Conditions et politiques

Entrée en vigueur : 18 septembre 2025

Pour les Vendeurs de logiciels indépendants (« ISV » ou « Processeur »)

CE ADDENDUM DE TRAITEMENT DES DONNÉES S'APPLIQUE SI VOUS VOUS ÊTES INSCRIT POUR FOURNIR DES SERVICES NITRO EN TANT QU'ISV EN VIRTUDE D'UN CONTRAT DE VENDEUR DE LOGICIEL INDÉPENDANT (TEL QUE DÉFINI À LA SECTION 2 CI-DESSOUS).

1. CHAMP D'APPLICATION ; RÔLES DES PARTIES

Nitro recevra et traitera les Données Personnelles pour le compte de l'ISV lors de la fourniture des Services, conformément aux instructions et aux objectifs définis dans les Détails du traitement des données. Par le biais de cet Addendum de traitement des données, les Parties souhaitent établir leurs accords spécifiques concernant le traitement des Données Personnelles dans le cadre de l'Accord.

Par défaut, Nitro agira en tant que Sous-Processeur et l'ISV agira en tant que Processeur en ce qui concerne les Services fournis par Nitro à l'ISV. Nitro reconnaît que l'ISV agit pour le compte du Responsable du traitement pour le traitement des données personnelles. Cet Addendum de traitement des données remplace et annule tous les accords précédents conclus (le cas échéant) en ce qui concerne le traitement des données personnelles et la protection des données entre les Parties relatives aux services offerts par Nitro en vertu de l'Accord.

Ce présent Addendum de traitement des données complète et fait partie de l'Accord, et ensemble, l'Accord et cet Addendum de traitement des données constituent un seul accord juridique entre les Parties. En cas de divergences ou de contradictions entre cet Addendum de traitement des données et l'Accord, l'Addendum de traitement des données prévaudra.

2. DÉFINITIONS

« Accord » désigne le Contrat de Vendeur de Logiciel Indépendant, tous les Annexes qui y sont jointes, le(s) Formulaire(s) de Commande ISV Nitro et toutes les informations intégrées par référence ici depuis le Portail des Partenaires Nitro (le cas échéant); 

« Annexe » désigne toute annexe au présent Addendum de traitement des données;

« Responsable du traitement » désigne le client du Processeur (qui est considéré comme le Client Final par rapport à l'Accord) à qui le Processeur (c'est-à-dire l'ISV) fournit la Solution Intégrée (qui comprend les Services fournis par Nitro au Processeur);

« Détails du traitement des données » désignent l'Annexe 1 du présent Addendum de traitement des données qui inclut plus de détails sur les instructions du Responsable du traitement concernant le traitement des Données Personnelles, transmises par le Processeur à Nitro, telles que le but, l'objet et la nature du traitement et le type de Données Personnelles traitées;

« RGPD de l'UE » désigne le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données);

« Liste des Sous-processeurs Nitro » désigne la liste des sous-processeurs Nitro mise à disposition en ligne par Nitro qui comprend les sous-processeurs Nitro engagés par Nitro pour la fourniture des Services et le respect des obligations de Nitro en vertu de l'Accord en général. Nitro peut mettre à jour la Liste des Sous-processeurs de temps à autre conformément au processus décrit dans cet Addendum de traitement des données;

« Sous-processeur Nitro » désigne tout tiers Processeur engagé par Nitro pour le traitement des Données Personnelles liées à la fourniture des Services au Processeur;

« Données Personnelles » désignent les données personnelles telles que définies par le RGPD de l'UE que Nitro traite pour le compte du Processeur lors de la fourniture des Services conformément aux instructions et à l'objectif définis dans les Détails du traitement des données;

« Processeur » désigne l'ISV identifié dans l'Accord et/ou le Formulaire de Commande ISV Nitro correspondant;

« Sous-Processeur » désigne Nitro Software Belgium NV, fournisseur de Services au Processeur;

Tous les autres termes et définitions écrits avec des lettres capitales et qui ne sont pas expressément définis dans le présent Addendum de traitement des données, sont définis comme indiqué dans la réglementation applicable en matière de protection des données ou l'Accord.

3. OBJECTIF DE CE ADDENDUM DE TRAITEMENT DES DONNÉES

3.1  Cet Addendum de traitement des données détermine les conditions du traitement par Nitro des Données Personnelles pour le compte du Processeur dans le cadre de l'Accord. La nature et l'objectif du traitement, une liste et le type de Données Personnelles ainsi que les catégories des Sujets de Données sont énumérés dans les Détails du traitement des données (Annexe 1).

3.2  Le traitement aura lieu pour le compte du Processeur qui agit au nom du Responsable du traitement et aux fins définies dans les Détails du traitement des données. Nitro informera immédiatement le Processeur si, à son avis, une instruction enfreint la législation (sur la protection des données) applicable. Nitro ne traitera les Données Personnelles que selon les instructions documentées du Responsable du traitement, transmises à Nitro par le Processeur, comme indiqué dans cet Addendum de traitement des données et ne les utilisera pas à ses propres fins, sauf si cela est explicitement autorisé dans les Conditions de service. Si Nitro est légalement obligé de procéder à un traitement quelconque des Données Personnelles, Nitro, à moins que cela ne viole des règles obligatoires applicables, informera le Processeur de cette obligation. Le Processeur peut transmettre ces informations au Responsable du traitement.

3.3  Le Processeur garantit que cet Addendum de traitement des données reflète les arrangements entre le Processeur et le Responsable du traitement et le Processeur garantit également de manière continue que le Responsable du traitement a autorisé l'engagement du Processeur par Nitro en tant que Sous-Processeur et l'engagement des sous-processeurs Nitro par Nitro comme décrit à la Section 10.

4.  DURÉE

4.1  Cet Addendum de traitement des données est applicable à tout traitement des Données Personnelles exécuté dans le cadre de la fourniture des Services au Processeur par Nitro et s'applique tant que Nitro traite les Données Personnelles pour le compte du Processeur dans le cadre de l'Accord. Cet Addendum de traitement des données complète l'Accord et vise à garantir la conformité des Parties aux exigences imposées par les lois et règlements applicables en matière de protection des données.

4.2  Cet Addendum de traitement des données prend fin automatiquement à la résiliation de l'Accord (ou au moment où le traitement par Nitro est résilié). Les dispositions de cet Addendum de traitement des données qui sont soit expressément, soit implicitement (compte tenu de leur nature) destinées à avoir effet après la résiliation de l'Addendum de traitement des données, resteront en vigueur après la fin de l'Accord en ce qui concerne les Données Personnelles traitées pour le compte du Processeur dans le cadre de l'Accord.

5. MESURES TECHNIQUES ET ORGANISATIONNELLES

5.1  Nitro offre des garanties adéquates en ce qui concerne la mise en œuvre de mesures techniques et organisationnelles appropriées (« TOMs ») pour garantir un traitement sécurisé des Données Personnelles et ainsi assurer la protection des droits des Sujets de Données. Les TOMs mises en œuvre par Nitro sont décrites dans les Détails du traitement des données. Les TOMs peuvent être mises à jour par Nitro de temps en temps, néanmoins Nitro veillera à ne pas dégrader la sécurité globale mise en œuvre au moment de l'exécution de l'Addendum sur le Traitement des Données. Le Processeur reconnaît que les TOMs fournissent un niveau de sécurité adéquat approprié au risque du traitement des Données Personnelles pour le compte du Processeur au moment de la signature ou de l'acceptation de cet Addendum de traitement des données.

5.2  Nitro prendra toutes les mesures techniques et organisationnelles appropriées comme mentionné à l'article 32 du RGPD de l'UE pour garantir un niveau de sécurité adéquat approprié au risque.

5.3  Si Nitro était tenu de traiter des Données Personnelles sensibles telles que mentionnées dans les articles 9 et 10 du RGPD de l'UE dans le cadre de l'Accord, le Processeur en informera Nitro par écrit à l'adresse privacy@gonitro.com.

5.4  En cas où le Processeur (ou le Responsable du traitement) demande des mesures techniques et organisationnelles spécifiques à mettre en œuvre par Nitro (que Nitro n'a pas mises en œuvre par défaut), le Processeur remboursera Nitro pour la mise en œuvre de ces mesures supplémentaires conformément à la Section 14 « Coûts » de cet Addendum de traitement des données.

5.5  L'adhésion de Nitro à un code de conduite approuvé comme mentionné à l'article 40 du RGPD de l'UE, ou un mécanisme de certification approuvé comme mentionné à l'article 42 du RGPD de l'UE peut être utilisé comme élément de preuve de garanties suffisantes telles que mentionnées dans le RGPD de l'UE.

6. CONSERVATION

6.1  Nitro ne gardera pas les Données Personnelles plus longtemps que nécessaire pour le traitement de ces Données Personnelles dans le cadre de l'Accord. Le Responsable du traitement ne demandera pas à Nitro de stocker des données personnelles plus longtemps que nécessaire. La période de conservation applicable est énoncée dans les Détails du traitement des données.

6.2  Selon le choix du Processeur, Nitro supprimera ou renverra toutes les Données Personnelles au Processeur après la fin de la fourniture des Services et supprimera les copies existantes, sauf si la législation de l'Union ou d'un État membre exige le stockage des Données Personnelles, qui peuvent ensuite être transmises au Responsable du traitement par le Processeur. Le Processeur reconnaît que les Services peuvent inclure des fonctionnalités de téléchargement mises à la disposition du Responsable du traitement pour permettre au Responsable du traitement de télécharger ses données. Dans la mesure où ces fonctionnalités sont disponibles, le Processeur s'assurera que le Responsable du traitement utilise ces fonctionnalités pour extraire ou supprimer ses données.

7. CONFIDENTIALITÉ

7.1  Les Parties ont convenu d'une clause de confidentialité dans l'Accord qui s'applique au traitement des Données Personnelles dans le cadre de l'Accord.

7.2  Nitro reconnaît et accepte que seuls les employés, contractants ou agents de Nitro impliqués dans le traitement des Données Personnelles peuvent être informés des Données Personnelles et uniquement dans la mesure raisonnablement nécessaire à l'exécution de l'Accord. Nitro s'assure que les personnes autorisées à traiter les Données Personnelles sont tenues à la confidentialité par contrat ou sont sous une obligation légale de confidentialité appropriée.

8. DROITS DES SUJETS DE DONNÉES

8.1  Tenant compte de la nature du traitement, Nitro mettra en œuvre tous les efforts raisonnables, en prenant les mesures techniques et organisationnelles appropriées, pour aider le Responsable du traitement, à la demande du Processeur, dans l'exercice de l'obligation du Responsable du traitement de répondre aux demandes des Sujets de Données.

8.2  Pour toute assistance fournie par Nitro dans le cadre du traitement de ces demandes des Sujets de Données, le Processeur remboursera Nitro conformément à la Section 14 « Coûts » de cet Addendum de traitement des données. Ce remboursement par le Processeur ne s'appliquera pas (i) si le Sujet de Données invoque ses droits à cause d'une violation de Données Personnelles prouvée attribuable à Nitro ou (ii) si une telle assistance par Nitro ne dépasse pas quatre (4) heures de travail pendant la durée de l'Accord.

9. OBLIGATION D'INFORMER

9.1  Dès qu'elle prend connaissance d'une violation de Données Personnelles, Nitro doit en informer le Processeur sans délai excessif en contactant la personne de contact indiquée dans l'Accord (ou alternativement via l'adresse e-mail de notification du Processeur incluse dans le Formulaire de Commande ISV Nitro ou l'adresse e-mail que le Processeur a partagée dans le Portail des Partenaires Nitro). La personne de contact de Nitro pour toute question liée à la protection des données peut être contactée par e-mail : privacy@gonitro.com.

9.2. À la demande du Processeur, Nitro informera le Processeur de tout nouvel événement concernant une violation de Données Personnelles et des mesures prises pour en limiter les conséquences et prévenir la répétition d'une telle violation de Données Personnelles. Il incombe au Processeur de transmettre les informations reçues de Nitro au Responsable du traitement pour permettre au Responsable du traitement de respecter son obligation de rapporter toute violation de Données Personnelles à l'Autorité de Protection des Données ou aux Sujets de Données, comme requis.

10. SOUS-TRAITANCE

10.1  Le Processeur garantit que Nitro est expressément autorisé à engager des sous-processeurs Nitro pour le traitement des Données Personnelles pour l'exécution de l'Accord et pour faciliter la fourniture des Services de manière générale. À cette fin, le Responsable du traitement accorde une autorisation écrite générale à Nitro de décider avec quels (sous-traitants Nitro) Nitro collabore pour le respect de ses obligations en vertu de l'Accord. Nitro publie une Liste de Sous-processeurs Nitro se référant aux sous-processeurs Nitro.

10.2  Nitro informera le Processeur de tout changement prévu concernant l'ajout ou le remplacement des sous-processeurs Nitro via la personne de contact du Processeur indiquée dans l'Accord (ou alternativement via l'adresse e-mail de notification du Processeur incluse dans le Formulaire de Commande ISV Nitro ou l'adresse e-mail que le Processeur a partagée dans le Portail des Partenaires Nitro). Le Processeur aura le droit de s'opposer à l'ajout ou au remplacement en s'adressant à Nitro par écrit, où le Responsable du traitement s'opposerait à un tel ajout ou remplacement. Les Parties discuteront dans ce cas de l'ajout, du remplacement ou de l'alternative de bonne foi et dès que raisonnablement possible après la notification écrite d'opposition du Processeur.

10.3  Lorsque Nitro engage un sous-processeur Nitro pour effectuer des activités de traitement spécifiques, les mêmes obligations de protection des données ou des obligations similaires telles que mentionnées dans cet Addendum de traitement des données seront imposées à ce sous-processeur Nitro par le biais d'un accord écrit, prévoyant notamment des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées (et se conformant aux mesures techniques et organisationnelles pertinentes). Lorsqu'un sous-processeur Nitro ne remplit pas ses obligations en matière de protection des données, Nitro demeure pleinement responsable envers le Processeur pour l'exécution des obligations de ce sous-processeur Nitro.

11. TRANSFERTS INTERNATIONAUX DE DONNÉES

11.1  Le Processeur autorise les transferts internationaux de Données Personnelles dans le but de fournir les Services. Ces transferts internationaux de données sont considérés comme une instruction du Responsable du traitement, transmise à Nitro par le Processeur. Le Processeur reconnaît que les sous-processeurs Nitro autorisés en vertu de la Section 10 peuvent également traiter des Données Personnelles dans des pays tiers. Le Processeur permet de tels transferts, sous réserve que Nitro prenne toutes les mesures nécessaires pour garantir que ces transferts se conforment aux dispositions du Chapitre V du RGPD de l'UE et aux autres lois sur la protection des données applicables.

11.2  Si le transfert de Données Personnelles vers un pays tiers ou une organisation internationale est obligatoire en vertu de la législation applicable de l'UE ou d'un État membre auquel Nitro est soumis, Nitro sera autorisé à effectuer ce transfert et informera le Processeur de cette exigence légale avant un tel Traitement, sauf si cette loi interdit cette information pour des raisons importantes d'intérêt public. Le Processeur peut transmettre ces informations au Responsable du traitement.

12. ÉVALUATION IMPACT SUR LA PROTECTION DES DONNÉES ET CONSULTATION PRÉALABLE

12.1  Si le Responsable du traitement effectue une Évaluation d'Impact sur la Protection des Données (« DPIA ») (article 35 du RGPD de l'UE) ou une consultation préalable (article 36 du RGPD de l'UE) liée au traitement des Données Personnelles dans le cadre de l'exécution de l'Accord, Nitro, à la demande écrite du Processeur, assistera raisonnablement le Responsable du traitement. Le Processeur remboursera Nitro pour l'assistance fournie conformément à la Section 14 « Coûts » de cet Addendum de traitement des données. Ce remboursement des coûts ne s'appliquera pas si (i) l'assistance demandée à Nitro est inférieure à quatre (4) heures de travail durant la durée de l'Accord, ou (ii) si l'Évaluation d'Impact sur la Protection des Données ou la consultation préalable est déclenchée par une violation de Données Personnelles prouvée attribuable à Nitro.

13. DROIT D'AUDIT

13.1  À la demande du Processeur, Nitro devra permettre des audits par le Processeur concernant le respect par Nitro de ses obligations en vertu de cet Addendum de traitement des données et la législation applicable en matière de protection des données. Nitro s'efforcera raisonnablement de coopérer avec de tels audits et de mettre à disposition toutes les informations nécessaires pour prouver sa conformité à ses obligations. Le Processeur doit notifier Nitro de cet audit au moins un (1) mois avant la date à laquelle l'audit sera effectué, par un avis écrit à Nitro à l'adresse privacy@gonitro.com.

13.2  En cas de réalisation d'un audit, toutes les parties concernées devront d'abord signer un accord de confidentialité spécifique émis par Nitro concernant cet audit et les résultats de l'audit avant le début de l'audit. Lors de l'exécution de tout audit, les obligations de confidentialité des Parties à l'égard des tiers doivent être prises en compte. Les Parties et leurs réviseurs doivent garder secrètes les informations recueillies lors d'un audit et les utiliser exclusivement pour vérifier leur conformité à cet Addendum de traitement des données et aux lois et réglementations applicables en matière de protection des données. Le Responsable du traitement a la possibilité de réaliser l'audit lui-même ou de désigner un auditeur indépendant, mais cet auditeur indépendant doit dument signer l'accord de non-divulgation mentionné dans cette section. Le Responsable du traitement a les mêmes droits d'audit que le Processeur dans le cadre de cette Clause.

13.3  Les deux Parties et, le cas échéant, leurs représentants, devront raisonnablement coopérer, sur demande, avec l'Autorité de Protection des Données dans l'exécution de ses tâches.

13.4  Le Processeur remboursera Nitro pour l'assistance fournie par Nitro en relation avec l'audit(e) conformément à la Section 14 « Coûts » de cet Addendum de traitement des données. Il étant entendu que, ce remboursement ne s'appliquera pas si (i) l'audit est le résultat d'une violation de Données Personnelles prouvée attribuable à Nitro ou (ii) si l'assistance de Nitro ne dépasse pas quatre (4) heures de travail durant la durée de l'Accord.

14. COÛTS

14.1  L'assistance à fournir en vertu de cet Addendum de traitement des données pour laquelle Nitro peut facturer le Processeur sera facturée sur la base des heures travaillées et des taux horaires standard applicables de Nitro (195 EUR/heure hors taxes). Nitro facturera ces montants sur une base mensuelle mais a également le droit de demander un acompte. Le paiement par le Processeur à Nitro pour l'assistance et les services professionnels fournis par Nitro en vertu de cet Addendum de traitement des données s'effectuera conformément aux dispositions de l'Accord. DIVERSES

ANNEXE 1 – DÉTAILS DU TRAITEMENT DES DONNÉES

1. OBJET DU TRAITEMENT DES DONNÉES PERSONNELLES

L'objet est déterminé par le Processeur comme énoncé dans l'Accord (et/ou le Formulaire de Commande ISV Nitro pertinent).

2. LA NATURE ET L'OBJECTIF DU TRAITEMENT DES DONNÉES PERSONNELLES

La nature et les objectifs du traitement sont déterminés par le Responsable du traitement comme stipulé dans l'Accord (et/ou le bon de commande Nitro ISV pertinent).

Par défaut, ce traitement a pour but de rendre disponibles les Services y compris toutes ses fonctionnalités et caractéristiques pour le Responsable du traitement (qui les mettra à disposition du Contrôleur) et plus généralement de permettre à Nitro de remplir ses obligations contractuelles en vertu de l'Accord. Cet objectif peut consister à rendre disponibles les Services via des intégrations (API) (par exemple, mais sans limitation, rendre disponibles les services de signature électronique pour les clients, ou les services d'identification etc.) ainsi que la fourniture de Support.

La nature du traitement doit, parmi d'autres instructions données par le Responsable du traitement dans l 'Accord (et/ou le bon de commande Nitro ISV pertinent), inclure le traitement, la collecte, le stockage, la communication et le transfert de Données Personnelles.

3. DONNÉES PERSONNELLES TRAITÉES

Selon les fonctionnalités utilisées au sein des Services (par exemple, méthodes de signature, moyens d'identification, pistes de vérification, etc.), Nitro traite différentes catégories de Données Personnelles. En général, la catégorie de Données Personnelles traitées par Nitro lors de l'utilisation des Services inclura différents types de données d'identification, de contact et de localisation de tous les utilisateurs et signataires ayant accès aux Services via le Contrôleur. A detailed overview of the kind of Personal Data being processed when using the Services is available via our Trust Center: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data.

For Nitro Sign Enterprise Verified only and in addition to the above: depending on the documents uploaded for signing, additional categories of Personal Data will be processed based upon the content of such documents and these may include identification details, personal characteristics, physical characteristics, living habits or characteristics, consumption habits, location data, images, financial details, professional data, data on education, data relating to nationality, data relating to health, sexual orientation, religion or belief, political preferences, memberships of trade unions, genetic data, national register numbers, biometric data, credit scoring.

4. CATEGORY OF DATA SUBJECTS

The following Data Subjects are by default in scope:

 All users (initiators, approvers, signers, receivers, persons to be identified, etc.) having access to the Services via the Controller.
 All Data Subjects whose Personal Data is included in the documents uploaded for signing (Nitro Sign Enterprise Verified only).

The Processor confirms those Data Subjects will by default be considered one of the following categories:

 Users of the Services,
 Processor's customers.

5.  NITRO SUB-PROCESSORS

Nitro engages Nitro sub-processors for ensuring all functionalities are available within the Services. Les sous-traitants de Nitro applicables dépendent des fonctionnalités et de la configuration demandées par le Responsable du traitement ou le Contrôleur. Une liste détaillée des sous-traitants de Nitro engagés par Nitro (y compris la procédure que nous appliquons lors de l'engagement de nouveaux sous-traitants Nitro) est disponible via notre Centre de confiance : https://www.gonitro.com/trust-center/data-protection/subprocessors-and-subcontractors.

6.  MESURES TECHNIQUES ET ORGANISATIONNELLES

Nitro met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité adéquate lors de l'utilisation des Services. Nous mettons continuellement à jour ces mesures. Un aperçu détaillé des mesures prises est disponible via notre Centre de confiance dans notre section Sécurité : https://www.gonitro.com/security-compliance/security et dans notre Politique de Sécurité de l'Information. Our Trust Center also lists the certifications Nitro holds in the Compliance section: https://www.gonitro.com/security-compliance/compliance

7.  RETENTION PERIOD

Nitro Sign Enterprise Verified: Nitro will not store Personal Data any longer than necessary for the provisioning of the Services. En fonction des Services et des fonctionnalités utilisées par le Responsable du traitement ou le Sous-traitant, la(s) période(s) de conservation applicable(s) peuvent différer. The Processor, acting on behalf of the Controller, can request Nitro to configure specific retention periods on their Nitro Sign Enterprise Verified environment (e.g. auto-deletion). De plus, le Service comprend des fonctionnalités permettant la suppression de documents signés à tout moment (par exemple, manuellement ou via un appel API). Dans le cas où aucune période de conservation spécifique n'a été configurée, les Données Personnelles seront par défaut stockées par Nitro jusqu'à leur suppression par le Responsable du traitement ou le Contrôleur ou jusqu'à la résiliation de l'accord entre Nitro et le Responsable du traitement (plus un maximum de 30 jours), selon le cas de figure qui se produira le premier. Un aperçu détaillé des périodes de conservation est disponible via notre Centre de confiance : https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data.

Services d'identité Nitro : Nitro ne conservera pas les Données Personnelles plus longtemps que nécessaire pour la fourniture des Services. Selon les Services et les fonctionnalités que vous utilisez en tant que Client, les périodes de conservation applicables peuvent varier. Les Données Personnelles seront par défaut stockées par Nitro jusqu'à (i) la suppression de la session ou (ii) jusqu'à ce que le processus de suppression automatique commence (la durée par défaut est fixée à 15 minutes).