Conditions et politiques

8.1 Tenue compte de la nature du traitement, Nitro s'efforcera de toutes ses forces, en prenant des mesures techniques et organisationnelles appropriées, d'assister le Client dans l'accomplissement de son obligation de répondre aux demandes des Personnes Concernées.

8.2 Pour toute assistance apportée par Nitro dans le cadre du traitement de telles demandes des Personnes Concernées, le Client remboursera Nitro conformément à la Section 14 « Coûts » de ce document sur le traitement des données. Ce remboursement par le Client ne s'applique pas (i) dans le cas où le Sujet de données invoque ses droits en raison d'une violation de Données Personnelles avérée attribuable à Nitro ou (ii) dans le cas où une telle assistance par Nitro n'excède pas quatre (4) heures de travail pendant la durée de l'Accord.

9. OBLIGATION DE NOTIFICATION

9.1 Lorsque Nitro prend connaissance d'une violation de Données Personnelles, elle doit en informer le Client sans retard injustifié en contactant la personne de contact indiquée dans l'Accord ou le Bon de Commande pertinent (ou alternativement via l'adresse e-mail de notification du Client ou (le cas échéant) toute autre adresse e-mail que le Client a partagée dans le portail d'administration comme contact pour la vie privée). La personne de contact de Nitro pour toute question liée à la protection des données peut être contactée par e-mail : privacy@gonitro.com.

9.2 À la demande du Client, Nitro informera le Client de tout développement nouveau concernant une violation des Données Personnelles et des mesures prises pour limiter ses conséquences et pour prévenir la répétition d'une telle violation des Données Personnelles. Il est de la responsabilité du Client de signaler toute violation de Données Personnelles à l'Autorité de Protection des Données ou aux Sujets de données, le cas échéant.

10. SOUS-TRAITEMENT

15.1 Sous réserve de l'indemnité maximale permise en vertu de la législation applicable, les dispositions des Conditions de Service concernant la limitation de responsabilité s'appliquent également à cette Annexe de Traitement des Données et aux dommages en découlant. DIVERS

16.1 Les dispositions des Conditions de Service concernant les modifications, l'accord complet, la divisibilité, la loi applicable et les tribunaux compétents s'appliquent à cette Annexe de Traitement des Données. En cas de divergences ou de contradictions entre cette Annexe de Traitement des Données et les Clauses Contractuelles Standards du Royaume-Uni, le cas échéant, les Clauses Contractuelles Standards du Royaume-Uni prévaudront.

ANNEXE 1 – DÉTAILS DU TRAITEMENT DES DONNÉES

A. LISTE DES PARTIES

1. Exportateur(s) de données:

Nom: Client, tel qu'identifié dans l'Accord et le Bon de Commande pertinent.

Adresse: L'adresse de l'exportateur de données est indiquée dans l'Accord et le Bon de Commande pertinent.

Nom, poste et coordonnées de la personne contact: Les coordonnées de la personne contact pour l'exportateur de données sont définies. dans l'Accord, le Bon de Commande pertinent (et si applicable le portail d'administration du Client).

Activités pertinentes pour les données transférées: Les activités qui sont pertinentes pour les données transférées en vertu de ces Clauses Contractuelles Standards du Royaume-Uni sont décrites ci-dessous dans la Section B « Description du traitement/transfert ». Importateur(s) de données :

Nom : Nitro Software Inc.

Adresse : 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.

Nom, position et coordonnées de la personne de contact : privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.

Activités pertinentes aux données transférées : Les activités pertinentes aux données transférées en vertu de ces Clauses Contractuelles Types du Royaume-Uni sont décrites ci-dessous au paragraphe B “Description du traitement/transfert”.

Signature et date : En signant ou en acceptant le bon de commande pertinent, l'importateur de données sera réputé avoir signé cette Annexe I.

Rôle (responsable/traitant) : Traitant

B. DESCRIPTION DU TRAITEMENT/ TRANSFERT

1. OBJET DU TRAITEMENT DES DONNÉES PERSONNELLES

L'objet est déterminé par le Client tel qu'indiqué dans l'Accord et le Bon de Commande pertinent.

2. LA NATURE ET L'OBJECTIF DU TRAITEMENT DES DONNÉES PERSONNELLES

La nature et l'objectif du traitement sont déterminés par le Client tel qu'indiqué dans l'Accord et le Bon de Commande pertinent.

Par défaut, ce traitement a pour objectif de rendre disponibles les Services, y compris toutes ses fonctionnalités, au Client et à ses Utilisateurs et plus généralement de permettre à Nitro de remplir ses obligations contractuelles en vertu de l'Accord. Cet objectif peut inclure la mise à disposition des Services Cloud (par exemple, mais sans s'y limiter à la mise à disposition du portail cloud client, des services de signature électronique, des services d'analyse, etc.) ainsi que la fourniture de Support.

La nature du traitement comprend, entre autres, les instructions données par le Client dans l'Accord et le Bon de Commande pertinent, la collecte, le stockage, la communication et le transfert des Données Personnelles.

3. DONNÉES PERSONNELLES TRAITÉES

En fonction des fonctionnalités utilisées dans les Services (par exemple, portail d'administration, services de signature électronique, services d'analyse, etc.) et le contenu des Données Client téléchargées par le Client et ses Utilisateurs dans les Services, Nitro traite différents types de Données Personnelles.

En général, les Données Personnelles traitées par Nitro incluent sans limitation :

• Détails d'identification (par exemple, détails d'utilisateur et d'utilisation)
• Données documentaires (par exemple, Données Personnelles incluses dans les documents PDF traités)

Un aperçu détaillé du type de Données Personnelles traitées lors de l'utilisation des Services est disponible via le Centre de Confiance de Nitro : https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

4. DONNÉES SENSIBLES

L'exportateur de données pourrait inclure des Données Personnelles sensibles dans les Données personnelles conformément à la Section 5.3 de cette Annexe de Traitement des Données. Des données sensibles transférées (le cas échéant) et des restrictions ou sauvegardes appliquées qui prennent pleinement en compte la nature des données et les risques encourus, tels que, par exemple, une limitation stricte de l'objectif, des restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), le maintien d'un enregistrement d'accès aux données, des restrictions sur les transferts ultérieurs ou des mesures de sécurité supplémentaires : référence est faite aux TOMs comme listés ou référencés dans les Détails de Traitement des Données ci-dessous.

5. CATÉGORIE DES TITULAIRES DE DONNÉES

Les catégories suivantes de Titulaires de Données sont par défaut dans le champ d'application :

• Tous les Utilisateurs ayant accès aux Services (y compris les utilisateurs administrateurs, les utilisateurs généraux ou les utilisateurs invités tels que les signataires).
• Tous les Titulaires de Données inclus dans les Données Client téléchargées dans les Services par le Client ou ses Utilisateurs.

Le Client confirme que ces Titulaires de Données seront par défaut considérés comme l'une des catégories suivantes :

• Personnel du Client
• Clients du Client
• Prospects du Client
• Fournisseurs du Client

6. SOUS-TRAITANTS

Nitro engage des Sous-traitants pour garantir que toutes les fonctionnalités sont disponibles dans les Services. Les Sous-traitants applicables dépendent de l'utilisation des Services et des fonctionnalités et de la configuration demandée par le Client. Une liste détaillée des Sous-traitants engagés par Nitro (y compris la procédure que nous appliquons lors de l'engagement de nouveaux Sous-traitants) est disponible via notre Centre de Confiance : https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

7. MESURES TECHNIQUES ET ORGANISATIONNELLES (TOMs)

Nitro met en œuvre des mesures techniques et organisationnelles appropriées pour garantir une sécurité adéquate lors de l'utilisation des Services. Nous mettons continuellement à jour ces mesures. Un aperçu détaillé des mesures prises est disponible via notre Centre de Confiance dans notre section Sécurité : https://www.gonitro.com/security-compliance/security et dans notre Politique de Sécurité de l'Information. Notre Centre de Confiance énumère également les certifications que Nitro détient dans la section Conformité : https://www.gonitro.com/security-compliance/compliance.

8. DURÉE DE CONSERVATION

Nitro ne conservera pas les Données Personnelles plus longtemps que nécessaire pour la fourniture des Services. En fonction des Services et des fonctionnalités que vous utilisez en tant que Client, la ou les périodes de conservation applicables peuvent différer. Chaque Client peut demander à Nitro de configurer des périodes de conservation spécifiques sur leur environnement (dans la mesure où cela est techniquement faisable).

En cas de non-configuration de périodes de conservation spécifiques, les Données Personnelles seront par défaut conservées par Nitro jusqu'à leur suppression par le Client ou jusqu'à la résiliation de l'Accord entre Nitro et le Client (plus un maximum de 30 jours), selon la situation qui se présente en premier. Un aperçu détaillé des périodes de conservation est disponible via notre Centre de Confiance : https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

9. FRÉQUENCE DES TRANSFERTS INTERNATIONAUX

De manière continue, au besoin pour fournir les Services au Client.

ANNEXE 2 – CLAUSES CONTRACTUELLES STANDARDS DU ROYAUME-UNI

Annexe de Transfert de Données Internationales aux Clauses Contractuelles Standards de la Commission Européenne

VERSION B1.0, en vigueur le 21 mars 2022

Cette Annexe a été émise par le Commissaire à l'Information pour les Parties effectuant des Transferts Restreints. Le Commissaire à l'information considère qu'il fournit des garanties appropriées pour les transferts restreints lorsqu'il est conclu en tant que contrat juridiquement contraignant.

Partie 1 : Tables

Tableau 1 : Parties

Tableau 2 : SCC sélectionnés, modules et clauses sélectionnées

Tableau 3 : Informations annexes

“Informations annexes” désigne les informations qui doivent être fournies pour les modules sélectionnés tels qu'énoncés dans l'Annexe des SCC UE approuvés (autres que les Parties), et qui pour cet Avenant sont énoncées dans :

Tableau 4 : Fin de cet Avenant lorsque l'Avenant approuvé changes

Partie 1 : Clauses obligatoires

Conclusion de cet Avenant

1. Chaque Partie accepte d'être liée par les termes et conditions énoncés dans cet Avenant, en échange de l'acceptation également par l'autre Partie d'être liée par cet Avenant.
2. Bien que l'Annexe 1A et la Clause 7 des SCC UE approuvés exigent la signature des Parties, pour le but de réaliser des transferts restreints, les Parties peuvent conclure cet Avenant de toute manière qui les rend juridiquement contraignantes et permet aux personnes concernées d'exercer leurs droits tels qu'énoncés dans cet Avenant. L’entrée en vigueur de cet addendum aura le même effet que la signature des clauses types de l'UE approuvées et de toute partie des clauses types de l'UE approuvées.

Interprétation de cet addendum

3. Lorsque cet addendum utilise des termes qui sont définis dans les clauses types de l'UE approuvées, ces termes auront la même signification que dans les clauses types de l'UE approuvées. De plus, les termes suivants ont les significations suivantes :

4. Cette Annexe doit toujours être interprétée d'une manière qui soit conforme aux Lois de Protection des Données du Royaume-Uni et afin de remplir l'obligation des Parties de fournir des Garanties Appropriées.
5. Si les dispositions incluses dans les SCCs UE Approuvés modifient les SCCs Approuvés de toute manière qui n'est pas autorisée sous les SCCs UE Approuvés ou l'Annexe Approuvée, de telles modifications ne seront pas intégrées dans cette Annexe et la disposition équivalente des SCCs UE Approuvés prendra leur place.
6. Si une incohérence ou un conflit entre les Lois de Protection des Données du Royaume-Uni et cette Annexe survient, les Lois de Protection des Données du Royaume-Uni s'appliquent.
7. Si le sens de cette Annexe est flou ou qu'il existe plus d'une signification, la signification qui s'aligne le plus étroitement avec les Lois de Protection des Données du Royaume-Uni s'applique.
8. Toutes les références à la législation (ou à des dispositions spécifiques de la législation) signifient cette législation (ou cette disposition spécifique) tel qu'elle peut évoluer dans le temps. Cela inclut lorsque cette législation (ou disposition spécifique) a été consolidée, rééditée et/ou remplacée après la conclusion de cet addendum.

Hiérarchie

9. Bien que la clause 5 des clauses types de l'UE approuvées indique que celles-ci prévalent sur tous les accords connexes entre les parties, les parties conviennent que, pour les transferts restreints, la hiérarchie de la section 10 prévaudra.
10. Lorsqu'il y a une incohérence ou un conflit entre l'ajout approuvé et les clauses types de l'UE (le cas échéant), l'ajout approuvé remplace les clauses types de l'UE, sauf lorsque (et dans la mesure où) les termes incohérents ou conflictuels des clauses types de l'UE offrent une plus grande protection aux personnes concernées, auquel cas ces termes prévaudront sur l'ajout approuvé.
11. Lorsque cet addendum incorpore des clauses types de l'UE qui ont été établies pour protéger des transferts soumis au règlement général sur la protection des données (UE) 2016/679, les parties reconnaissent qu'aucune disposition de cet addendum n'impacte ces clauses types de l'UE.

Incorporation et modifications des clauses types de l'UE

12. Cet addendum intègre les clauses types de l'UE qui sont amendées dans la mesure nécessaire pour que :
    1. elles fonctionnent ensemble pour les transferts de données effectués par l'exportateur de données vers l'importateur de données, dans la mesure où les lois de protection des données du Royaume-Uni s'appliquent au traitement de l'exportateur de données lors de la réalisation de ce transfert, et elles fournissent des mesures de protection appropriées pour ces transferts de données ;
    2. Les sections 9 à 11 remplacent la clause 5 (hiérarchie) de l'ajout des clauses types de l'UE ; et
    3. cet ajout (y compris les clauses types de l'UE qui y sont intégrées) est (1) régi par les lois de l'Angleterre et du pays de Galles et (2) tout litige en découlant est résolu par les tribunaux de l'Angleterre et du pays de Galles, sauf si les lois et/ou les tribunaux de l'Écosse ou d'Irlande du Nord ont été expressément sélectionnés par les parties.
13. Sauf si les parties sont convenues d’amendements alternatifs qui répondent aux exigences de la section 12, les dispositions de la section 15 s'appliquent.
14. Aucun amendement aux clauses types de l'UE approuvées, à l'exception de ceux nécessaires pour répondre aux exigences de la section 12, ne peut être effectué.
15. Les modifications suivantes aux clauses types de l'UE (dans le cadre de la section 12) sont apportées :
    1. Les références aux “Clauses” signifient cet ajout, intégrant les clauses types de l'UE ;
    2. Dans la clause 2, supprimer les mots :
       “et, en ce qui concerne les transferts de données des responsables de traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, de clauses contractuelles types conformément à l'article 28(7) du règlement (UE) 2016/679”;
    3. La clause 6 (Description du ou des transfert(s)) est remplacée par :
       “Les détails du ou des transfert(s) et notamment les catégories de données personnelles transférées et le(s) but(s) pour lequel(s) elles sont transférées) sont ceux spécifiés dans l'annexe I.B lorsque les lois de protection des données britanniques s'appliquent au traitement de l'exportateur de données lors de la réalisation de ce transfert.”;
    4. La clause 8.7(i) du module 1 est remplacée par :
       “il se trouve dans un pays bénéficiant de réglementations d'adéquation conformément à la section 17A du RGPD britannique qui couvre le transfert ultérieur”;
    5. La clause 8.8(i) des modules 2 et 3 est remplacée par :
       “le transfert ultérieur se fait vers un pays bénéficiant de réglementations d'adéquation conformément à la section 17A du RGPD britannique qui couvre le transfert ultérieur ;”
    6. Les références au “Règlement (UE) 2016/679”, “Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de telles données (Règlement général sur la protection des données)” et “ce règlement” sont toutes remplacées par “les lois de protection des données du Royaume-Uni”. Les références aux articles spécifiques du “Règlement (UE) 2016/679” sont remplacées par l'article ou la section équivalent des lois de protection des données du Royaume-Uni ;
    7. Les références au règlement (UE) 2018/1725 sont supprimées ;
    8. Les références à l'“Union européenne”, “Union”, “UE”, “État membre de l'UE”, “État membre” et “UE ou État membre” sont toutes remplacées par le “Royaume-Uni” ;
    9. La référence à “Clause 12(c)(i)” à la clause 10(b)(i) du module 1 est remplacée par “Clause 11(c)(i)” ;
    10. La clause 13(a) et la partie C de l'annexe I ne sont pas utilisées ;
    11. L'“autorité de contrôle compétente” et “l'autorité de contrôle” sont toutes deux remplacées par le “Commissaire à l’information” ;
    12. Dans la clause 16(e), le sous-article (i) est remplacé par :
        “le secrétaire d'État édite des règlements conformément à la section 17A de la loi sur la protection des données de 2018 qui couvrent le transfert de données personnelles auquel ces clauses s'appliquent ;”;
    13. La clause 17 est remplacée par :
        “Ces clauses sont régies par les lois de l'Angleterre et du pays de Galles.”;
    14. La clause 18 est remplacée par :
        “Tout litige résultant de ces clauses sera résolu par les tribunaux de l'Angleterre et du pays de Galles. Une personne concernée peut également engager des poursuites judiciaires contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de tout pays du Royaume-Uni. Les parties acceptent de se soumettre à la juridiction de ces tribunaux.” ; et
    15. Les notes de bas de page relatives aux clauses types de l'UE approuvées ne font pas partie de l’addendum, à l'exception des notes de bas de page 8, 9, 10 et 11.

Modifications de cet addendum

16. Les parties peuvent convenir de modifier les clauses 17 et/ou 18 des clauses types de l'UE pour faire référence aux lois et/ou aux tribunaux de l'Écosse ou d'Irlande du Nord.
17. Si les parties souhaitent modifier le format des informations incluses dans la partie 1 : tableaux de l'addendum approuvé, elles peuvent le faire en convenant du changement par écrit, à condition que le changement ne réduise pas les mesures de protection appropriées.
18. Le CIC peut de temps à autre publier un addendum approuvé révisé qui :
    1. apporte des modifications raisonnables et proportionnées à l'addendum approuvé, y compris la correction des erreurs dans l’addendum approuvé ; et/ou
    2. reflète les modifications des lois de protection des données britanniques ;
       L'addendum révisé spécifiera la date à partir de laquelle les modifications apportées à l'addendum approuvé prennent effet et si les parties doivent examiner cet addendum, y compris les informations de l'annexe. Cet Avenant est automatiquement modifié comme indiqué dans l'Avenant approuvé révisé à compter de la date de début spécifiée.
19. Si l'ICO émet un Avenant approuvé révisé en vertu de la section 18, si une Partie sélectionnée dans le Tableau 4 “Fin de l'Avenant lorsque l'Avenant approuvé change”, subira en raison des modifications apportées à l'Avenant approuvé une augmentation substantielle, disproportionnée et démontrable de : ses
    1. coûts directs pour l'exécution de ses obligations en vertu de l'Avenant ; et/ou
    2. son risque en vertu de l'Avenant,
       
       et dans les deux cas, elle a d'abord pris des mesures raisonnables pour réduire ces coûts ou risques afin de ne pas les rendre substantiels et disproportionnés, alors cette Partie peut mettre fin à cet Avenant à la fin d'un délai de préavis raisonnable, en fournissant un préavis écrit pour cette période à l'autre Partie avant la date de début de l'Avenant approuvé révisé.
       
       
20. Les Parties n’ont pas besoin du consentement d’un tiers pour apporter des modifications à cet Avenant, mais les modifications doivent être apportées conformément à ses termes.