Conditions et politiques

Entrée en vigueur : 18 septembre 2025

POUR LES FOURNISSEURS DE LOGICIELS INDÉPENDANTS (« ISV » ou « Processeur »)

 CETTE ANNEXE SUR LE TRAITEMENT DES DONNÉES S'APPLIQUE SI VOUS VOUS ÊTES INSCRIT POUR FOURNIR DES SERVICES NITRO EN TANT QU'ISV EN VERTU D'UN CONTRAT DE FOURNISSEUR DE LOGICIELS INDÉPENDANTS (TEL QUE DÉFINI À LA SECTION 2 CI-DESSOUS) ET QUE LE RGPD DE L'UE S'APPLIQUE AU TRAITEMENT DES DONNÉES PERSONNELLES DANS LE CADRE DU CONTRAT.

1. PORTÉE ; RÔLES DES PARTIES

Nitro recevra et traitera les données personnelles pour le compte de l'ISV lors de la fourniture des services, conformément aux instructions et aux objectifs définis dans les Détails de traitement des données. Par le biais de cet Addendum de traitement des données, les Parties souhaitent établir leurs accords spécifiques concernant le traitement des Données Personnelles dans le cadre de l'Accord.

Par défaut, Nitro agira en tant que Sous-Processeur et l'ISV agira en tant que Processeur en ce qui concerne les Services fournis par Nitro à l'ISV. Nitro reconnaît que l'ISV agit pour le compte du Responsable du traitement pour le traitement des données personnelles. Cet Addendum de traitement des données remplace et annule tous les accords précédents conclus (le cas échéant) en ce qui concerne le traitement des données personnelles et la protection des données entre les Parties relatives aux services offerts par Nitro en vertu de l'Accord.

Ce présent Addendum de traitement des données complète et fait partie de l'Accord, et ensemble, l'Accord et cet Addendum de traitement des données constituent un seul accord juridique entre les Parties. En cas de divergences ou de contradictions entre cette annexe sur le traitement des données et le contrat, l'annexe sur le traitement des données prévaudra.

2. DÉFINITIONS

« Contrat » désigne le contrat de fournisseur de logiciels indépendants, tous les annexes y étant attachées, le(s) bon(s) de commande ISV Nitro et toutes les informations incorporées par référence dans les présentes en provenance du portail des partenaires Nitro (le cas échéant) ;

« Annexe » désigne toute annexe de la présente annexe sur le traitement des données ;

« Responsable du traitement » désigne le client du Processeur (qui est considéré comme le Client final en relation avec le Contrat) auquel le Processeur (c'est-à-dire l'ISV) fournit la Solution intégrée (qui comprend les Services fournis par Nitro au Processeur);

« Détails du traitement des données » désigne l'annexe 1 de la présente annexe sur le traitement des données qui inclut plus de détails sur les instructions du Responsable du traitement concernant le traitement des Données personnelles, transmises par le Processeur à Nitro, telles que l'objectif, l'objet et la nature du traitement et le type de Données personnelles traitées ;

« RGPD de l'UE » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de telles données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données) ;

« Clauses contractuelles types de l'UE » ou « CCT » désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers adoptées par la Commission européenne dans le cadre de la Décision d'exécution de la Commission (UE) 2021/914 du 4 juin 2021, y compris les CCT Processeur à Processeur et le texte du Module 3 de ces clauses contractuelles types et non pas tout autre module et n'incluant aucune clause marquée comme optionnelle dans les clauses, tel que modifié ou remplacé de temps à autre par une autorité compétente en vertu des lois sur la protection des données concernées. Lorsque le Parlement européen et le Conseil adoptent un ensemble mis à jour de clauses contractuelles types de l'UE, « Clauses contractuelles types de l'UE » sera pris pour signifier l'adaptation la plus récente ;

« Liste des sous-traitants Nitro » se réfère à la liste des sous-traitants Nitro mise à disposition en ligne par Nitro qui inclut les sous-traitants Nitro engagés par Nitro pour la fourniture des Services et le respect des obligations de Nitro en vertu du Contrat en général. Nitro peut mettre à jour la Liste des sous-traitants Nitro de temps à autre selon le processus décrit dans cette annexe sur le traitement des données ;

« Sous-traitant Nitro » désigne tout tiers processeur engagé par Nitro pour le traitement des Données personnelles liées à la fourniture des Services au Processeur ;

« Données personnelles » désigne les données personnelles telles que définies en vertu du RGPD de l'UE que Nitro traite pour le compte du Processeur lors de la fourniture des Services conformément aux instructions et aux objectifs définis dans les Détails du traitement des données ;

« CCT Processeur à Processeur » désigne le Module 3 des Clauses contractuelles types de l'UE ;

« Processeur » désigne l'ISV tel qu'identifié dans le Contrat et/ou le bon de commande ISV Nitro correspondant ;

« Sous-traitant » désigne Nitro Software Inc., fournisseur des Services au Processeur.

Tous les autres termes et définitions écrits avec des lettres majuscules et qui ne sont pas expressément définis dans cette annexe sur le traitement des données, sont définis comme indiqué dans la législation applicable sur la protection des données ou le Contrat.

3. OBJET DE LA PRÉSENTE ANNEXE SUR LE TRAITEMENT DES DONNÉES

3.1  La présente annexe sur le traitement des données détermine les conditions du traitement par Nitro des Données personnelles pour le compte du Processeur dans le cadre du Contrat. La nature et l'objectif du traitement, une liste et le type de Données personnelles ainsi que les catégories des Sujets de données sont énumérés dans les Détails du traitement des données (Annexe 1).

3.2  Le traitement aura lieu pour le compte du Processeur qui agit pour le compte du Responsable du traitement et pour les objectifs définis dans les Détails du traitement des données. Nitro informera immédiatement le Processeur si, à son avis, une instruction enfreint la législation applicable (en matière de protection des données). Nitro ne traitera les Données personnelles que conformément aux instructions documentées du Responsable du traitement, transmises à Nitro par le Processeur, telles que définies dans cette annexe sur le traitement des données et ne utilisera pas ces Données personnelles à des fins propres, sauf si cela est explicitement autorisé dans les Conditions de service. Si Nitro est légalement tenu de procéder à un traitement de Données personnelles, Nitro informera, sauf si cela contrevient à des règles impératives applicables, le Processeur de cette obligation. Le Processeur peut transmettre cette information au Responsable du traitement.

3.3  Le Processeur garantit que cette annexe sur le traitement des données reflète les arrangements entre le Processeur et le Responsable du traitement et le Processeur garantit également de manière continue que le Responsable du traitement a autorisé l'engagement du Processeur de Nitro en tant que Sous-traitant et l'engagement par Nitro des sous-traitants Nitro comme décrit à la section 10.

4. DURÉE

5. MESURES TECHNIQUES ET ORGANISATIONNELLES

5.1  Nitro offre des garanties adéquates concernant la mise en œuvre de mesures techniques et organisationnelles appropriées (« TOMs ») pour assurer un traitement sécurisé des Données personnelles et garantir ainsi les droits des Sujets de données. Les TOMs mises en place par Nitro sont énoncées dans les Détails du traitement des données. Les TOMs peuvent être mises à jour par Nitro de temps à autre, cependant Nitro veillera à ne pas dégrader la sécurité globale mise en œuvre au moment de l'exécution de l'annexe sur le traitement des données. Le Processeur reconnaît que les TOMs fournissent un niveau de sécurité adéquat approprié au risque pour le traitement des Données personnelles pour le compte du Processeur au moment de la signature ou de l'acceptation de cette annexe sur le traitement des données.

5.2  Nitro prendra toutes les mesures techniques et organisationnelles appropriées telles que mentionnées à l'article 32 du RGPD de l'UE pour garantir un niveau de sécurité adéquat approprié au risque.

5.3  Si Nitro devait être amenée à traiter des Données personnelles sensibles, comme mentionné aux articles 9 et 10 du RGPD de l'UE dans le cadre du Contrat, le Processeur en informera Nitro par écrit via privacy@gonitro.com.

5.4  En cas où le Processeur (ou le Responsable du traitement) demande des mesures techniques et organisationnelles spécifiques à mettre en œuvre par Nitro (que Nitro n’a pas mises en œuvre par défaut), le Processeur remboursera Nitro pour la mise en œuvre de ces mesures supplémentaires conformément à la section 14 « Coûts » de cette annexe sur le traitement des données.

5.5  Le respect par Nitro d'un code de conduite approuvé tel que mentionné à l'article 40 du RGPD de l'UE, ou d'un mécanisme de certification approuvé tel que mentionné à l'article 42 du RGPD de l'UE, peut être utilisé comme élément de preuve de garanties suffisantes comme mentionné dans le RGPD de l'UE.

6. CONSERVATION

6.1  Nitro ne conservera pas les Données personnelles plus longtemps que nécessaire pour le traitement de ces Données personnelles dans le cadre du Contrat. Le Processeur ne demandera pas à Nitro de stocker des Données personnelles plus longtemps que nécessaire. La période de conservation applicable est décrite dans les Détails du traitement des données.

6.2  À la demande du Processeur, Nitro supprimera ou restituera toutes les Données personnelles au Processeur après la fin de la fourniture des Services et devra supprimer les copies existantes, à moins que la loi de l'Union ou de l'État membre n'exige le stockage des Données personnelles, qui pourront alors être transmises au Responsable du traitement par le Processeur. Le Processeur reconnaît que les Services peuvent inclure des fonctionnalités de téléchargement mises à la disposition du Responsable du traitement pour permettre à celui-ci de télécharger ses données. Dans la mesure où ces fonctionnalités sont disponibles, le Processeur veillera à ce que le Responsable du traitement utilise ces fonctionnalités pour extraire ou supprimer ses données.

7. CONFIDENTIALITÉ

7.1  Les Parties ont convenu d'une clause de confidentialité dans le Contrat qui s'applique au traitement des Données personnelles dans le cadre du Contrat.

7.2  Nitro reconnaît et convient que seuls les employés, sous-traitants ou agents de Nitro qui sont impliqués dans le traitement des Données personnelles peuvent être informés des Données personnelles et uniquement dans la mesure raisonnablement nécessaire à l'exécution du Contrat. Nitro veille à ce que les personnes autorisées à traiter les Données personnelles s'engagent à la confidentialité par contrat ou soient soumises à une obligation légale appropriée de confidentialité.

8. DROITS DES SUJETS DE DONNÉES

8.1. Compte tenu de la nature du traitement, Nitro déploiera tous les efforts raisonnables, en prenant des mesures techniques et organisationnelles appropriées, pour assister le Responsable du traitement, à la demande du Processeur, dans l'exécution de l'obligation du Responsable du traitement de répondre aux demandes des Sujets de données.

8.2  Pour toute assistance fournie par Nitro dans le cadre du traitement de telles demandes des Sujets de données, le Processeur remboursera Nitro conformément à la section 14 « Coûts » de cette annexe sur le traitement des données. Ce remboursement par le Processeur ne s'appliquera pas (i) dans le cas où le Sujet de données invoque ses droits en raison d'une violation de Données personnelles prouvée attribuable à Nitro ou (ii) dans le cas où une telle assistance par Nitro ne dépasse pas quatre (4) heures de travail durant la durée du Contrat.

9. OBLIGATION D'INFORMER

9.1  Dès qu'elle prend connaissance d'une violation de Données personnelles, Nitro en informera le Processeur sans délai injustifié en contactant la personne à contacter indiquée dans le Contrat (ou alternativement via l'adresse e-mail de notification du Processeur ou (le cas échéant) toute autre adresse e-mail que le Processeur a partagée dans le portail des partenaires Nitro). La personne à contacter de Nitro pour toute question relative à la protection des données peut être contactée par e-mail : privacy@gonitro.com.

9.2  À la demande du Processeur, Nitro informera le Processeur de tout nouveau développement concernant toute violation de Données personnelles et des mesures prises pour limiter ses conséquences et prévenir la répétition de telle violation de Données personnelles. Il incombe au Processeur de transmettre les informations reçues de Nitro au Responsable du traitement afin de permettre à celui-ci de se conformer à son obligation de signaler toute violation de Données personnelles à l'Autorité de contrôle ou aux Sujets de données, le cas échéant.

10. SOUS-TRAITANCE

10.1  Le Processeur garantit que Nitro est expressément autorisé par le Responsable du traitement à engager des sous-traitants Nitro pour le traitement des Données personnelles pour l'exécution du Contrat et à faciliter la fourniture des Services en général. À cet égard, le Processeur accorde une autorisation écrite générale à Nitro pour décider avec quels sous-traitants Nitro elle coopère pour l'exécution de ses obligations en vertu du Contrat. Nitro publie une Liste des sous-traitants Nitro faisant référence aux sous-traitants Nitro.

10.2  Nitro informera le Processeur de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants Nitro via la personne de contact du Processeur indiquée dans le Contrat (ou via l'adresse e-mail de notification du Processeur ou (le cas échéant) toute autre adresse e-mail que le Processeur a partagée dans le portail des partenaires Nitro). Le Processeur aura le droit de s'opposer à l'ajout ou au remplacement en s'adressant à Nitro par écrit lorsque le Responsable du traitement s'opposerait à cet ajout ou ce remplacement. Les Parties discuteront, dans ce cas, de l'ajout, du remplacement ou d'une alternative de bonne foi et dès que raisonnablement possible après l'avis écrit d'opposition du Processeur.

10.3  Lorsque Nitro engage un sous-traitant Nitro pour effectuer des activités de traitement spécifiques, les mêmes obligations en matière de protection des données ou des obligations similaires que celles énoncées dans cette annexe sur le traitement des données doivent être imposées à ce sous-traitant Nitro par voie d'accord écrit, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées (et se conformer aux mesures techniques et organisationnelles pertinentes). Lorsqu'un sous-traitant Nitro ne respecte pas ses obligations en matière de protection des données, Nitro demeure entièrement responsable envers le Processeur de l'exécution de cette obligation de sous-traitant Nitro.

11. TRANSFERTS INTERNATIONAUX DE DONNÉES

11.1  Le Processeur reconnaît que Nitro est établie aux États-Unis d'Amérique, et autorise les transferts internationaux de données personnelles aux fins de fourniture des Services. Ce transfert international de données est considéré comme une instruction du Responsable du traitement, transmise à Nitro par le Processeur.

11.2  Si, à tout moment durant la durée de cette annexe sur le traitement des données, Nitro est certifiée dans le cadre du Cadre de confidentialité UE-États-Unis (le « Cadre ») pour les Services, alors les Parties reconnaissent qu'aucune garantie appropriée n'est requise en ce qui concerne les transferts entre le Processeur et Nitro.

11.3  Lorsque les conditions énoncées à la section 2 ne s'appliquent pas, le Processeur (en tant que « exportateur de données ») et Nitro (en tant que « importateur de données ») à compter du début du transfert concerné, concluent les CCT Processeur à Processeur. L'annexe 1 des CCT Processeur à Processeur est considérée comme préremplie avec les sections pertinentes de l'annexe 1 de cette annexe sur le traitement des données. L'annexe 2 des CCT Processeur à Processeur est considérée comme préremplie avec les informations contenues dans la section 5 de cette annexe sur le traitement des données, et :

• dans la clause 7, la clause d'adhésion optionnelle ne s'appliquera pas;
• dans la clause 9, l'option 2 s'appliquera, et la période sera de 30 jours;
• dans la clause 11, le langage de redressement optionnel ne s'appliquera pas;
• dans la clause 13(a), il sera inséré ce qui suit : Lorsque l'exportateur de données est établi dans un État membre de l'UE : L'autorité de contrôle responsable de veiller au respect du Règlement (UE) 2016/679 par l'exportateur de données en ce qui concerne le transfert de données, tel qu'indiqué à l'annexe I.C de cette annexe sur le traitement des données, agira en tant qu'autorité de contrôle compétente.
  Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève de la portée d'application territoriale du Règlement (UE) 2016/679 conformément à son article 3(2) et a désigné un représentant conformément à l'article 27(1) du Règlement (UE) 2016/679 : L'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'article 27(1) du Règlement (UE) 2016/679 est établi, tel qu'indiqué à l'annexe I.C, agira en tant qu'autorité de contrôle compétente.
  Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève de la portée d'application territoriale du Règlement (UE) 2016/679 conformément à son article 3(2) sans toutefois avoir à désigner un représentant conformément à l'article 27(2) du Règlement (UE) 2016/679 : L'autorité de contrôle d'un des États membres dans lequel se trouvent les sujets de données dont les données personnelles sont transférées en vertu des présentes clauses en relation avec l'offre de biens ou de services à ceux-ci, ou dont le comportement est surveillé, est situé, tel qu'indiqué à l'annexe I.C, agira en tant qu'autorité de contrôle compétente.
• dans la clause 17, l'option 1 s'appliquera, et les Clauses contractuelles types de l'UE seront régies par les lois de l'exportateur de données ; et 
• dans la clause 18(b), les litiges seront réglés devant les tribunaux de l'exportateur de données. 

11.4  Le Processeur reconnaît que les sous-traitants Nitro autorisés en vertu de la clause 9 peuvent également traiter des Données personnelles dans des pays tiers. Nitro peut effectuer de tels transferts, sous réserve que Nitro prenne toutes les étapes nécessaires pour garantir que ces transferts respectent les dispositions du Chapitre V du RGPD de l'UE et d'autres lois applicables en matière de protection des données.

11.5  En cas d'obligation de transférer des Données personnelles vers un pays tiers ou une organisation internationale en vertu de la législation de l'UE ou de l'État membre applicable à laquelle Nitro est soumise, Nitro sera autorisée à effectuer ce transfert et devra informer le Processeur de cette exigence légale avant un tel traitement, sauf si cette loi interdit une telle information pour des raisons importantes d'intérêt public. Le Processeur peut transmettre cette information au Responsable du traitement.

12. ÉVALUATION DE L'IMPACT SUR LA PROTECTION DES DONNÉES ET CONSULTATION PRÉALABLE

12.1  Si le Responsable du traitement effectue une Évaluation de l'impact sur la protection des données (« EIPD ») (article 35 du RGPD de l'UE) ou une consultation préalable (article 36 du RGPD de l'UE) liée au traitement des Données personnelles dans le cadre de l'exécution du Contrat, Nitro, à la demande écrite du Processeur, devra raisonnablement assister le Responsable du traitement. Le Processeur remboursera Nitro pour l'aide fournie conformément à la section 14 « Coûts » de cette annexe sur le traitement des données. Un tel remboursement des coûts ne s'appliquera pas dans le cas où (i) l'assistance demandée chez Nitro est inférieure à quatre (4) heures de travail durant la durée du Contrat ou (ii) si l'EIPD ou la consultation préalable est déclenchée par une violation de Données personnelles prouvée attribuable à Nitro. 

13. DROIT D'AUDIT

13.1  À la demande du Processeur, Nitro doit permettre des audits par le Processeur concernant la conformité de Nitro avec ses obligations en vertu de cette annexe sur le traitement des données et la législation applicable en matière de protection des données. Nitro utilisera ses efforts raisonnables pour collaborer avec ces audits et mettre à disposition toutes les informations nécessaires pour prouver sa conformité à ses obligations. Le Processeur doit notifier Nitro de cet audit au moins un (1) mois avant la date à laquelle l'audit sera réalisé, en donnant un avis écrit à Nitro via privacy@gonitro.com.

13.2  En cas d'audit, toutes les parties impliquées devront d'abord signer un accord de non-divulgation spécifique émis par Nitro concernant cet audit et les résultats de l'audit avant le début de l'audit. Lors de la réalisation de tout audit, les obligations de confidentialité des Parties à l'égard des tiers doivent être prises en compte. Les Parties et leurs auditeurs doivent garder secrètes les informations collectées dans le cadre d'un audit et les utiliser exclusivement pour vérifier leur conformité avec cette annexe sur le traitement des données et les lois et réglementations applicables en matière de protection des données. Le Processeur a la possibilité de réaliser lui-même l'audit ou de confier la tâche à un auditeur indépendant, cependant cet auditeur indépendant doit dûment signer l'accord de non-divulgation mentionné dans cette section. Le Responsable du traitement dispose des mêmes droits d'audit que le Processeur en vertu de cette clause.

13.3  Les deux Parties, et si applicable leurs représentants, doivent raisonnablement coopérer, à la demande, avec l'Autorité de contrôle dans l'exécution de ses tâches.

13.4  Le Processeur remboursera Nitro pour l'assistance fournie par Nitro en relation avec les audits conformément à la section 14 « Coûts » de cette annexe sur le traitement des données. Il est entendu que ce remboursement ne s'appliquera pas dans le cas où (i) l'audit est le résultat d'une violation de Données personnelles prouvée attribuable à Nitro ou, (ii) si l'assistance de Nitro ne dépasse pas quatre (4) heures de travail durant la durée du Contrat.

14. COÛTS

14.1  L'assistance à réaliser en vertu de cette annexe sur le traitement des données pour laquelle Nitro peut facturer le Processeur sera facturée sur la base des heures travaillées et des tarifs horaires standards applicables de Nitro (295 USD/heure, taxes exclues). Nitro facturera ces montants mensuellement mais a également le droit de demander un acompte.

14.2. Le paiement par le Processeur à Nitro pour l'assistance et les services professionnels fournis par Nitro en vertu de cette annexe sur le traitement des données aura lieu conformément aux dispositions du Contrat.

15. RESPONSABILITÉ

16. DIVERS

ANNEXE 1 – DÉTAILS DU TRAITEMENT DES DONNÉES

A. LISTE DES PARTIES

1. Exportateur(s) de données :

Nom : ISV, tel qu'identifié dans le Contrat (et/ou le bon de commande ISV Nitro pertinent).

Adresse : L'adresse de l'exportateur de données est indiquée dans le Contrat (et/ou le bon de commande ISV Nitro pertinent).

Nom, fonction et coordonnées de la personne de contact : Les coordonnées de la personne de contact de l'exportateur de données sont indiquées dans le Contrat (et/ou le bon de commande ISV Nitro pertinent) ou dans le portail des partenaires Nitro.

Activités pertinentes pour les données transférées : Les activités pertinentes pour les données transférées en vertu de ces Clauses contractuelles types de l'UE sont décrites ci-dessous dans la section B « Description du traitement/des transferts ».

Signature et date : En signant ou en acceptant le Contrat, l'exportateur de données sera réputé avoir signé cette Annexe I.

Rôle (responsable du traitement/processeur) : Processeur

2. Importateur(s) de données :

Nom : Nitro Software Inc.

Adresse : 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.

Nom, fonction et coordonnées de la personne de contact : privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.

Activités pertinentes pour les données transférées : Les activités pertinentes pour les données transférées en vertu de ces Clauses contractuelles types de l'UE sont décrites ci-dessous dans la section B « Description du traitement/des transferts ».

Signature et date : En signant ou en acceptant le Contrat, l'exportateur de données sera réputé avoir signé cette Annexe I.

Rôle (responsable du traitement/processeur) : Processeur

B. DESCRIPTION DU TRAITEMENT/DES TRANSFERTS

L'objet est déterminé par le Processeur tel qu'indiqué dans le Contrat (et/ou le bon de commande ISV Nitro pertinent).

La nature et les objectifs du traitement sont déterminés par le Processeur tel qu'indiqué dans le Contrat (et/ou le bon de commande ISV Nitro pertinent).

Par défaut, ce traitement a pour but de mettre à disposition les Services avec toutes ses caractéristiques et fonctionnalités au Processeur (qui les mettra à disposition du Responsable du traitement) et plus généralement de permettre à Nitro de remplir ses obligations contractuelles en vertu du Contrat. Ce but peut être la mise à disposition des Services Cloud via des intégrations (API) (par exemple, sans limitations, la mise à disposition des services de signature électronique, ou des flux de travail PDF particuliers, etc.) ainsi que la fourniture de Support.

La nature du traitement inclura, parmi d'autres instructions données par le Processeur dans le Contrat (et/ou le bon de commande ISV Nitro pertinent), le traitement, la collecte, le stockage, la communication et le transfert de Données personnelles.

En fonction des fonctionnalités utilisées dans les Services (par exemple, services de signature électronique, flux de travail PDF, etc.) et du contenu des Données du Client final qui qualifient comme Données personnelles, téléchargés par le Processeur ou par le Responsable du traitement dans les Services, Nitro traite différents types de Données personnelles. En général, les Données personnelles traitées par Nitro incluent sans limitation :

• Détails d'identification (par exemple concernant les Sujets de données qui utilisent les Services - et détails d'utilisation) 
• Données documentaires (par exemple Données personnelles incluses dans des documents PDF traités)

Un aperçu détaillé du type de Données personnelles traitées lors de l'utilisation des Services est disponible via le Centre de confiance de Nitro : https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

L'ensemble des données pourrait inclure des Données personnelles sensibles dans les Données personnelles conformément à la section 5.3 de cette annexe sur le traitement des données. Les données sensibles transférées (le cas échéant) et les restrictions ou garanties appliquées qui prennent pleinement en compte la nature des données et les risques impliqués, tels que par exemple des restrictions strictes d'objectif, des restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), le maintien d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : il est fait référence aux TOMs énumérées ou mentionnées dans les Détails du traitement des données ci-dessous.

Les catégories suivantes de Sujets de données sont par défaut dans le périmètre :

• Tous les Sujets de données ayant accès aux Services (y compris les utilisateurs administrateurs, les utilisateurs généraux ou les utilisateurs invités tels que les signataires).
• Ajouter des Sujets de données inclus dans les Données du Client final qui qualifient comme Données personnelles téléchargées dans les Services par le Processeur ou par le Responsable du traitement. 

Le Processeur confirme que ces Sujets de données seront par défaut considérés comme l'une des catégories suivantes :

• Utilisateurs des Services 
• Clients du Processeur 
  
  

Nitro engage des sous-traitants Nitro pour garantir que toutes les fonctionnalités sont disponibles au sein des Services. Les sous-traitants Nitro applicables dépendent des Services utilisés et des fonctionnalités et configurations demandées par le Processeur ou le Responsable du traitement. Une liste détaillée des sous-traitants Nitro (y compris la procédure que nous appliquons lors de l'engagement de nouveaux sous-traitants Nitro) est disponible via notre Centre de confiance : https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

Nitro met en œuvre des mesures techniques et organisationnelles appropriées pour garantir une sécurité adéquate lors de l'utilisation des Services. Nous mettons continuellement à jour ces mesures. Un aperçu détaillé des mesures prises est disponible via notre Centre de confiance dans notre section Sécurité : https://www.gonitro.com/security-compliance/security et dans notre Politique de sécurité des informations. Notre Centre de confiance répertorie également les certifications que Nitro détient dans la section Conformité : https://www.gonitro.com/security-compliance/compliance

Nitro ne stockera pas les Données personnelles plus longtemps que nécessaire pour la fourniture des Services. En fonction des Services et des fonctionnalités que le Processeur ou le Responsable du traitement utilise, les périodes de conservation applicables peuvent différer. Le Processeur, agissant pour le compte du Responsable du traitement, peut demander à Nitro de configurer des périodes de conservation spécifiques dans leur environnement (dans la mesure où cela est techniquement faisable).

Dans le cas où aucune période de conservation spécifique n'était configurée, les Données personnelles seront par défaut stockées par Nitro jusqu'à la suppression par le Processeur ou le Responsable du traitement ou jusqu'à la résiliation du Contrat entre Nitro et le Processeur (plus un maximum de 30 jours), selon le cas qui se présente en premier. Un aperçu détaillé des périodes de conservation est disponible via notre Centre de confiance : https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data.

Sur une base continue, selon les besoins pour fournir les Services au Processeur.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifier l'autorité/autorités de contrôle compétente(s) conformément à la Clause 13 des Clauses contractuelles types de l'UE : L'autorité de contrôle compétente est l'autorité de contrôle applicable au Processeur (ou, le cas échéant, applicable au représentant du Processeur).