant pas la légalité du traitement basé sur le consentement du Client ou d'une Entité Liée avant son retrait, et n'affectera pas la légalité de notre traitement continu basé sur toute autre base légale pour le traitement des Données Personnelles du Client ou d'une Entité Liée.
  
• Droit à l'oubli. Les clients peuvent, dans des circonstances définies par le droit applicable, avoir le droit de nous demander de supprimer toutes les données à caractère personnel du client et des entités apparentées concernées. Nous ne pouvons supprimer les données à caractère personnel du client et des entités apparentées qu'en mettant également fin à notre représentation du client dans l'affaire, et nous ne mettrons fin à cette représentation que lorsque nous serons autorisés à le faire en vertu du droit applicable. Nous pouvons ne pas accéder à une demande d'effacement d'informations si nous pensons que l'effacement rendrait les informations incorrectes ou violerait une loi ou une exigence légale, y compris toute obligation pour les cabinets d'avocats de conserver les informations sur les clients et les entités apparentées, ce qui peut inclure une telle conservation à des fins de conflits d'intérêts et d'exigences en matière de dossiers financiers. Nous pouvons également conserver vos données à caractère personnel lorsque cela est nécessaire à l'établissement, à l'exercice ou à la défense de réclamations juridiques par le cabinet. Dans tous les autres cas, nous conserverons les données à caractère personnel de nos clients et des entités apparentées concernées conformément aux dispositions de la présente politique. En outre, nous ne pouvons pas supprimer complètement les données personnelles de nos clients et des entités apparentées concernées, car certaines données peuvent se trouver dans des sauvegardes antérieures. Celles-ci seront conservées pendant les périodes définies dans nos politiques de conservation des documents et de gouvernance de l'information.
  
• Réclamations. Les clients et les entités apparentées peuvent avoir le droit de déposer une plainte auprès de l'autorité de contrôle compétente du pays dans lequel ils vivent, du pays dans lequel ils travaillent ou du pays dans lequel ils estiment que leurs droits en vertu des lois applicables en matière de protection des données ont été violés. Toutefois, avant de le faire, nous demandons aux clients et aux entités apparentées de nous contacter directement afin de nous donner l'occasion de travailler directement avec eux pour résoudre toute préoccupation concernant leur vie privée.
  
• Comment les clients et les entités apparentées peuvent-ils exercer leurs droits? Sous réserve des limitations décrites ci-dessus, les clients et les entités apparentées peuvent exercer l'un des droits susmentionnés en nous contactant par l'une des méthodes énumérées dans la section " Informations de contact". Si un client ou une entité apparentée nous contacte pour exercer l'un des droits susmentionnés, nous pouvons lui demander des informations supplémentaires afin de vérifier son identité. Nous nous réservons le droit de limiter ou de refuser la demande de notre client ou de notre entité apparentée s'il n'a pas fourni suffisamment d'informations pour vérifier son identité ou pour satisfaire à nos exigences légales et commerciales, y compris toute revendication de privilège légal ou en vertu de notre obligation de secret professionnel ou d'autres obligations équivalentes, lorsque nous sommes autorisés à le faire en vertu de la loi applicable. Veuillez noter que si un client ou une entité apparentée fait des demandes infondées, répétitives ou excessives (déterminées à notre discrétion raisonnable) pour accéder à ses données personnelles, il peut se voir facturer des frais dans la limite du plafond fixé par la loi applicable.

8. Consentement au traitement des données à caractère personnel aux États-Unis

Nous pouvons traiter les données à caractère personnel de nos clients et entités apparentées en dehors de leur pays d'origine, y compris aux États-Unis. Nous ne le faisons que lorsque nous sommes légalement autorisés à le faire et que nous avons mis en place des garanties appropriées pour protéger les données personnelles de nos clients et entités apparentées. 

Si un client ou une entité apparentée est situé dans l'Espace économique européen ("EEE"), nous pouvons, afin de fournir nos services juridiques à nos clients, envoyer et stocker les données à caractère personnel des clients et des entités apparentées en dehors de l'EEE, y compris aux États-Unis. En conséquence, leurs données personnelles peuvent être transférées en dehors du pays où ils résident ou sont situés, y compris vers des pays qui peuvent ne pas fournir ou ne fournissent pas un niveau de protection équivalent pour les données personnelles des Clients et des Entités apparentées. Les informations des clients et des entités apparentées peuvent être traitées et stockées aux États-Unis et les autorités fédérales, étatiques et locales, les tribunaux ou les organismes chargés de l'application de la loi ou de la réglementation peuvent être en mesure d'obtenir la divulgation de leurs informations en vertu de la législation des États-Unis. En utilisant nos services juridiques, nos clients déclarent qu'ils ont lu et compris ce qui précède et qu'ils consentent par la présente au stockage et au traitement des données personnelles en dehors du pays où le client ou l'entité apparentée réside ou est situé, y compris aux Etats-Unis, et qu'ils ont obtenu tous les consentements nécessaires et ont tous les droits nécessaires pour fournir à Foley de telles données personnelles. 

Les données personnelles des clients et des entités liées sont transférées par Foley vers un autre pays uniquement si cela est requis ou autorisé par la législation applicable en matière de protection des données et à condition que des garanties appropriées soient mises en place pour protéger leurs données personnelles. Afin de s'assurer que les données personnelles des clients et des entités liées sont traitées conformément à notre avis de confidentialité des clients et à cet addendum de confidentialité des clients GDPR lorsque nous les transférons à un tiers, Foley utilise des accords de protection des données entre Foley et tous les autres destinataires de leurs données lorsque cela est approprié et nécessaire et qui incluent, le cas échéant, les Clauses Contractuelles Types adoptées par la Commission Européenne (les "Clauses Contractuelles Types"). La Commission européenne a déterminé que le transfert de données à caractère personnel conformément aux clauses contractuelles types peut assurer un niveau de protection adéquat des données à caractère personnel de nos clients et entités apparentées, mais qu'il peut être nécessaire d'y ajouter des mesures supplémentaires au cas par cas. Les clauses contractuelles types ont été complétées de cette manière lorsque nous l'avons jugé approprié et nécessaire. En vertu de ces clauses contractuelles types, nos clients et entités apparentées ont les mêmes droits que si leurs données n'étaient pas transférées vers ce pays tiers, mais ces droits peuvent parfois être limités en raison de notre rôle d'avocat, dans la mesure où la loi ou les règles de responsabilité professionnelle applicables le permettent. Les clients et les entités apparentées peuvent demander une copie de l'accord sur la protection des données en nous contactant par le biais des coordonnées ci-dessous. 

9. Périodes de conservation des données

Nous conservons les données à caractère personnel de nos clients et entités apparentées conformément à nos politiques internes de conservation des documents. Sauf instructions contraires, nous pouvons conserver toutes les informations relatives à une affaire pendant au moins dix (10) ans après la conclusion de l'affaire. Nous pouvons également conserver les informations relatives à nos clients et entités apparentées pendant une période plus longue :

• sur nos systèmes de sauvegarde et de reprise après sinistre ;
• aussi longtemps que nécessaire pour protéger nos intérêts juridiques ou ceux de nos clients ; et
• pour se conformer à d'autres exigences légales ou obligations en vertu des règles de conduite professionnelle.

Foley conserve les données personnelles de ses clients et entités apparentées conformément à sa politique interne de conservation des documents, y compris pendant la période où nous représentons notre client dans le cadre de l'affaire. Nous pouvons également conserver les données personnelles pendant un minimum de dix (10) ans après la conclusion de l'affaire. Après cette période, nous pouvons conserver les données à caractère personnel de nos clients et entités apparentées ainsi que d'autres informations :

• aussi longtemps que nécessaire pour se conformer à toute exigence légale ; 
  
• sur nos systèmes de sauvegarde et de reprise après sinistre, conformément à nos politiques et procédures de sauvegarde et de reprise après sinistre ;
  
• aussi longtemps que nécessaire pour protéger nos intérêts légaux ou ceux de nos clients, ou pour faire valoir nos droits et recours légaux ; 
  
• se conformer aux obligations qui nous incombent en vertu des règles de déontologie ; et
  
• pour les données qui ont été agrégées ou rendues anonymes d'une manière telle que les clients et les entités apparentées ne sont plus identifiables, et ce indéfiniment.

10. Modifications du présent addendum sur la protection de la vie privée des clients dans le cadre du GDPR

Foley & Lardner LLP se réserve le droit de modifier le présent addendum GDPR sur la protection de la vie privée des clients à sa discrétion et à tout moment, comme décrit dans notre avis sur la protection de la vie privée des clients. Lorsque nous apporterons des modifications à cet addendum GDPR sur la protection de la vie privée des clients, nous publierons la mise à jour sur cette page web et mettrons à jour la date d'entrée en vigueur de l'avis. L'utilisation continue de nos services juridiques par nos clients après l'affichage des modifications constitue leur acceptation de ces modifications.

11. Informations sur les contacts

Les clients et les entités apparentées peuvent contacter notre délégué à la protection des données en utilisant les coordonnées ci-dessous. Si un client ou une entité apparentée souhaite nous contacter, il doit nous contacter, ainsi que notre représentant, en utilisant les coordonnées ci-dessous. 

Si les clients ou les entités apparentées ont des questions sur notre traitement de leurs données personnelles, ou s'ils ont des demandes liées à leurs données personnelles conformément aux lois applicables, veuillez contacter notre responsable de la protection des données aux coordonnées ci-dessous. Si les clients ou les entités apparentées ont des questions, des préoccupations, des plaintes ou des suggestions concernant notre avis de confidentialité des clients, le présent addendum de confidentialité des clients GDPR, ou s'ils ont besoin de nous contacter, veuillez nous contacter (ou notre bureau de protection des données) et notre représentant dans l'Union européenne aux coordonnées ci-dessous. 

Pour contacter Foley (Controller)
Foley & Lardner LLP
Attn : Office of General Counsel/Privacy Officer
321 N. Clark Street, Suite 2800
Chicago, IL 60654
United States
+1 (833) 701-1071
[email protected]

Pour contacter notre délégué à la protection des données
Joseph Edmondson
Foley & Lardner LLP
777 E. Wisconsin Avenue
Milwaukee, WI 53202-5306
États-Unis
+1 (414) 271-2400
[email protected]