Conditions et politiques

1. PORTÉE ; RÔLES DES PARTIES

Nitro recevra et traitera les données personnelles pour le compte de l'ISV lors de la fourniture des services, conformément aux instructions et aux objectifs définis dans les Détails de traitement des données. Cet Addendum de traitement des données énonce les accords spécifiques des Parties concernant le traitement des données personnelles dans le cadre de cet Addendum de traitement des données et de l'Accord.

Par défaut, Nitro agira en tant que sous-traitant et l'ISV agira en tant que Responsable du traitement en ce qui concerne les services fournis par Nitro à l'ISV. Nitro reconnaît que l'ISV agit pour le compte du Responsable du traitement pour le traitement des données personnelles. Cet Addendum de traitement des données remplace et annule tous les accords précédents conclus (le cas échéant) en ce qui concerne le traitement des données personnelles et la protection des données entre les Parties relatives aux services offerts par Nitro en vertu de l'Accord.

Ce présent Addendum de traitement des données complète et fait partie de l'Accord, et ensemble, l'Accord et cet Addendum de traitement des données constituent un seul accord juridique entre les Parties. En cas de divergences ou de contradictions entre cet Addendum de traitement des données et l'Accord, l'Addendum de traitement des données prévaudra.

2. DÉFINITIONS

« Accord » désigne l'Accord du fournisseur de logiciels indépendants, tout annexe qui y est jointe, les bons de commande ISV de Nitro et toute information incorporée par référence ici provenant du Portail des Partenaires Nitro (le cas échéant) ;

« Annexe » désigne toute annexe au présent Addendum de traitement des données ;

«Responsable du traitement désigne le client du Responsable du traitement (qui est considéré comme le Client final en rapport avec l'Accord) auquel le Responsable du traitement (c'est-à-dire, l'ISV) fournit la Solution intégrée (qui comprend les services fournis par Nitro au Responsable du traitement) ;

« Détails de traitement des données » désigne l'Annexe 1 au présent Addendum de traitement des données qui décrit les instructions du Responsable du traitement concernant le traitement des données personnelles, transmises par le Responsable du traitement à Nitro, telles que le but, l'objet et la nature du traitement et le type de données personnelles traitées ;

« Personne concernée » ou tout terme équivalent (tel que « individu ») a le sens fixé dans la législation applicable sur la protection des données, ou lorsque aucune loi de ce type ne s'applique, désigne une personne physique identifiée ou identifiable qui se rapporte au Responsable du traitement ;

« Violation de données » ou tout terme équivalent (tel que « violation des données personnelles », « incident de sécurité ») a le sens donné dans la législation applicable sur la protection des données, ou lorsque aucune loi de ce type ne s'applique, désigne tout (i) accès non autorisé, ou utilisation, divulgation ou autre traitement des données personnelles de l'ISV sous la garde de Nitro, (ii) vol ou acquisition non autorisée de ces données personnelles, (iii) incident qui compromet la sécurité de ces données personnelles ;

« RGPD de l'UE » signifie le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données) ;

« Exposé » désigne tout exposé annexé au présent Addendum de traitement des données ;

« LPD » désigne la loi fédérale suisse sur la protection des données (dans sa version modifiée) ;

« Liste des sous-traitants Nitro » désigne la liste des sous-traitants de Nitro mise à disposition en ligne par Nitro, qui comprend les sous-traitants de Nitro engagés par Nitro pour la fourniture des services et l'exécution des obligations de Nitro en vertu de l'Accord en général. Nitro peut mettre à jour la liste des sous-traitants Nitro de temps à autre selon le processus énoncé dans cet Addendum de traitement des données ;

« Sous-traitant Nitro » désigne tout tiers engagé par Nitro pour le traitement des données personnelles liées à la fourniture des services au Responsable du traitement ;

« Données personnelles » désigne des données personnelles ou tout terme équivalent (tel que Informations personnelles) qui a le sens donné dans la législation applicable sur la protection des données, désigne toute information qui seule ou lorsqu'elle est combinée avec d'autres informations (par exemple, numéro de téléphone ou adresse e-mail) peut être utilisée par Nitro pour identifier une personne physique spécifique que Nitro traite pour le compte du Responsable du traitement lors de la fourniture des services conformément aux instructions et au but définis dans les Détails de traitement des données ;

« Responsable du traitement » désigne l'ISV tel qu'identifié dans l'Accord et/ou le bon de commande ISV correspondant (ou tout terme équivalent a le sens fixé dans la législation applicable sur la protection des données ou lorsque aucune loi de ce type ne s'applique, désigne l'entité qui traite les données personnelles pour le compte du Responsable du traitement) ;

« Sous-traitant » désigne Nitro Software Inc., fournisseur des services au Responsable du traitement ;

« RGPD britannique » signifie le RGPD de l'UE transposé dans le droit national britannique en vertu de la section 3 de la loi de retrait de l'Union européenne 2018 et modifié par les Règlements (Amendements, etc.) sur la protection des données, la vie privée et les communications électroniques (sortie de l'UE) 2019 (dans sa version modifiée).

Tous les autres termes et définitions écrits avec des lettres majuscules et qui ne sont pas définis expressément dans cet Addendum de traitement des données, sont définis comme indiqué dans la législation applicable sur la protection des données ou l'Accord.

3. OBJECTIF DE CET ACCORD DE TRAITEMENT DES DONNÉES

3.1  Cet Addendum de traitement des données détermine les conditions du traitement par Nitro des données personnelles pour le compte du Responsable du traitement dans le cadre de l'Accord. La nature et l'objectif du traitement, ainsi qu'une liste et le type de données personnelles ainsi que les catégories de personnes concernées sont énumérés dans les Détails de traitement des données (Annexe 1).

4. DURÉE

4.1  Cet Addendum de traitement des données s'applique à tout traitement des données personnelles et s'applique tant que Nitro traite les données personnelles pour le compte du Responsable du traitement dans le cadre de l'Accord. Cet Addendum de traitement des données complète l'Accord. et vise à garantir la conformité des Parties aux exigences imposées par les lois et règlements sur la protection des données applicables.

4.2  Cet Addendum de traitement des données prend fin automatiquement à la résiliation de l'Accord (ou au moment où le traitement par Nitro est interrompu). Les dispositions de cet Addendum de traitement des données qui sont expressément ou implicitement (compte tenu de leur nature) destinées à avoir un effet après la résiliation de l'Addendum de traitement des données survivront à la fin de l'Accord en ce qui concerne les données personnelles traitées pour le compte du Responsable du traitement dans le cadre de l'Accord.

5. MESURES TECHNIQUES ET ORGANISATIONNELLES

5.1  Nitro a mis en œuvre des mesures techniques et organisationnelles appropriées (« TOM ») visant à sécuriser le traitement des données personnelles. Les TOM mises en œuvre par Nitro sont énoncées dans les Détails de traitement des données et peuvent être mises à jour par Nitro de temps à autre, cependant Nitro s'assurera de ne pas dégrader la sécurité globale qu'il a mise en place au moment de l'exécution de l'Addendum de traitement des données. Le Responsable du traitement reconnaît que les TOM fournissent un niveau de sécurité adéquat, approprié au risque pour le traitement de ses données personnelles pour le compte du Responsable du traitement au moment de la signature ou de l'acceptation de cet Addendum de traitement des données.

5.2  Dans le cas où le Responsable du traitement (ou le Responsable du traitement) demande des mesures techniques et organisationnelles spécifiques à mettre en œuvre par Nitro (qui n'ont pas été mises en œuvre par défaut), le Responsable du traitement remboursera Nitro pour la mise en œuvre de telles mesures supplémentaires selon la Section 11 « Coûts » de cet Addendum de traitement des données.

6. CONSERVATION

6.1 Nitro ne conservera pas les données personnelles plus longtemps que nécessaire pour le traitement de ces données personnelles dans le cadre de l'Accord. Le Responsable du traitement ne demandera pas à Nitro de stocker des données personnelles plus longtemps que nécessaire. La période de conservation applicable est énoncée dans les Détails de traitement des données.

6.2  Nitro supprimera ou renverra toutes les données personnelles au Responsable du traitement après la fin de la fourniture de services et supprimera les copies existantes, sauf si la loi applicable exige le stockage des données personnelles. Le Responsable du traitement reconnaît que les services peuvent inclure des fonctionnalités de téléchargement à la disposition du Responsable du traitement pour permettre au Responsable du traitement de télécharger ses données. Dans la mesure où ces fonctionnalités sont disponibles, le Responsable du traitement s'assurera que le Responsable du traitement utilise ces fonctionnalités pour extraire ou supprimer ses données.

7. CONFIDENTIALITÉ

7.1  Les Parties ont convenu d'une clause de confidentialité dans l'Accord qui s'applique au traitement des données personnelles dans le cadre de l'Accord.

7.2  Nitro reconnaît et accepte que seuls les employés, les entrepreneurs ou les agents de Nitro impliqués dans le traitement des données personnelles peuvent être informés sur les données personnelles et uniquement dans la mesure raisonnablement nécessaire à l'exécution de l'Accord. Nitro s'assure que les personnes autorisées à traiter les données personnelles s'engagent à la confidentialité par contrat ou sont soumises à une obligation légale appropriée de confidentialité.

8. OBLIGATION DE NOTIFICATION

8.1   Dès qu'elle a connaissance d'une violation de données, Nitro doit, dans la mesure requise par la loi applicable ou un Exposé de cet Addendum de traitement des données, en informer le Responsable du traitement sans délai inutile en contactant la personne de contact indiquée dans l'Accord ou le bon de commande pertinent (ou alternativement via l'Adresse e-mail de notification du Responsable du traitement ou (le cas échéant) toute autre adresse e-mail que le Responsable du traitement a partagée dans le portail d'administration comme contact pour la confidentialité). La personne de contact de Nitro pour toute question relative à la protection des données peut être contactée par e-mail : privacy@gonitro.com.

9. SOUS-TRAITANCE

9.1  Le Responsable du traitement garantit que Nitro est expressément autorisé à engager des sous-traitants Nitro pour le traitement des données personnelles pour l'exécution de l'Accord et pour faciliter la fourniture des services en général. À cette fin, le Responsable du traitement accorde une autorisation écrite générale à Nitro de décider avec quels (sous-traitants Nitro) Nitro collabore pour le respect de ses obligations en vertu de l'Accord. Nitro publie une liste des sous-traitants Nitro se référant aux sous-traitants Nitro.

10. DROIT D'AUDIT

10.1  À la demande du Responsable du traitement, Nitro doit permettre des audits par le Responsable du traitement concernant la conformité de Nitro à ses obligations en vertu de cet Addendum de traitement des données et de la législation applicable sur la protection des données. Nitro s'efforcera raisonnablement de coopérer avec de tels audits et de mettre à disposition toutes les informations nécessaires pour prouver sa conformité à ses obligations. Le Responsable du traitement doit informer Nitro de cet audit au moins un (1) mois avant la date à laquelle l'audit sera effectué, en envoyant un avis écrit à Nitro à privacy@gonitro.com.

10.2  Dans le cas où un audit est effectué, toutes les parties concernées doivent d'abord signer un accord de non-divulgation spécifique émis par Nitro concernant cet audit et les résultats de l'audit avant le début de l'audit. Lors de l'exécution de tout audit, les obligations de confidentialité des Parties à l'égard des tiers doivent être prises en compte. Les Parties et leurs réviseurs doivent garder secrètes les informations recueillies lors d'un audit et les utiliser exclusivement pour vérifier leur conformité à cet Addendum de traitement des données et aux lois et réglementations applicables en matière de protection des données. Le Responsable du traitement a la possibilité de réaliser l'audit lui-même ou de désigner un auditeur indépendant, mais cet auditeur indépendant doit dument signer l'accord de non-divulgation mentionné dans cette section. Le Responsable du traitement a les mêmes droits d'audit que le Responsable du traitement en vertu de cette clause.

10.3  Les deux Parties et, si applicable, leurs représentants, doivent raisonnablement coopérer, sur demande, avec toute autorité compétente en rapport avec l'audit.

10.4  Le Responsable du traitement remboursera Nitro pour l'aide fournie par Nitro en rapport avec les audits conformément à la section 11 « Coûts » de cet Addendum de traitement des données. En étant entendu que ce remboursement ne s'appliquera pas dans le cas où (i) l'audit est le résultat d'une violation de données prouvée attribuable à Nitro ou (ii) dans le cas où l'assistance de Nitro ne dépasse pas quatre (4) heures de travail durant la durée de l'accord.

11. COÛTS

11.1  L'assistance à réaliser dans le cadre de cet Addendum de traitement des données pour laquelle Nitro peut facturer au Responsable du traitement sera facturée sur la base des heures travaillées et des taux horaires standards de Nitro (295 USD/heure hors taxes). Nitro facturera ces montants sur une base mensuelle, mais a également le droit de demander un acompte. La paiement par le Responsable du traitement à Nitro pour l'assistance et services professionnels fournis par Nitro en vertu de cet Addendum de traitement des données aura lieu conformément aux dispositions de l'Accord.

12. RESPONSABILITÉ

12.1  Sous réserve de la mesure maximale permise en vertu de la loi applicable, les dispositions de l'Accord concernant la limitation de la responsabilité s'appliquent également à cet Addendum de traitement des données et aux dommages qui en découlent.

13. DIVERS

13.1. Les dispositions de l'Accord concernant les modifications, l'accord entier, la divisibilité, la loi applicable et les tribunaux compétents s'appliquent à cet Addendum de traitement des données.

13.2  Cet Addendum de traitement des données est complété par les termes spécifiques au CCPA contenus dans l'Exposé 1 ci-joint, dans la mesure où cela est requis tel que mentionné dans l'Exposé 1.

ANNEXE 1 – DÉTAILS DU TRAITEMENT DES DONNÉES

DESCRIPTION DU TRAITEMENT

1. OBJET DU TRAITEMENT DES INFORMATIONS PERSONNELLES

L'objet est déterminé par le Responsable du traitement tel que défini dans l'Accord (et/ou le bon de commande ISV pertinent).

2. NATURE ET OBJECTIFS DU TRAITEMENT DES INFORMATIONS PERSONNELLES

La nature et les objectifs du traitement sont déterminés par le Responsable du traitement tel que défini dans l'Accord (et/ou le bon de commande ISV pertinent).

Par défaut, ce traitement a pour but de mettre à disposition les services, y compris toutes ses fonctionnalités, au Responsable du traitement (qui les mettra à disposition du Responsable du traitement) et en général de permettre à Nitro de remplir ses obligations contractuelles en vertu de l'Accord. Ce but peut être la mise à disposition des services Cloud (par exemple mais sans limitation, la mise à disposition du portail Cloud client, des services de signature électronique, des services d'analyse, etc.) ainsi que la fourniture de support.

La nature du traitement doit, parmi d'autres instructions données par le Responsable du traitement dans l'Accord (et/ou le bon de commande ISV pertinent), inclure le traitement, la collecte, le stockage, la communication et le transfert de données personnelles.

3. INFORMATIONS PERSONNELLES TRAITÉES

En fonction des fonctionnalités utilisées dans le cadre des services (par exemple : portail client, services de signature électronique, services d'analyse, etc.) et du contenu des données du client final qui sont considérées comme des données personnelles téléchargées par le Responsable du traitement ou le Responsable du traitement dans les services, Nitro traite différentes sortes de données personnelles. En général, les données personnelles traitées par Nitro incluent, sans s'y limiter :

• Détails d'identification (par exemple concernant les personnes concernées qui utilisent les services - et détails d'utilisation)
• Données documentaires (par exemple, données personnelles incluses dans des documents PDF traités)

Un aperçu détaillé du type de données personnelles traitées lors de l'utilisation des services est disponible via le Centre de confiance de Nitro : https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

4. CATEGORIES DE SUJETS DE DONNÉES

Les catégories suivantes de sujets de données sont par défaut dans le champ d'application :

• Tous les sujets de données ayant accès aux services (ce qui inclut les utilisateurs administrateurs, les utilisateurs généraux ou les utilisateurs invités comme les signataires).
• Tous les sujets de données inclus dans les données du client final qui sont considérées comme des données personnelles téléchargées dans les services par le Responsable du traitement ou le Responsable du traitement.

Le Responsable du traitement confirme que ces personnes concernées seront par défaut classées parmi les catégories suivantes :

• Utilisateurs des services
• Clients du Responsable du traitement
  
  

6. MESURES TECHNIQUES ET ORGANISATIONNELLES (TOMs)

Nitro met en œuvre des mesures techniques et organisationnelles appropriées pour garantir une sécurité adéquate lors de l'utilisation des Services. Nous mettons continuellement à jour ces mesures. Un aperçu détaillé des mesures prises est disponible via notre Centre de confiance dans notre section Sécurité : https://www.gonitro.com/security-compliance/security et dans notre Politique de sécurité de l'information. Notre Centre de confiance liste également les certifications que Nitro détient dans la section Conformité : https://www.gonitro.com/security-compliance/compliance

7. PERIODE DE CONSERVATION

Nitro ne stockera pas les Données personnelles plus longtemps que nécessaire pour la fourniture des Services. En fonction des Services et des fonctionnalités utilisées par le Responsable du traitement ou le Sous-traitant, la(s) période(s) de conservation applicable(s) peuvent différer. Le Sous-traitant, agissant au nom du Responsable du traitement, peut demander à Nitro de configurer des périodes de conservation spécifiques sur leur environnement (dans la mesure où cela est techniquement réalisable).

En l'absence de périodes de conservation spécifiques, les Données personnelles seront par défaut stockées par Nitro jusqu'à suppression par le Sous-traitant ou le Responsable du traitement ou jusqu'à la résiliation de l'Accord entre Nitro et le Sous-traitant (plus un maximum de 30 jours), la première de ces situations étant retenue. Un aperçu détaillé des périodes de conservation est disponible via notre Centre de confiance : https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data.

8. COORDONNÉES DE L'ÉQUIPE DE CONFIDENTIALITÉ DE NITRO

privacy@gonitro.com
Nitro Software Inc.
447 Sutter St, STE 405 #1015, San Francisco, CA 94108
États-Unis

EXHIBIT 1 – TERMES SPÉCIFIQUES CCPA

1. Dans la mesure où Nitro reçoit des Données personnelles de ou pour le compte de l'ISV et que ces informations sont soumises au CCPA, les dispositions suivantes s'appliquent. Dans la mesure où il existe un conflit entre cet Annexe 1 et l'Addendum de traitement des données, le premier prévaudra.

1.1  CCPA. Dans la mesure où (a) Nitro (en tant que fournisseur de services ou contractant) reçoit des Données personnelles de ou pour le compte de l'ISV (en tant que fournisseur de services ou contractant) afin de les traiter pour le compte du Responsable du traitement (en tant qu'entreprise) pour fournir les Services, et (b) que ces Données personnelles sont soumises au CCPA (« ISV PI »), Nitro doit (i) se conformer à toutes les obligations applicables à Nitro en vertu du CCPA et fournir le même niveau de protection de la vie privée et de sécurité exigé par le CCPA ; (ii) ne pas Vendre ou Partager ISV PI ; (iii) ne pas conserver, utiliser ou divulguer l'ISV PI (a) à d'autres fins que celles spécifiées dans cet Addendum de traitement des données ou dans l'Accord (y compris la conservation, l'utilisation ou la divulgation de l'ISV PI à des fins commerciales autres que celles spécifiées dans cet Addendum de traitement des données ou l'Accord) ou comme autrement permis par le CCPA, ou (b) en dehors de la relation commerciale directe entre l'ISV et Nitro ; (iv) dans la mesure où l'ISV divulgue ou met à disposition des Données non identifiables à Nitro, Nitro s'engage à (a) prendre des mesures raisonnables pour garantir que les Données non identifiables ne peuvent pas être associées à un individu ou à un ménage, (b) s'engager publiquement à maintenir et à utiliser les informations sous forme non identifiée et à ne pas tenter de réidentifier les informations, et (c) obliger contractuellement tout récipiendaire ultérieur à respecter toutes les dispositions de ce sous-paragraphe (iv) ; (v) ne pas combiner l'ISV PI concernant un individu que Nitro reçoit de, ou pour le compte de, l'ISV avec des Données personnelles qu'il reçoit de, ou pour le compte d'une autre personne, ou collecte lors de l'interaction de Nitro avec l'individu, à condition que Nitro puisse combiner l'ISV PI pour effectuer toute Finalité commerciale définie dans les réglementations pertinentes adoptées conformément au CCPA ; (vi) notifier l'ISV s'il engage un sous-traitant pour traiter l'ISV PI, et divulguer l'ISV PI à ce sous-traitant conformément à un contrat écrit incluant des termes fournissant le même niveau de protection de ces PI que ceux exigés par le CCPA ; (vii) mettre en œuvre des mesures organisationnelles et techniques appropriées adaptées à la nature de l'ISV PI pour protéger la sécurité de l'ISV PI et des systèmes contre l'accès non autorisé, la destruction, l'utilisation, la modification ou la divulgation ; (viii) notifier l'ISV si Nitro détermine qu'il ne peut plus respecter ses obligations en vertu du CCPA ; (ix) fournir une assistance raisonnable à l'ISV pour garantir la conformité à l'obligation de l'ISV de réaliser des évaluations de protection des données, des audits de cybersécurité et des évaluations des risques en tenant compte de la nature du traitement et des informations mises à la disposition de Nitro. Nitro doit également aider l'ISV à se conformer aux exigences relatives à la technologie de prise de décision automatisée du Responsable du traitement, le cas échéant ; (x) notifier l'ISV si Nitro reçoit une demande d'exercice des droits de confidentialité d'un individu concernant les ISV PI de cet individu (une « Demande »). Nitro ne doit pas communiquer autrement avec un individu concernant sa Demande à moins que l'ISV n'invite Nitro à le faire ou que Nitro ne soit tenu de communiquer avec un individu en vertu de la loi applicable. Nitro doit, d’une manière conforme à la nature et à la fonctionnalité des services fournis en vertu de cet Addendum de traitement des données et au rôle de Nitro en tant que fournisseur de services, fournir un soutien raisonnable à l'ISV afin de permettre à l'ISV de répondre et de se conformer à une Demande en vertu du CCPA ; et pas plus d'une fois par an, mettre à la disposition de l'ISV sur demande les informations raisonnablement nécessaires pour démontrer la conformité avec cet Article 1, y compris en fournissant des résumés des politiques de confidentialité et de sécurité applicables pour examen et audit. L'ISV remboursera Nitro pour l'assistance fournie par Nitro conformément à la Clause 1.1.(ix) de cet Annexe 1, conformément à l'Article 11 « Coûts » de cet Addendum de traitement des données.

1.3  Certification. Dans la mesure où Nitro est un Contractant, Nitro certifie qu'il comprend et se conformera aux restrictions énoncées au Sous-article 1.1.