ADDENDUM DE TRAITEMENT DES DONNÉES

Entrée en vigueur: Octobre 28 e, 2022

Le présent avenant relatif au traitement des données (« DPA ») fait partie des conditions d'utilisation de Nitro Business ou des conditions d'utilisation de Nitro, selon le cas, régissant l'utilisation des services de Nitro (« accord ») conclu par et entre vous ou le titulaire de la licence (chacun tel que défini dans l'accord pertinent ; et aux fins du présent DPA, vous et le licencié êtes ci-après dénommés "client") et Nitro Software, Inc. ("Nitro") pour refléter l'accord des parties concernant le traitement des données personnelles par Nitro uniquement pour le compte du Client en vertu du Contrat. Les deux Parties seront dénommées les « Parties » et chacune, une « Partie ».

1 . définitions

Aux fins du présent DPA, les termes ci-dessous ont la signification indiquée ci-dessous. Les termes en majuscules qui sont utilisés mais non définis dans le présent ATD ont la signification qui leur est donnée dans le Contrat.

(a) Affilié désigne toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun avec l'entité assujettie, où « contrôle » fait référence au pouvoir de diriger ou de faire diriger l'entité assujettie, que (i) par la propriété de titres avec droit de vote, ou (ii) par la capacité de contrôler de fait les décisions de gestion de cette entité, par contrat ou autrement.

(b) API désigne toute interface de programmation d'application mise à la disposition du Client par Nitro dans le cadre du Contrat.

(c) Lois applicables sur la protection des données désigne les lois et réglementations sur la confidentialité, la protection des données et la sécurité des données de toute juridiction applicable au traitement des données personnelles en vertu du Contrat, y compris, sans s'y limiter, les lois européennes sur la protection des données et le CCPA, chacune telle que modifiée à partir de de temps en temps.

(d) CCPA désigne le California Consumer Privacy Act de 2018 et toute réglementation promulguée en vertu de celui-ci.

(e) Les données client désignent les informations fournies ou mises à la disposition de Nitro pour traitement au nom du client afin d'exécuter les services.

(f) Documentation désigne le Guide de l'utilisateur, les notes de mise à jour, les guides de mise en œuvre et toute autre documentation technique relative aux Services ou aux Services professionnels mis à la disposition du Client par Nitro.

(g) EEE désigne l'Espace économique européen.

(h) Lois européennes sur la protection des données désigne le RGPD et les autres lois et réglementations sur la protection des données de l'Union européenne, de ses États membres, de la Suisse, de l'Islande, du Liechtenstein, de la Norvège et du Royaume-Uni, dans chaque cas, dans la mesure applicable au traitement des données. Données personnelles en vertu du Contrat.

(i) RGPD désigne le Règlement (UE) 2016 / 679 du Parlement européen et du Conseil du 27 avril 2016 , tel que modifié de temps à autre.

(j) Incident de sécurité de l'information désigne une violation connue de la sécurité de Nitro entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès à des données personnelles en possession, sous la garde ou sous le contrôle de Nitro. Les incidents de sécurité de l'information n'incluent pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données personnelles, y compris, mais sans s'y limiter, les tentatives de connexion infructueuses, les pings, les analyses de port, les attaques par déni de service ou d'autres attaques réseau sur les pare-feu ou systèmes en réseau.

(k) Droits de propriété intellectuelle désigne tous les droits de propriété intellectuelle dans le monde entier, y compris : (i) les brevets, les divulgations d'inventions (brevetables ou non), les demandes de brevet, les redélivrances, les réexamens, les droits de modèle d'utilité et les droits de conception (enregistrés ou non) , et des droits de propriété industrielle enregistrés ou autres, (ii) des marques de commerce, des marques de service, des dénominations sociales, des noms commerciaux, des identifiants Internet, des habillages commerciaux et d'autres désignations similaires de source ou d'origine ainsi que la clientèle symbolisée par l'un des éléments précédents, (iii ) droits d'auteur, droits moraux, droits de conception, droits de base de données, collections de données et autres droits sui generis, (iv) secrets commerciaux ou autres droits de propriété sur des informations confidentielles ou des informations techniques, réglementaires et autres, conceptions, résultats, techniques et autres connaissances -comment, et (v) les demandes, les enregistrements et les renouvellements pour, et tous les droits associés à l'égard de tout ce qui précède dans n'importe quelle partie du monde.

(l) Données personnelles désigne les données client qui constituent des « données personnelles », des « informations personnelles » ou des « informations personnellement identifiables » définies dans la loi applicable sur la protection des données, ou des informations de caractère similaire réglementées par celle-ci, sauf que les données personnelles n'incluent pas ces les informations relatives au personnel ou aux représentants du Client qui sont des contacts commerciaux de Nitro dans le cours normal de la relation commerciale, lorsque Nitro agit en tant que contrôleur de ces informations.

(m) Traitement désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou sur des ensembles de Données Personnelles, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation , utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

(n) Services professionnels désigne tous les services fournis par Nitro en rapport avec les Services tels que l'activation, la formation, la configuration, l'intégration, l'évaluation et l'optimisation.

(o) Mesures de sécurité a le sens qui lui est donné à l'article 5 (a) (Mesures de sécurité du fournisseur).

(p) Clauses contractuelles types désigne les dispositions impératives des clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers sous la forme prévue par la décision de la Commission européenne 2016 / 679 /UE et 2018 / 914 /UE, et mis en œuvre par la décision de la Commission européenne 2021 / 914 du 4 juin 2021 .

(q) Sous- traitants ultérieurs désigne les tiers que Nitro engage pour traiter les données personnelles en relation avec les services.

(r) Sous- traitants tiers tiers a la signification donnée à la section 5 (Sous-traitants ultérieurs) de l'Annexe 1 .

(s) Les termes responsable du traitement , personne concernée , sous-traitant et autorité de contrôle tels qu'utilisés dans le présent ATD ont la signification donnée dans le RGPD.

2 . Durée et portée de l'APD

(a) Le présent ATD restera en vigueur tant que Nitro traitera les Données personnelles, nonobstant l'expiration ou la résiliation du Contrat.

(b) L' Annexe 1 (Annexe UE) du présent ATD s'applique uniquement au Traitement soumis aux Lois européennes sur la protection des données.

(c) L' Annexe 2 (Annexe californienne) du présent ATD s'applique uniquement au Traitement soumis au CCPA si le Client est une « entreprise » ou un « fournisseur de services » (tel que défini dans le CCPA) par rapport à ce Traitement.

3 . Consignes client

Nitro traitera les données personnelles uniquement conformément aux instructions du client à Nitro. Ce DPA est une expression complète de ces instructions, et les instructions supplémentaires du Client ne lieront Nitro qu'en vertu d'un amendement au présent DPA signé par les deux Parties. Le Client demande à Nitro de traiter les Données personnelles pour fournir les Services comme prévu par le Contrat.

4 . Analytique

Le Client reconnaît et accepte que, dans le cadre des Services, Nitro peut :

(a) créer et dériver du Traitement lié aux Services des éléments qui sont nécessaires pour fournir les Services ; et/ou

(b) créer et dériver du traitement lié aux Services des données anonymisées et/ou agrégées qui n'identifient pas le Client ou toute personne physique, et utiliser, publier ou partager avec des tiers ces données anonymisées et/ou agrégées pour améliorer les produits et services de Nitro et/ou à ses autres fins commerciales légitimes.

5 . <>Sécurité

(a) Mesures de sécurité du fournisseur . Nitro mettra en œuvre et maintiendra des mesures techniques et organisationnelles conçues pour protéger les données personnelles contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles (« mesures de sécurité »), comme décrit dans l'annexe 3 (mesures de sécurité). Nitro peut mettre à jour les mesures de sécurité de temps à autre sans préavis, tant que les mesures mises à jour ne diminuent pas sensiblement la protection globale des données personnelles.

(b) Incidents liés à la sécurité des informations . Nitro informera le Client sans retard injustifié de tout Incident de sécurité de l'information dont le Client aura connaissance. Ces notifications peuvent décrire les détails disponibles de l'Incident de sécurité de l'information, y compris un résumé des mesures prises pour atténuer les risques potentiels et les mesures que Nitro recommande au Client d'envisager de prendre pour résoudre l'Incident de sécurité de l'information. La notification ou la réponse de Nitro à un Incident de sécurité de l'information ne sera pas interprétée comme la reconnaissance par Nitro de toute faute ou responsabilité concernant l'Incident de sécurité de l'information.

(c) Responsabilités et évaluation du client en matière de sécurité.

(i) Responsabilités du client en matière de sécurité . Le Client accepte que, sans limitation des obligations de Nitro en vertu de la Section 5 (Sécurité), le Client est seul responsable de son utilisation des Services, y compris (a) l'utilisation appropriée des Services pour assurer un niveau de sécurité approprié au risque encouru respect des Données Personnelles ; (b) sécuriser les informations d'identification, les systèmes et les appareils d'authentification de compte que le Client utilise pour accéder aux Services ; (c) sécuriser les systèmes et appareils du Client que Nitro utilise pour fournir les Services ; et (d) sauvegarder les données personnelles.

(ii) Évaluation de la sécurité du client . Le Client convient que les Services, les Mesures de sécurité et les engagements de Nitro dans le cadre du présent ATD sont adéquats pour répondre aux besoins du Client, y compris en ce qui concerne les obligations de sécurité du Client en vertu des Lois applicables sur la protection des données, et fournissent un niveau de sécurité approprié au risque en ce qui concerne les Données Personnelles.

6 . Droits des personnes concernées

(a) Demande d'assistance de la personne concernée de Nitro . Nitro (en tenant compte de la nature du traitement des données personnelles) fournira au client l'assistance raisonnablement nécessaire pour que le client s'acquitte de ses obligations en vertu des lois applicables sur la protection des données afin de répondre aux demandes des personnes concernées d'exercer leurs droits en vertu des lois applicables sur la protection des données (« données Demandes du sujet ») en ce qui concerne les données personnelles en possession ou sous le contrôle de Nitro. Le client doit indemniser Nitro pour toute assistance de ce type aux tarifs des services professionnels alors en vigueur de Nitro, qui seront mis à la disposition du client sur demande.

(b) Responsabilité du client pour les demandes . Si Nitro reçoit une demande de personne concernée, Nitro conseillera à la personne concernée de soumettre la demande au client et le client sera responsable de répondre à la demande.

7 . Responsabilités du client

(a) Conformité du client . Le client doit se conformer à ses obligations en vertu des lois applicables sur la protection des données. Le client doit s'assurer (et est seul responsable de s'assurer) que ses instructions dans la section 3 sont conformes aux lois applicables sur la protection des données, et que le client a donné tous les avis et a obtenu tous les consentements des personnes auxquelles les données personnelles se rapportent et tous d'autres parties comme l'exigent les lois applicables sur la protection des données pour que le client traite les données personnelles comme prévu par l'accord.

(b) Données interdites . Le client déclare et garantit à Nitro que les données client ne contiennent pas et ne contiendront pas, sans le consentement écrit préalable de Nitro, des numéros de sécurité sociale ou d'autres numéros d'identification émis par le gouvernement ; informations biométriques; mots de passe pour les comptes en ligne; les informations d'identification à tous les comptes financiers ; données de déclaration de revenus ; rapports de crédit ou rapports de consommation ; toute information de carte de paiement soumise à la norme de sécurité des données de l'industrie des cartes de paiement ; les informations soumises au Gramm-Leach-Bliley Act, au Fair Credit Reporting Act ou aux règlements promulgués en vertu de l'une ou l'autre de ces lois ; les informations soumises à des restrictions en vertu des lois applicables sur la protection des données régissant les données personnelles des enfants, y compris, sans limitation, toutes les informations sur les enfants de moins de 13 ans ; ou toute information relevant de catégories spéciales de données (telles que définies dans le RGPD). Le client déclare en outre que les données client ne contiennent pas et ne contiendront pas d'informations de santé protégées soumises à la loi HIPAA (Health Insurance Portability and Accountability Act) ou à toute législation similaire dans une autre juridiction ; d'autres informations concernant les antécédents médicaux d'un individu, son état mental ou physique, ou un traitement médical ou un diagnostic par un professionnel de la santé ; ou des informations d'assurance maladie, sauf si le client et Nitro ont conclu séparément un accord d'associé commercial HIPAA.

8 . Divers

Sauf modification expresse du DPA, les termes de l'Accord restent en vigueur et de plein effet. En cas de conflit ou d'incohérence entre le présent DPA et les termes de l'Accord, le présent DPA prévaudra. Nonobstant toute disposition contraire de l'Accord ou de tout bon de commande saisi en relation avec celui-ci, les Parties reconnaissent et conviennent que l'accès de Nitro aux Données personnelles ne fait pas partie de la contrepartie échangée par les Parties dans le cadre de l'Accord. Nonobstant toute disposition contraire dans le Contrat, tout avis requis ou autorisé à être donné par Nitro au Client en vertu du présent DPA peut être donné (a) conformément à toute clause de notification du Contrat ; (b) aux principaux points de contact de Nitro chez le Client ; ou (c) à tout e-mail fourni par le Client dans le but de lui fournir des communications ou des alertes liées aux Services. Le client est seul responsable de s'assurer que ces adresses pour les notifications sont valides.

ANNEXE 1 À L'ANNEXE DPA UE

8

1 . Traitement des données

(a) Objet et détails du traitement . Les Parties reconnaissent et conviennent que (i) l'objet du Traitement en vertu du Contrat est la fourniture des Services par Nitro ; (ii) la durée du Traitement s'étend de la réception des Données personnelles par Nitro jusqu'à la suppression de toutes les Données personnelles par Nitro conformément au Contrat ; (iii) la nature et la finalité du Traitement sont de fournir les Services ; (iv) les personnes concernées auxquelles les données personnelles se rapportent sont le client (dans la mesure où le client est un individu), les utilisateurs des services ou du logiciel de Nitro et les individus dont les données personnelles ont été générées, partagées ou téléchargées par le client et/ou utilisateurs des Services et/ou des logiciels de Nitro ; et (v) les catégories de Données personnelles sont les données personnelles générées, partagées, téléchargées ou demandées par le Client ou les utilisateurs des Services et/ou du logiciel de Nitro (qui peuvent inclure des Données personnelles contenues dans des documents, des images et d'autres médias et utilisateurs- contenu généré tel que des documents, du texte, des images et d'autres contenus).

(b) Rôles et conformité réglementaire ; Autorisation . Les Parties reconnaissent et conviennent que (i) Nitro est un sous-traitant de Données personnelles en vertu des lois européennes sur la protection des données ; (ii) le Client est un responsable du traitement (ou un sous-traitant agissant sur les instructions d'un responsable du traitement) des données personnelles en vertu des lois européennes sur la protection des données ; et (iii) chaque partie se conformera aux obligations qui lui sont applicables dans ce rôle en vertu des lois européennes sur la protection des données en ce qui concerne le traitement des données personnelles. Si le Client est un sous-traitant, le Client déclare et garantit à Nitro que les instructions et les actions du Client concernant les Données personnelles, y compris sa nomination de Nitro en tant qu'autre sous-traitant, ont été autorisées par le responsable du traitement concerné.

(c) Conformité de Nitro aux instructions . Nitro traitera les données personnelles uniquement conformément aux instructions du client énoncées dans le présent DPA, sauf si les lois européennes applicables en matière de protection des données l'exigent autrement, auquel cas Nitro en informera le client (sauf si la loi interdit à Nitro de le faire).

(d) Suppression des données . Nitro supprimera toutes les données personnelles sur les systèmes de Nitro à la demande écrite du client et après la fin de la fourniture des services, et supprimera les copies existantes à moins que le stockage continu des données personnelles ne soit requis par (i) les lois applicables de l'Union européenne ou de ses États membres, en ce qui concerne les données personnelles soumises aux lois européennes sur la protection des données ou (ii) aux lois applicables en matière de protection des données, en ce qui concerne toutes les autres données personnelles. Nitro se conformera à ces instructions dès que raisonnablement possible et au plus tard 180 jours après cette expiration ou cette résiliation, à moins que les Lois applicables sur la protection des données n'exigent le stockage. Le Client peut choisir de demander une copie de ces Données personnelles à Nitro moyennant des frais supplémentaires en le demandant par écrit au moins 30 jours avant l'expiration ou la résiliation du Contrat. Dès l'accord des parties sur ces frais en vertu d'un ordre de travail ou d'un autre amendement au contrat, Nitro fournira une telle copie de ces données personnelles avant qu'elles ne soient supprimées conformément à la présente clause.

2 . Sécurité des données

(a) Mesures de sécurité, contrôles et assistance Nitro

(i) Assistance à la sécurité Nitro . Sur demande écrite, Nitro fournira au Client l'assistance raisonnable nécessaire pour que le Client se conforme à ses obligations en matière de Données personnelles en vertu des lois européennes sur la protection des données, y compris les articles 32 à 34 (inclus) du RGPD, en (a) mettre en œuvre et maintenir les mesures de sécurité ; (b) se conformer aux termes de la Section 5 (b) (Incidents de sécurité de l'information) du DPA ; et (c) se conformer à la présente annexe 1 . Le Client reconnaît et accepte par les présentes que ces mesures sont suffisantes pour permettre au Client de se conformer à ces obligations.

(ii) Conformité à la sécurité par le personnel de Nitro . Nitro veillera à ce que son personnel autorisé à accéder aux données personnelles soit soumis à des obligations de confidentialité appropriées.

(b) Examens et audits de conformité Le Client peut auditer la conformité de Nitro à ses obligations en vertu du présent DPA pas plus d'une fois par année civile et à toute autre occasion requise par les lois européennes sur la protection des données, y compris lorsque l'autorité de contrôle du Client l'exige. Nitro participera à ces audits en fournissant au Client ou à l'autorité de contrôle du Client les informations et l'assistance raisonnablement nécessaires pour effectuer l'audit. Si un tiers doit effectuer l'audit, Nitro peut s'opposer à l'auditeur si l'auditeur n'est, de l'avis raisonnable de Nitro, pas indépendant, un concurrent de Nitro, ou autrement manifestement inadapté. Une telle objection par Nitro obligera le Client à nommer un autre auditeur ou à effectuer l'audit lui-même. Pour demander un audit, le Client doit soumettre une proposition de plan d'audit à Nitro au moins trois ( 3 ) semaines avant la date d'audit proposée et tout auditeur tiers doit signer un accord de non-divulgation habituel mutuellement acceptable pour Nitro (cette acceptation ne pas être refusée de manière déraisonnable) prévoyant le traitement confidentiel de toutes les informations échangées dans le cadre de l'audit et de tout rapport concernant les résultats ou les conclusions de celui-ci. Le plan d'audit proposé doit décrire la portée, la durée et la date de début proposées de l'audit. Nitro examinera le plan d'audit proposé et fournira au Client toute préoccupation ou question (par exemple, toute demande d'informations qui pourrait compromettre la sécurité, la protection des données, la confidentialité, l'emploi ou d'autres politiques pertinentes de Nitro). Nitro travaillera en coopération avec le Client pour convenir d'un plan d'audit final. Rien dans la présente section 2 (b) n'oblige Nitro à enfreindre ses obligations de confidentialité. Si les contrôles ou les mesures à évaluer dans l'audit demandé sont traités dans un SOC 2 Type 2 , ISO ou un rapport d'audit similaire réalisé par un auditeur tiers qualifié et achevé dans les douze ( 12 ) mois suivant l'audit du Client demande et que Nitro a confirmé qu'il n'y a eu aucun changement défavorable important connu dans les contrôles audités depuis la date de ce rapport, le Client accepte d'accepter ce rapport au lieu de demander un audit de ces contrôles ou mesures. L'audit doit être effectué pendant les heures normales d'ouverture de Nitro, sous réserve du plan d'audit final convenu et des politiques de sûreté, de sécurité et/ou d'autres politiques pertinentes de Nitro, et ne doit pas interférer de manière déraisonnable avec les activités commerciales de Nitro. Le client informera rapidement Nitro de toute non-conformité découverte au cours d'un audit et fournira à Nitro tous les rapports d'audit générés dans le cadre de tout audit en vertu de la présente section 2 (b), sauf interdiction par les lois européennes sur la protection des données ou instruction contraire de une autorité de tutelle. Le Client peut utiliser les rapports d'audit uniquement dans le but de répondre aux exigences d'audit réglementaires du Client et/ou de confirmer la conformité aux exigences du présent ATD. Tout audit est à la charge exclusive du Client. Le Client remboursera à Nitro tout temps passé par Nitro et tout tiers dans le cadre de tout audit ou inspection en vertu de la présente Section 2 (b) aux tarifs des services professionnels alors en vigueur de Nitro, qui seront mis à la disposition du Client sur demande. Le Client sera responsable de tous les frais facturés par tout auditeur nommé par le Client pour exécuter un tel audit.

3 . Évaluations d'impact et consultations

Nitro (compte tenu de la nature du Traitement et des informations disponibles pour Nitro) aidera raisonnablement le Client à se conformer à ses obligations en vertu des articles 35 et 36 du RGPD, en (a) mettant à disposition une documentation décrivant les aspects pertinents de le programme de sécurité des informations de Nitro et les mesures de sécurité appliquées en rapport avec celui-ci et (b) fournir les autres informations contenues dans le Contrat, y compris le présent ATD.

4 . Transferts de données

(a) Installations de traitement des données . Nitro peut, sous réserve de la section 4 (b) (Transferts hors de l'EEE), stocker et traiter des données personnelles aux États-Unis ou partout où Nitro ou ses Sous-traitants ultérieurs disposent d'installations.

(b) Transferts hors de l'EEE . Si le Client transfère des Données personnelles hors de l'EEE à Nitro dans un pays qui n'est pas considéré par la Commission européenne comme disposant d'une protection adéquate des données, ce transfert sera régi par les Clauses contractuelles types, dont les termes sont incorporés dans le présent ATD. Dans le cadre de ce qui précède, les Parties conviennent que (i) le Client agira en tant qu'exportateur de données et Nitro agira en tant qu'importateur de données en vertu des Clauses contractuelles types ; (ii) aux fins de l'Annexe 1 des Clauses contractuelles types, les catégories de personnes concernées, les données, les catégories particulières de données (le cas échéant) et les opérations de Traitement seront telles qu'énoncées à la Section 1 (a) à la présente annexe 1 (Objet et détails du traitement) ; (iii) aux fins de l'Annexe 2 des Clauses contractuelles types, les mesures techniques et organisationnelles seront les Mesures de sécurité ; (iv) l'importateur de données fournira les copies des accords de sous-traitant ultérieur qui doivent être envoyés par l'importateur de données à l'exportateur de données conformément à la clause 5 (j) des clauses contractuelles types à la demande de l'exportateur de données, et que l'importateur de données peut supprimer ou caviarder au préalable toutes informations ou clauses commerciales sans rapport avec les Clauses Contractuelles Types ou leur équivalent ; (v) les audits décrits dans la Clause 5 (f) et la Clause 12 ( 2 ) des Clauses contractuelles types doivent être effectués conformément à la Section 2 (b) de la présente Annexe 1 (Examens et audits de conformité) ; (vi) Les autorisations du Client dans la Section 5 (Sous-traitants ultérieurs) de la présente Annexe 1 constitueront le consentement écrit préalable du Client à la sous-traitance par Nitro du Traitement des Données personnelles si un tel consentement est requis en vertu de la Clause 5 (h) de les Clauses contractuelles types ; et (vii) la certification de la suppression des données personnelles comme décrit dans la clause 12 ( 1 ) des clauses contractuelles types doit être fournie sur demande écrite de l'importateur de données.

Nonobstant ce qui précède, les Clauses contractuelles types (ou les obligations identiques à celles prévues par les Clauses contractuelles types) ne s'appliqueront pas dans la mesure où une autre norme de conformité reconnue pour le transfert de Données personnelles en dehors de l'EEE conformément aux lois européennes sur la protection des données s'applique à le transfert. En cas de conflit ou d'incohérence entre (a) la présente annexe 1 et toute autre disposition du présent DPA, la présente annexe 1 prévaudra, ou (b) les clauses contractuelles types et toute autre disposition du présent accord, les Les clauses contractuelles types prévaudront.

5 . Sous-traitants ultérieurs

(a) Consentement à l'engagement d'un sous-traitant . Le Client autorise spécifiquement l'engagement des Affiliés de Nitro en tant que Sous-processeurs et autorise généralement l'engagement d'autres tiers en tant que Sous-processeurs (« Sous-processeurs tiers »).

(b) Informations sur les sous-traitants ultérieurs . Des informations sur les sous-traitants ultérieurs, y compris leurs fonctions et leurs emplacements, sont disponibles sur : https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (telles que mises à jour par Nitro de temps à autre) ou toute autre adresse de site Web que Nitro peut fournir au Client de temps à autre (ensemble, « Site du sous -traitant ultérieur »).

(c) Exigences pour l'engagement des sous-traitants . Lors de l'engagement d'un sous-processeur, Nitro conclura un contrat écrit avec ce sous-traitant contenant des obligations de protection des données non moins protectrices que celles du présent DPA en ce qui concerne les données personnelles dans la mesure applicable à la nature des services fournis par ce sous-traitant. Nitro sera responsable de toutes les obligations en vertu de l'Accord sous-traité au Sous-traitant ou de ses actions et omissions qui y sont liées.

(d) Possibilité de s'opposer aux modifications du sous-traitant ultérieur . Lorsque Nitro engage un nouveau Sous-traitant ultérieur tiers après la date d'entrée en vigueur du Contrat, Nitro informera le Client de l'engagement (y compris le nom et l'emplacement du Sous-traitant ultérieur concerné et les activités qu'il effectuera) en mettant à jour le Site du Sous-traitant ultérieur ou par d'autres moyens écrits. . Si le Client s'oppose à un tel engagement dans un avis écrit à Nitro dans les 15 jours après avoir été informé de l'engagement pour des motifs raisonnables liés à la protection des Données personnelles, le Client et Nitro travailleront ensemble de bonne foi pour trouver une solution mutuellement acceptable pour répondre à une telle objection. Si les Parties ne parviennent pas à une résolution mutuellement acceptable dans un délai raisonnable, le Client peut, à titre de recours unique et exclusif, résilier le Contrat et annuler les Services en fournissant un avis écrit à Nitro et payer à Nitro tous les montants dus et exigibles en vertu du Contrat à compter de la date de cette résiliation.

(e) Suffisance du consentement . Le client reconnaît et accepte par la présente que les procédures ci-dessus sont suffisantes pour obtenir le consentement écrit préalable du client au sous-traitement en vertu de l'article 28 du RGPD, et dans la mesure requise en vertu de la clause 5 (h) des clauses contractuelles types.

ANNEXE 2 À L'ANNEXE DPA CALIFORNIE

  1. Aux fins de la présente annexe 2 , les termes « entreprise », « objectif commercial », « vendre » et « prestataire de services » auront les significations respectives qui leur sont données dans le CCPA, et « informations personnelles » désignent les données personnelles qui constituent renseignements personnels régis par la CCPA.
  2. L'intention des parties est qu'en ce qui concerne toute information personnelle, Nitro est un fournisseur de services. Nitro ne doit pas (a) vendre des informations personnelles ; (b) conserver, utiliser ou divulguer toute information personnelle à des fins autres que l'objectif spécifique de fournir les Services, y compris la conservation, l'utilisation ou la divulgation des informations personnelles à des fins commerciales autres que la fourniture des Services ; ou (c) conserver, utiliser ou divulguer les informations personnelles en dehors de la relation commerciale directe entre Nitro et le Client. Nitro certifie par la présente qu'il comprend ses obligations en vertu de la présente section 2 et s'y conformera.
  3. Les Parties reconnaissent que la conservation, l'utilisation et la divulgation par Nitro des informations personnelles autorisées par les instructions du Client documentées dans le DPA font partie intégrante de la fourniture des Services par Nitro et de la relation commerciale entre les Parties.

ANNEXE 3 AUX MESURES DE SÉCURITÉ DPA

La protection des informations est l'objectif principal de la sécurité des informations, qui est obtenue en mettant en œuvre un ensemble approprié de contrôles, y compris des structures organisationnelles, des politiques et des procédures, des processus et des contrôles informatiques techniques. Ces contrôles doivent être conçus, mis en œuvre, surveillés, révisés et améliorés pour garantir que les actifs informationnels de Nitro et de ses Affiliés, de ses partenaires ou de ses clients sont sécurisés à tout moment. Se référer aux Mesures Organisationnelles Techniques