Skip to main content
fisch.legal

Fisch Legal Privacy Policy

(Version en français ci-dessous)

1. Purpose

This privacy policy explains how Fisch Legal S.à r.l., a law firm established in Luxembourg, processes personal data in the context of its website, client relationships, and interactions with prospects, business partners, courts, authorities, foreign counsel, and other professional stakeholders.

We process personal data in accordance with the General Data Protection Regulation (GDPR), applicable Luxembourg law, professional rules governing lawyers, and legal professional privilege.

2. Data Controller

Fisch Legal S.à r.l.
4, rue de Chiny
L-1334 Luxembourg
Luxembourg
Tel.: +352 2777 0561
Email: contact@fisch.legal
Website: www.fisch.legal

For any data protection inquiries:
contact@fisch.legal

3. Categories of Data

Depending on the relationship, we may process:

  • identification data: name, title, role, company, registration details;
  • contact data: address, email, phone number;
  • professional data: employer, mandate, function in a matter;
  • contractual and administrative data: engagement letters, powers of attorney, invoices, payments;
  • case-related data: documents, correspondence, pleadings, decisions, financial or commercial information;
  • compliance data: information required for client identification and regulatory obligations;
  • technical data: IP address, connection logs, navigation data;
  • potentially sensitive data where necessary for legal services, litigation, or compliance.

4. Purposes of Processing

We process personal data for:

  • handling inquiries and communications;
  • conflict checks;
  • identity verification and regulatory compliance;
  • provision of legal services;
  • case and file management;
  • billing and accounting;
  • internal administration;
  • IT security;
  • website management;
  • professional communications;
  • internal process improvement, including the controlled use of digital tools and artificial intelligence.

5. Legal Bases

Processing is based on:

  • performance of a contract or pre-contractual measures;
  • legal and regulatory obligations;
  • legitimate interests (business operations, security, organization);
  • consent where required (e.g. cookies, newsletters);
  • establishment, exercise, or defense of legal claims;
  • public interest where applicable.

6. Professional Secrecy

Data handled within the lawyer-client relationship is protected by legal professional privilege, subject to legal limitations.

Access is restricted to individuals involved in the matter: lawyers, staff, technical providers, courts, authorities, experts, or counterparties where necessary.

7. Use of Digital Tools and Artificial Intelligence

We may use digital tools, including artificial intelligence, for:

  • summarization;
  • translation;
  • document structuring;
  • research support;
  • drafting assistance.

These tools do not replace legal analysis. No legal decision is taken solely on an automated basis.

When using AI APIs, including Mistral AI, we apply the following principles:

  • API-based usage rather than public interfaces where appropriate;
  • data minimization;
  • pseudonymization or anonymization where possible;
  • avoidance of unnecessary transmission of sensitive data;
  • human review of outputs;
  • no reliance on AI outputs without legal validation;
  • internal documentation of relevant uses.

Our use of Mistral is designed, where technically feasible, as stateless: requests are processed without intentional persistence of conversational history on our side. This does not exclude technical logging or processing by the provider under its own obligations.

We verify contractual safeguards before using AI providers, including:

  • data processing agreements;
  • security measures;
  • data location and transfers;
  • retention policies;
  • restrictions on model training using client data (where applicable).

8. Processors and Service Providers

We rely on service providers for:

  • hosting;
  • email;
  • document management;
  • cloud services;
  • CRM;
  • accounting;
  • security;
  • AI tools.

They act under instructions where they qualify as processors and must provide appropriate safeguards.

9. International Transfers

Some providers may involve transfers outside the EEA. In such cases, appropriate safeguards are implemented (e.g. adequacy decisions, standard contractual clauses).

10. Website, Cookies, and Technical Data

We may collect technical data such as IP address, timestamps, browser information, and visited pages for:

  • website operation;
  • security;
  • analytics;
  • improvement of services.

Necessary cookies may be used without consent. Non-essential cookies (e.g. analytics or marketing) require prior consent where applicable.

11. Newsletter

If a newsletter is offered:

  • subscription is based on consent;
  • unsubscribe is possible at any time;
  • tracking (if any) is limited to performance analysis and subject to consent.

12. Retention Periods

Data is retained only as long as necessary:

  • inquiries: limited duration;
  • client files: duration of mandate + legal/professional retention;
  • accounting: statutory retention periods;
  • marketing data: until withdrawal of consent;
  • technical logs: limited security-related duration.

Longer retention may apply where required for legal claims.

13. Security

We implement appropriate measures:

  • access controls;
  • authentication;
  • backups;
  • encryption where relevant;
  • internal policies;
  • provider selection based on security guarantees.

Absolute security cannot be guaranteed for internet transmissions.

14. Data Breaches

Where required, we notify the Luxembourg supervisory authority (CNPD) and affected individuals in case of data breaches.

15. Data Subject Rights

Subject to legal limitations, individuals have the right to:

  • access;
  • rectification;
  • erasure;
  • restriction;
  • objection;
  • data portability;
  • withdraw consent;
  • not be subject to automated decisions with legal effects.

Requests:
contact@fisch.legal

16. Supervisory Authority

CNPD – Luxembourg
www.cnpd.lu

17. Updates

This policy may be updated to reflect changes in law, technology, or services.


Politique de confidentialité

Version : avril 2026


1. Objet

La présente politique explique comment Fisch Legal S.à r.l., cabinet d’avocats établi à Luxembourg, traite les données à caractère personnel dans le cadre de son site internet, de ses relations avec ses clients, prospects, correspondants, fournisseurs, juridictions, autorités, mandataires, conseils étrangers et autres interlocuteurs professionnels.

Nous traitons les données personnelles conformément au Règlement général sur la protection des données — RGPD, à la législation luxembourgeoise applicable, aux règles professionnelles applicables aux avocats et au secret professionnel.

2. Responsable du traitement

Le responsable du traitement est :

Fisch Legal S.à r.l.
4, rue de Chiny
L-1334 Luxembourg
Luxembourg
Tél. : +352 2777 0561
E-mail : contact@fisch.legal
Site : www.fisch.legal

Pour toute question relative à la protection des données :
contact@fisch.legal

3. Données traitées

Selon la relation concernée, nous pouvons traiter notamment :

  • données d’identification : nom, prénom, fonction, société, registre de commerce, qualité juridique ;
  • données de contact : adresse, e-mail, téléphone ;
  • données professionnelles : employeur, mandat, rôle dans un dossier ;
  • données contractuelles et administratives : lettres de mission, procurations, factures, paiements ;
  • données liées aux dossiers : documents transmis, correspondances, pièces, décisions, actes, informations financières, commerciales ou patrimoniales ;
  • données de conformité : informations nécessaires à l’identification du client, à la prévention du blanchiment et au respect de nos obligations professionnelles ;
  • données techniques : adresse IP, journaux de connexion, informations de navigation, sécurité informatique ;
  • données éventuellement sensibles, uniquement lorsque leur traitement est nécessaire à la défense, à l’exercice ou à l’établissement de droits, au respect d’obligations légales ou dans le cadre d’un dossier confié au cabinet.

4. Finalités du traitement

Nous traitons les données personnelles pour les finalités suivantes :

  • prise de contact et réponse aux demandes ;
  • analyse de conflits d’intérêts ;
  • vérification d’identité et obligations professionnelles ;
  • fourniture de services juridiques ;
  • gestion des dossiers, procédures, négociations et correspondances ;
  • facturation, comptabilité et gestion administrative ;
  • conservation d’archives professionnelles ;
  • sécurité informatique ;
  • gestion du site internet ;
  • envoi éventuel d’informations juridiques ou professionnelles ;
  • amélioration interne de nos méthodes de travail, y compris avec des outils numériques et d’intelligence artificielle, dans les limites indiquées ci-dessous.

5. Bases juridiques

Selon le cas, les traitements reposent sur :

  • l’exécution d’un contrat ou de mesures précontractuelles ;
  • le respect d’obligations légales et professionnelles ;
  • l’intérêt légitime du cabinet à gérer ses dossiers, protéger ses droits, sécuriser ses systèmes et organiser son activité ;
  • le consentement, notamment pour certains cookies, newsletters ou communications facultatives ;
  • l’établissement, l’exercice ou la défense de droits en justice ;
  • le cas échéant, l’intérêt public ou les obligations liées à certaines missions judiciaires ou professionnelles.

6. Secret professionnel et confidentialité

Les informations confiées au cabinet dans le cadre d’une relation avocat-client sont couvertes par le secret professionnel, dans les limites prévues par la loi.

L’accès aux données est limité aux personnes qui doivent en connaître pour traiter le dossier : avocats, collaborateurs, personnel administratif, prestataires techniques strictement nécessaires, juridictions, autorités, confrères, experts, mandataires, notaires, huissiers ou autres intervenants lorsque cela est nécessaire au traitement du dossier.

7. Utilisation d’outils numériques et d’intelligence artificielle

Le cabinet peut utiliser des outils numériques, y compris des outils d’intelligence artificielle, pour assister certaines tâches internes : résumé, traduction, structuration de documents, recherche, classification, rédaction préparatoire ou analyse documentaire.

Ces outils ne remplacent pas l’analyse juridique de l’avocat. Aucune décision juridique engageante n’est prise automatiquement sur la seule base d’un système d’IA. Lorsque nous utilisons une API d’intelligence artificielle, notamment Mistral AI, nous privilégions une utilisation professionnelle contrôlée, avec les principes suivants :

  • utilisation par API, et non par interface grand public lorsque cela est pertinent ;
  • limitation des données transmises au strict nécessaire ;
  • pseudonymisation, anonymisation ou suppression de données identifiantes lorsque possible ;
  • absence volontaire d’envoi de données hautement sensibles lorsque l’objectif peut être atteint autrement ;
  • contrôle humain des résultats ;
  • absence d’utilisation des sorties IA comme avis juridique sans vérification par un avocat ;
  • documentation interne des usages significatifs.

Notre usage de Mistral est conçu comme stateless côté cabinet lorsque techniquement possible : les requêtes sont envoyées pour obtenir une réponse ponctuelle, sans création volontaire d’une mémoire conversationnelle permanente dans l’outil. Cela ne signifie pas nécessairement qu’aucune donnée technique n’est traitée par le prestataire ; les journaux techniques, mesures de sécurité ou obligations contractuelles du fournisseur peuvent continuer à s’appliquer selon ses conditions et l’accord de sous-traitance applicable.

Avant tout usage régulier d’un prestataire IA pour des données de dossier, nous vérifions les garanties contractuelles disponibles, notamment la qualité de sous-traitant, les mesures de sécurité, la localisation ou les mécanismes de transfert, les durées de conservation, l’absence d’entraînement des modèles sur nos données lorsque cela est prévu contractuellement, et les modalités d’exercice des droits.

8. Sous-traitants et prestataires

Nous pouvons faire appel à des prestataires techniques et professionnels, notamment pour :

  • hébergement du site ;
  • messagerie ;
  • stockage sécurisé ;
  • outils bureautiques ;
  • gestion documentaire ;
  • CRM ou gestion de dossiers ;
  • signature électronique ;
  • comptabilité ;
  • sécurité informatique ;
  • outils d’intelligence artificielle utilisés sous contrôle professionnel.

Ces prestataires n’agissent que sur instruction, lorsqu’ils sont sous-traitants au sens du RGPD, et doivent offrir des garanties appropriées.

9. Transferts hors EEE

Certains prestataires peuvent impliquer un transfert ou un accès à des données depuis un pays situé hors de l’Espace économique européen. Dans ce cas, nous veillons à ce que des garanties appropriées soient mises en place, notamment décision d’adéquation, clauses contractuelles types, mesures complémentaires ou autre mécanisme reconnu par le RGPD.

10. Site internet, cookies et données techniques

Lors de la consultation du site, certaines données techniques peuvent être collectées : adresse IP, date et heure de connexion, navigateur, système d’exploitation, pages consultées, site référent et journaux de sécurité.

Ces données servent à :

  • afficher correctement le site ;
  • assurer la sécurité ;
  • détecter les abus ou attaques ;
  • établir des statistiques de fréquentation ;
  • améliorer le contenu.

Les cookies strictement nécessaires peuvent être utilisés sans consentement préalable. Les cookies non nécessaires, notamment analytiques ou marketing, ne sont utilisés qu’avec le consentement de l’utilisateur lorsque la loi l’exige.

Si Google Analytics, LinkedIn ou d’autres outils tiers sont utilisés, ils doivent être listés dans une bannière ou un outil de gestion des cookies avec indication claire de leur finalité, de leur durée et du moyen de retrait du consentement.

11. Newsletter et communications

Si une newsletter est proposée, l’inscription repose sur le consentement de la personne concernée. L’abonné peut se désinscrire à tout moment par le lien prévu dans chaque message ou en nous contactant.

Lorsque des statistiques d’ouverture ou de clic sont utilisées, elles sont limitées à l’évaluation de la pertinence des communications et peuvent être désactivées ou retirées avec le consentement à la newsletter.

12. Durées de conservation

Les données sont conservées pendant la durée nécessaire aux finalités poursuivies, puis supprimées, anonymisées ou archivées lorsque la loi ou nos obligations professionnelles l’exigent.

À titre indicatif :

  • demandes de contact sans suite : durée limitée nécessaire au traitement de la demande ;
  • données clients et dossiers : durée nécessaire à la gestion du dossier, puis archivage selon les obligations légales, professionnelles, comptables et de responsabilité ;
  • données comptables : selon les délais légaux applicables ;
  • données de prospection/newsletter : jusqu’au retrait du consentement ou à l’inactivité prolongée ;
  • journaux techniques : durée limitée liée à la sécurité et à l’administration des systèmes.

Certaines données peuvent être conservées plus longtemps lorsqu’elles sont nécessaires à l’établissement, l’exercice ou la défense de droits en justice.

13. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées, notamment :

  • contrôle des accès ;
  • authentification ;
  • sauvegardes ;
  • chiffrement lorsque pertinent ;
  • limitation des droits utilisateurs ;
  • choix de prestataires présentant des garanties de sécurité ;
  • sensibilisation interne à la confidentialité ;
  • procédures de gestion des incidents.

Aucune transmission sur internet ne peut toutefois être garantie comme absolument sûre. Les personnes concernées peuvent utiliser des moyens de communication alternatifs lorsque la sensibilité des informations le justifie.

14. Violation de données

En cas de violation de données susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, nous procédons aux notifications requises auprès de la CNPD et, lorsque le RGPD l’exige, auprès des personnes concernées.

15. Droits des personnes concernées

Sous réserve des limites légales, professionnelles et procédurales applicables, toute personne concernée peut exercer les droits suivants :

  • droit à l’information ;
  • droit d’accès ;
  • droit de rectification ;
  • droit à l’effacement ;
  • droit à la limitation du traitement ;
  • droit d’opposition ;
  • droit à la portabilité ;
  • droit de retirer son consentement ;
  • droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou similaires.

Pour exercer ces droits :
contact@fisch.legal

Nous pouvons demander une preuve d’identité lorsque cela est nécessaire pour éviter une communication non autorisée de données.

16. Réclamation auprès de la CNPD

Toute personne concernée peut introduire une réclamation auprès de :

Commission nationale pour la protection des données — CNPD
15, boulevard du Jazz
L-4370 Belvaux
Luxembourg
www.cnpd.lu

17. Mise à jour

La présente politique peut être modifiée pour tenir compte de l’évolution de nos outils, de nos services, de nos obligations professionnelles ou de la réglementation applicable.

 

Back home

 

Back home