Politique de protection des données

Introduction

Le cabinet DERRIENNIC (le « Cabinet ») est susceptible, au cours de ses activités, de traiter vos données à caractère personnel, en conformité avec la législation applicable.

Cette politique vous fournit des informations sur la façon dont sont traitées vos données à caractère personnel par le Cabinet.

Cette politique, accessible notamment sur notre site internet, est mise à jour régulièrement afin de prendre en compte les évolutions législatives et règlementaires, et tout changement dans l’organisation du Cabinet ou dans les traitements qu’il réalise.

Cette politique est accompagnée d’une mention d’information spécifique pour chaque opération de traitement réalisée sur vos données à caractère personnel, qui sera mise à votre disposition aussi tôt que possible et, dans le cas où nous collecterions vos données directement auprès de vous, au moment de cette collecte ;

Cette politique a été mise à jour le 15 janvier 2019.

 

I – Qui sommes-nous ?

Le Cabinet, lorsqu’il agit en tant que responsable du traitement, est responsable des données à caractère personnel que vous nous fournissez.

Afin de protéger votre vie privée et vos données à caractère personnel de la façon la plus efficace possible, nous avons désigné un délégué à la protection des données. Cette personne, qui est le point de contact privilégié de l’autorité de contrôle, a pour mission de s’assurer que nous traitons vos données en conformité avec la législation applicable.

Vous pouvez contacter notre délégué à la protection des données à l’adresse suivante : https://derriennic.com/contact/.

 

II – Quels sont nos engagements?

Nous nous engageons à assurer le plus haut niveau de protection possible aux personnes dont nous traitons les données à caractère personnel (les « personnes concernées »). La protection des données à caractère personnel, notamment s’agissant de celles de nos clients, nous est d’autant plus chère au regard des obligations qui nous incombent en matière de secret professionnel.

Nous nous engageons à nous conformer à la règlementation applicable pour tous les traitements de données à caractère personnel que nous réalisons. Ainsi, nous nous engageons à respecter les principes suivants :

  • Nous traitons vos données à caractère personnel de façon licite, loyale et transparente ;
  • Nous collectons vos données à caractère personnel pour des finalités spécifiques, explicites et légitimes et ne les traiterons pas d’une façon incompatible avec ces finalités ;
  • Nous nous assurons que les données à caractère personnel traitées sont adéquates, pertinente et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Nous faisons nos meilleurs efforts afin de nous assurer que les données à caractère personnel sont exactes et, si nécessaire, mises à jour. Nous prendrons toutes les mesures raisonnables à mêmes de nous assurer que les données à caractère personnel inexactes, eu égard aux finalités pour lesquelles elles sont traitées, sont supprimées ou rectifiées sans délai ;
  • Nous conservons vos données à caractère personnel sous une forme permettant votre identification uniquement pour la durée nécessaire au regard des finalités du traitement ;
  • Nous traitons vos données à caractère personnel de façon à garantir un niveau de sécurité approprié pour lesdites données.

Ces engagements se manifestent de la façon suivante:

  • Nous respectons votre vie privée et vos droits ;
  • Nous nous assurons que la protection et la sécurité de vos données à caractère personnel soit au centre de nos préoccupations ;
  • Nous considérons chaque opération de traitement en prenant en compte les principes de la protection des données, afin de satisfaire au principe de protection des données dès la conception ;
  • Nous n’utiliserons pas vos données à caractère personnel pour des finalités qui n’auraient pas été portées à votre attention.
  • Nous ne considérons pas que vos données à caractère personnel devraient être stockées sans limite de durée ;
  • Nous ne partagerons ni ne vendrons vos données à caractère personnel à des tiers ;
  • Nous nous engageons à sécuriser et protéger vos données à caractère personnel. A cette fin, nous ne travaillons qu’avec des partenaires de confiance ;
  • Nous respectons vos droits en tant que personne concernée, et en tant que personne tout court, et feront nos meilleurs efforts pour satisfaire à vos requêtes, dès lors que celles-ci sont fondées ;
  • Nous ne vous enverrons de sollicitations commerciales par voie électronique que si vous y avez consenti, ou pour l’offre de produits ou de services similaires, si nous avons obtenus vos coordonnées électroniques dans les conditions de la Directive 95/46/EC. Vous pouvez changer d’avis et vous opposer à ces sollicitations commerciales à n’importe quel moment, par le biais d’un moyen simple.

 

III – Quelles données à caractère personnel collectons-nous?

Nous vous rappelons qu’une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée »), telle qu’une adresse mail, vos nom et prénom, votre adresse IP, etc.

Nous collectons vos données à caractère personnel via le formulaire de contact de ce site internet et par d’autres moyens. Dans certains cas, nous collectons vos données à caractère personnel directement auprès de vous. Dans d’autres cas, vos données à caractère personnel nous sont communiquées par un tiers.

Le Cabinet s’engage à ne collecter et ne traiter que les données à caractère personnel qui sont strictement nécessaires à la finalité pour laquelle elles sont collectées. Vous serez informé, dès que possible, de la catégorie de donnée à caractère personnel, pour chaque opération de traitement que nous réalisons sur vos données à caractère personnel.

Les données à caractère personnel que nous sommes susceptible de collecter sont, par exemple :

  • des données d’identification, telles que vos nom et prénom, votre adresse, votre numéro de téléphone, votre adresse e-mail ;
  • des données de candidature, telles que votre CV, vos diplômes, votre expérience professionnelles, si vous souhaitez postuler au sein du Cabinet ;
  • toutes données relatives à votre dossier, telles que les contrats que vous avez conclus, votre situation matrimoniale, ou des données relatives à des condamnations pénales et des infractions, si vous êtes un client du Cabinet et selon le dossier que vous confiez à ce dernier ;
  • des données professionnelles, telles que vos diplômes et compétences, si vous êtes un fournisseur ou prestataire de service du Cabinet.

 

IV – Pour quelles finalités vos données à caractère personnel sont-elles traitées?

Les traitements de données à caractère personnel réalisés par le Cabinet ont une finalité explicite, légitime et déterminée.

Vos données à caractère personnel peuvent par exemple être traitées pour les finalités suivantes :

– Si vous êtes un client ou un prospect, nous pouvons traiter vos données à caractères personnelles aux fins suivantes :

  • la prospection et l’animation ;
  • la gestion de notre relation avec vous ;
  • l’organisation, inscription et l’invitation aux événements du Cabinet ;
  • la production, la gestion, le suivi de vos dossiers ;
  • le recouvrement ;
  • la prévention du blanchiment et du financement du terrorisme et la lutte contre la corruption ;
  • la facturation ;
  • la comptabilité.

– En cas de soumission d’une candidature pour un poste au sein du Cabinet, nous sommes susceptibles de traiter vos données afin de gérer votre candidature.

– Si vous êtes inscrit à l’une de nos lettres d’actualité, nous sommes également susceptibles de traiter vos données à caractère personnel afin de vous envoyer ladite lettre par e-mail.

– Si vous êtes l’un de nous fournisseur ou prestataire de service, nous pouvons enfin traiter vos données pour la gestion de notre relation avec vous.

La finalité du traitement vous sera communiquée au cas par cas, pour chaque traitement que nous réalisons sur vos données à caractère personnel.

 

V – Comment nous assurons nous de la licéité de nos opérations de traitement ?

Nous nous assurons systématiquement, lorsque nous traitons vos données à caractère personne, que le traitement est basé sur une « base juridique » (c’est-à-dire que le traitement de vos données a lieu afin d’exécuter un contrat, ou que nous avons recueilli votre consentement, etc.). Avoir une base juridique signifie que le traitement se plie aux exigences du RGPD, et peut être considéré comme étant licite.

Nous traitons toujours vos données à caractère personnel selon l’une des bases juridiques suivantes :

Lorsque vous avez conclu un contrat avec le Cabinet, et que l’exécution de ce contrat requière que nous traitions vos données à caractère personnel, la base juridique du traitement est l’exécution du contrat. Par exemple, cela pourrait être le cas si vous êtes un client du Cabinet et que vous nous confiez l’un de vos dossiers.

Lorsque le traitement est nécessaire à l’exécution de mesures précontractuelles prises à votre demande, notre base juridique repose sur ces mesures contractuelles. Par exemple, c’est le cas lorsque vous nous soumettez une candidature à un poste, ce qui requière que nous étudions votre CV afin de prendre une décision concernant votre candidature.

Lorsque le traitement est nécessaire aux fins des intérêts légitimes que nous poursuivons, ou qu’un tiers poursuit (à moins que ne prévalent vos intérêts ou vos libertés et droits fondamentaux  qui exigent une protection des données à caractère personnel, notamment lorsque vous êtes un enfant), notre base juridique est constitué par ces intérêts légitimes. Par exemple, le traitement de vos données à caractère personnel aux fins de prospection peut être réalisé aux fins des intérêts légitimes poursuivis par le Cabinet, bien que s’agissant de la prospection par voie électronique, recueillir votre consentement pourrait également être nécessaire, selon les circonstances.

Nous pouvons également traiter vos données à caractère personnel en suivant une autre des bases juridiques listées dans la législation ou règlementation applicable. Pour plus d’information sur ce sujet, nous vous invitons à consulter l’article 6.1 du RGPD, qui liste toutes les bases juridiques admises.

Notre base juridique vous sera communiquée au cas par cas, pour chaque traitement que nous réalisons sur vos données à caractère personnel.

 

VI – Pendant combien de temps conservons-nous vos données à caractère personnel?

Le Cabinet conservera vos données à caractère personnel uniquement pour la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, et conformément à la législation applicable. Ainsi, la durée de conservation de vos données personnelles dépend de la finalité de chaque traitement.

Afin de déterminer la durée de conservation de vos données à caractère personnel, nous utilisons notamment les critères suivants :

  • si des cookies sont utilisés, nous déterminons leur durée de vie en suivant la limite mise en place par l’autorité compétente (13 mois) ;
  • lorsque nous conservons certaines de vos données à caractère personnel pour satisfaire à une obligation légale ou règlementaire, et afin que nous puissions exercer nos droits, nous conservons vos données le cas échéant pour la durée indiquée dans le texte de loi de référence (par exemple : la durée de prescription ou la durée légale de conservation).

Nous vous communiquerons la durée de conservation au cas par cas.

 

VII – Qui peut accéder à vos données à caractère personnel ?

Les personnes autorisées au sein du Cabinet et, dans certains cas, ses sous-traitants, peuvent accéder à vos données à caractère personnel. Nous faisons nos meilleurs efforts afin de nous assurer que le nombre de ces personnes reste aussi restreint que possible et maintenons la confidentialité et la sécurité de vos données à caractère personnel.

D’autres destinataires tiers, tels que nos prestataires de confiance, peuvent également recevoir vos données à caractère personnel, selon le traitement.

A cet égard, nous ne fournissons à nos prestataires de confiance que les informations dont ils ont besoin afin de fournir le service et leur demandons de ne pas utiliser vos données à caractère personnel pour d’autres finalités. Nous faisons toujours nos meilleurs efforts afin de nous assurer que tous nos prestataires de confiance avec qui nous travaillons maintiennent la confidentialité et la sécurité de vos données. Nous nous assurons également que, lorsque nos relations avec un prestataire de confiance arrivent à leur terme, ledit prestataire supprime vos données à caractère personnel sans délai.

Nous sélectionnons nos prestataires de confiance avec un grand soin, en nous assurant qu’ils fournissent les garanties suffisantes, notamment en matière d’expertise, de fiabilité et de ressources, pour implémenter les mesures techniques et organisationnelles à même de satisfaire aux exigences de la législation applicable, notamment la sécurité du traitement. A cet égard, nous nous assurons que nos prestataires de confiance ne traitent les données à caractère personnel que sur nos instructions documentées. Nous nous assurons également que leur personnel s’est engagé à respecter la confidentialité ou soit soumis à une obligation légale appropriée de confidentialité.

Nous pouvons demander à nos prestataires de confiance de fournir un service nécessitant le traitement de vos données à caractère personnel, par exemple dans les cas suivants :

  • l’hébergement de notre site internet ;
  • le stockage de vos données à caractère personnel ;
  • la maintenance de nos équipements/logiciel.

Le cas échéant, nous nous assurons que le recours à ces prestataires de confiance ne contrevient pas à notre obligation de garantir le secret professionnel des informations qui y sont soumises.

Pour chaque traitement que nous réalisons sur vos données à caractère personnel, nous vous informerons sur l’identité et le rôle de nos prestataires de confiance.

 

VIII –Où conservons-nous vos données à caractère personnel?

Vos données sont stockées dans l’Espace Economique Européen (EEE) par le Cabinet et ses prestataires de confiance. Cependant, en fonction du traitement, vos données peuvent également être transférées dans un pays en dehors de l’EEE, par exemple si le traitement de votre dossier, en tant que client, exige qu’un tel transfert ait lieu à destination d’une entité tierce.

En cas de transfert de données en dehors de l’EEE, nous veillons à ce que les données soient transférées de manière sécurisée et dans le respect de la législation applicable. Lorsque le pays où les données sont transférées ne dispose pas d’une protection comparable à celle de l’UE, nous utilisons des « garanties appropriées ou appropriées ».

Ces garanties appropriées ou appropriées sont un moyen de compenser l’absence de protection des données. Ces garanties appropriées peuvent consister à recourir à des clauses contractuelles types adoptées par la Commission, à des clauses contractuelles adoptées par une autorité de contrôle ou à des clauses contractuelles autorisées par une autorité de contrôle.

Dans tous les cas, il s’agit de conclure un contrat avec l’entité qui reçoit vos données à caractère personnel, afin de garantir le respect des exigences en matière de protection des données et de vos droits en tant que personnes concernées en ce qui concerne le traitement des données dans l’Union, y compris l’existence de droits applicables aux personnes concernées et de recours juridiques efficaces, notamment pour obtenir un recours administratif ou judiciaire effectif et demander réparation dans l’Union ou un pays tiers. Elles portent notamment sur le respect des principes généraux relatifs au traitement des données à caractère personnel, les principes de protection des données par conception et par défaut.

Lors du transfert de vos données personnelles à des entités situées aux États-Unis d’Amérique, nous pouvons également utiliser le « Privacy Shield », qui est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme assurant un niveau de protection adéquat des données personnelles transférées par une entité européenne aux entreprises établies aux États-Unis.  Ce mécanisme est donc considéré comme offrant des garanties juridiques pour de tels transferts de données.

Le cas échéant et au cas par cas, nous vous informerons de notre intention de transférer des données à caractère personnel vers un pays tiers, de l’existence ou non d’une décision adéquate de la Commission et, le cas échéant, de la référence aux garanties appropriées et des moyens permettant d’en obtenir une copie ou du lieu où elles ont été rendues disponibles.

 

IX – Quels sont vos droits en tant que personne concernée et comment les exercer?

Selon les opérations de traitement dont vos données font l’objet, vous pouvez disposer des droits suivants:

  • le droit d’obtenir confirmation de notre part que des données à caractère personnel vous concernant sont, ou non, traitées (droit d’accès). Si tel est le cas, vous pouvez accéder à vos données à caractère personnel et obtenir des informations telles que la finalité du traitement, les catégories de données à caractère personnel concernées, etc. ;
  • le droit d’obtenir de notre part la rectification des données personnelles inexactes vous concernant (droit de rectification) ;
  • le droit d’obtenir l’effacement de vos données personnelles, pour autant que l’un des motifs justifiant ce droit s’applique (droit d’effacement) ;
  • le droit d’obtenir la limitation du traitement, lorsque l’un des motifs justifiant l’exercice ce droit s’applique (droit à la limitation du traitement) ;
  • le droit de recevoir vos données personnelles, dans un format structuré, couramment utilisé et lisible par une machine, et le droit de transmettre ces données à un autre responsable du traitement sans entrave de notre part (droit à la portabilité des données) ;
  • le droit d’opposition, c’est-à-dire que vous pouvez, par exemple, nous interdire d’utiliser vos données personnelles à des fins de marketing direct ;
  • le droit de définir les lignes directrices pour le traitement de vos données personnelles après votre décès.

Pour exercer ces droits, vous pouvez nous contacter à l’adresse suivante : https://derriennic.com/contact/.

Afin que nous puissions traiter votre demande de façon satisfaisante, vous devrez justifier de votre identité, par quelque moyen que ce soit. En cas de doute de notre part, nous pouvons vous demander des informations complémentaires, notamment la transmission d’une copie de votre carte d’identité, signée par vous.

Nous ferons de notre mieux pour répondre de manière satisfaisante à vos demandes. Quelle que soit notre réponse, nous vous la ferons parvenir dans un délai d’un mois, mais notre délai de réponse peut être prolongé de deux mois supplémentaires en fonction de la complexité et du nombre de demandes.

Si, pour quelque raison que ce soit, vous estimez que notre réponse n’est pas satisfaisante, nous vous informons que vous pouvez déposer une plainte auprès de la CNIL.

 

X – Quelles informations allons-nous vous fournir ?

Chaque fois que le Cabinet réalise des opérations de traitement sur vos données à caractère personnel, il vous informera au sujet de ce traitement, en vous fournissant :

  • l’identité et les coordonnées du responsable du traitement (c’est-à-dire l’entité qui détermine les finalités et les moyens du traitement de vos données à caractère personnel) et, le cas échéant, de son représentant ;
  • les coordonnées de notre délégué à la protection des données ;
  • les finalités du traitement auquel les données à caractère personnel sont destinées ainsi que la base juridique du traitement ;
  • le cas échéant, les intérêts légitimes poursuivis par le Cabinet ou par un tiers ;
  • les destinataires ou les catégories de destinataires des données à caractère personnel, le cas échéant ;
  • le cas échéant, le fait que le Cabinet a l’intention de transférer des données à caractère personnel à un pays tiers ou à une organisation internationale et l’existence ou l’absence d’une décision d’adéquation de la Commission ou, le cas échéant, la référence aux garanties appropriées ou adaptées et les moyens permettant d’en obtenir une copie ou l’endroit où elles ont été rendues accessibles.
  • la durée pendant laquelle les données à caractère personnel seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • l’existence d’un droit d’accès, de rectification ou d’effacement des données personnelles, de limitation de traitement vous concernant, d’opposition au traitement ainsi que d’un droit à la portabilité des données ;
  • le cas échéant, l’existence d’un droit de retirer votre consentement à tout moment, sans préjudice de la licéité du traitement fondé sur le consentement avant son retrait ;
  • le droit de déposer une plainte auprès d’une autorité de contrôle ;
  • des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si vous êtes tenu de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
  • l’existence d’une prise de décision automatisée, y compris le profilage, et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour vous ;
  • si les données n’ont pas été obtenues directement auprès de vous, la catégorie de données à caractère personnel concernée, la source d’où ces dernières proviennent et, le cas échéant, si elles proviennent de sources accessibles au public.

Ces informations seront mises à votre disposition dès que possible et, dans le cas d’une collecte directe de vos données, au moment de la collecte.

Certaines de nos obligations en matière de secret professionnel peuvent limiter votre droit à l’information : si les données à caractère personnel vous concernant sont couvertes par la confidentialité en vertu d’une obligation de secret professionnel pesant sur nous, et si nous les avons obtenues au moyen d’une collecte indirecte, il est possible que nous ne procédions pas à votre information.

 

XI – Comment nous occupons-nous de la sécurité de vos données à caractère personnel?

Le Cabinet attache une grande importance à la protection de vos données personnelles et prend toutes les précautions raisonnables à cette fin. Nous demandons à nos partenaires qui gèrent vos données en notre nom de faire de même.

Nous faisons constamment de notre mieux pour protéger vos données personnelles. Dès réception de vos données, nous appliquons des procédures strictes et des mesures de sécurité (techniques et organisationnelles) pour empêcher tout accès non autorisé.