Conditions et politiques

En vigueur : 1er avril 2025

CET ADDENDA SUR LE TRAITEMENT DES DONNÉES S'APPLIQUE SI VOUS VOUS ÊTES INSCRIT EN TANT QUE CLIENT ENTREPRENEUR AUX CONDITIONS D'UTILISATION DE NITRO ET LE FADP S'APPLIQUE AU TRAITEMENT DES DONNÉES PERSONNELLES DANS LE CONTEXTE DE L'ACCORD. EN CAS D'INSCRIPTION EN TANT QU'INDIVIDU, VEUILLEZ CONSULTER LA POLITIQUE DE CONFIDENTIALITÉ DE NITRO POUR PLUS D'INFORMATIONS SUR LA FAÇON DONT NITRO TRAITE VOS DONNÉES PERSONNELLES.

1. PORTÉE ; RÔLES DES PARTIES

Nitro recevra et traitera les Données Personnelles pour le bénéfice et au nom du Client lors de la prestation des Services, conformément aux instructions et à l'objectif définis par le Client dans les Détails du Traitement des Données. Par cet Addenda de Traitement des Données, les Parties souhaitent établir leurs accords spécifiques concernant le traitement des Données Personnelles dans le cadre de l'Accord.

Par défaut, Nitro agira en tant que Processeur et le Client agira en tant que Responsable du Traitement en ce qui concerne les Services fournis par Nitro au Client conformément aux Conditions d'Utilisation de Nitro. Le présent Addenda de Traitement des Données remplace et annule tous les accords précédemment conclus (le cas échéant) concernant le traitement des Données Personnelles et la protection des données entre les Parties liés aux Services offerts par Nitro.

Cet Addenda de Traitement des Données complète et fait partie intégrante des Conditions d'Utilisation, et ensemble, les Conditions d'Utilisation et cet Addenda de Traitement des Données constituent un seul accord légal entre les Parties. En cas de divergences ou de contradictions entre cet Addenda de Traitement des Données et les Conditions d'Utilisation, l'Addenda de Traitement des Données prévaudra.

2. DÉFINITIONS

“Annexe” désigne toute annexe au présent Addenda de Traitement des Données ;

"Données Personnelles CH" désigne les Données Personnelles auxquelles le FADP est applicable ;

"Transfert Restreint CH" désigne un transfert au sens des articles 16(2) et 17 du FADP de Données Personnelles par le Client à Nitro (ou tout transfert ultérieur de Nitro à un Sous-traitant), dans chaque cas, où un tel transfert serait interdit par le FADP en l'absence de la protection des Données Personnelles transférées fournie par les Clauses Contractuelles Types CH ou tout autre sauvegarde ou exemption légale ;

"Clauses Contractuelles Types CH" désigne, en ce qui concerne les Données Personnelles CH, les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers adoptées par la Commission Européenne sous la Décision d'Exécution de la Commission (UE) 2021/914 (y compris le texte du module deux de telles clauses contractuelles types et non tout autre module et non comprenant les clauses marquées comme facultatives dans les clauses) adaptées pour la Suisse conformément à la déclaration du FDPIC du 27 août 2021 reconnue par le FDPIC ;

“Responsable du Traitement” désigne le Client tel qu'identifié dans les Conditions d'Utilisation et le Bon de Commande applicable ;

“Détails du Traitement des Données” désignent l'Annexe 1 du présent Addenda de Traitement des Données qui inclut plus de détails sur les instructions du Client concernant le traitement des Données Personnelles comme le but, l'objet et la nature du traitement et le type de Données Personnelles étant traitées ;

"FADP" désigne la Loi Fédérale Suisse sur la Protection des Données (telle que modifiée) ;

"FODP" désigne le Règlement Fédéral Suisse sur la Protection des Données (tel que modifié) ;

"FDPIC" désigne le Préposé Fédéral à la Protection des Données et à la Transparence ;

“Données Personnelles” désigne les données personnelles telles que définies conformément au FADP que Nitro traite pour le bénéfice et au nom du Client lors de la prestation des Services selon les instructions et l'objectif définis par le Client dans le Traitement des Données ;

“Processeur” désigne Nitro Software Inc., fournisseur des Services au Client et tel qu'identifié dans les Conditions d'Utilisation ;

“Sous-traitant” désigne tout tiers processeur engagé par Nitro pour le traitement des Données Personnelles lié à la prestation des Services au Client ;

“Liste de Sous-traitants” désigne la liste de Sous-traitants mise à disposition en ligne par Nitro qui inclut les Sous-traitants engagés par Nitro pour la prestation des Services et le respect des obligations de Nitro en vertu de l'Accord en général. Nitro peut mettre à jour la Liste de Sous-traitants de temps à autre conformément aux modalités définies dans cet Addenda de Traitement des Données ;

Tous les autres termes et définitions écrits avec une majuscule qui ne sont pas expressément définis dans cet Addenda de Traitement des Données, sont définis comme stipulé dans la législation applicable en matière de protection des données ou les Conditions d'Utilisation de Nitro.

3. OBJET DU PRÉSENT ADDENDA DE TRAITEMENT DES DONNÉES

3.1 Le présent Addenda de Traitement des Données définit les conditions du traitement par Nitro des Données Personnelles communiquées par ou à l'initiative du Client dans le contexte de l'Addenda. La nature et l'objectif du traitement, une liste et le type de Données Personnelles ainsi que les catégories des Sujets de Données sont listés dans les Détails du Traitement des Données (Annexe 1).

3.2 Le traitement se déroulera exclusivement pour le bénéfice du Client et pour le but défini par le Client dans les Détails du Traitement des Données. Nitro doit immédiatement informer le Client si, à son avis, une instruction enfreint la législation (sur la protection des données) applicable. Nitro ne traitera les Données Personnelles que conformément aux instructions documentées du Client et ne les utilisera pas à ses propres fins, sauf si cela est explicitement autorisé dans les Conditions de Service. Si Nitro est légalement contraint de procéder à tout traitement de Données Personnelles, Nitro informera, sauf si cela contrevient aux règles obligatoires applicables, le Client de cette obligation.

4. DURÉE

4.1 Le présent Addenda de Traitement des Données est applicable à tout traitement de Données Personnelles exécuté dans le contexte de la fourniture des Services au Client par Nitro et s'applique tant que Nitro traite des Données Personnelles pour le compte du Client dans le cadre de l'Accord. Cet Addenda de Traitement des Données complète les Conditions d'Utilisation de Nitro et vise à garantir la conformité des Parties aux exigences imposées par les lois et régulations applicables en matière de protection des données pour l'utilisation par le Client des Services.

4.2 Le présent Addenda de Traitement des Données prend fin automatiquement à la résiliation de l'Accord (ou au moment où le traitement par Nitro est arrêté). Les dispositions de cet Addenda de Traitement des Données qui sont expressément ou implicitement (du fait de leur nature) destinées à avoir un effet après la résiliation de l'Addenda de Traitement des Données survivent à la fin de l'Accord concernant les Données Personnelles communiquées par ou à l'initiative du Client dans le cadre de l'Accord.

5. MESURES TECHNIQUES ET ORGANISATIONNELLES

5.1 Nitro offre des garanties adéquates en ce qui concerne la mise en œuvre de mesures techniques et organisationnelles appropriées (“TOM”) pour garantir un traitement sécurisé des Données Personnelles et ainsi garantir la protection des droits des Sujets de Données. Les mesures techniques et organisationnelles mises en œuvre par Nitro sont telles qu'énoncées dans les Détails du Traitement des Données. Les TOMs peuvent être mises à jour par Nitro de temps en temps, néanmoins Nitro veillera à ne pas dégrader la sécurité globale mise en œuvre au moment de l'exécution de l'Addendum sur le Traitement des Données. Le Client reconnaît que les TOM sont adéquates pour le traitement de ses Données Personnelles au moment de la signature ou de l'acceptation de cet Addenda de Traitement des Données.

5.2 Nitro prendra toutes les mesures techniques et organisationnelles appropriées mentionnées à l'article 8 du FADP et à l'article 3 du FODP pour garantir un niveau de sécurité adéquat approprié au risque.

5.3 Si le Client fournit des Données Personnelles sensibles telles que mentionnées dans le FADP à Nitro dans le cadre de l'Accord, le Client en informera Nitro par écrit via privacy@gonitro.com.

5.4 Dans le cas où le Client demande des mesures techniques et organisationnelles spécifiques à mettre en œuvre par Nitro (que Nitro n'a pas mises en œuvre par défaut), le Client remboursera Nitro pour la mise en œuvre de ces mesures supplémentaires selon la Section 14 “Coûts” de cet Addenda de Traitement des Données.

6. CONSERVATION

6.1 Nitro ne conservera pas les Données Personnelles plus longtemps que nécessaire pour le traitement de telles Données Personnelles dans le cadre de l'Accord. Le Client ne demandera pas à Nitro de conserver des Données Personnelles plus longtemps que nécessaire. La durée de conservation applicable (telle que définie par le Client) est indiquée dans les Détails du Traitement des Données.

6.2 À la demande du Client, Nitro doit supprimer ou retourner toutes les Données Personnelles au Client après la fin de la fourniture des Services et doit supprimer les copies existantes, sauf si la loi suisse ou toute autre loi applicable exige le stockage des Données Personnelles. Le Client reconnaît que les Services peuvent inclure des fonctionnalités de téléchargement à la disposition du Client pour permettre au Client de télécharger ses données. Dans la mesure où de telles fonctionnalités sont disponibles, le Client utilisera ces fonctionnalités pour extraire ou supprimer ses données.

7. CONFIDENTIALITÉ

7.1 Les Parties ont convenu d'une clause de confidentialité dans les Conditions d'Utilisation qui s'applique au traitement des Données Personnelles dans le cadre de l'Accord.

7.2 Nitro reconnaît et accepte que seuls les employés, contractuels ou agents de Nitro impliqués dans le traitement des Données Personnelles peuvent être informés des Données Personnelles et seulement dans la mesure raisonnablement nécessaire pour l'exécution de l'Accord. Nitro s'assure que les personnes autorisées à traiter les Données Personnelles sont engagées à respecter la confidentialité par contrat ou sous une obligation statutaire appropriée de confidentialité.

8. DROITS DES SUJETS DE DONNÉES

8.1 Compte tenu de la nature du traitement, Nitro utilisera tous les efforts raisonnables, en prenant des mesures techniques et organisationnelles appropriées, pour aider le Client dans l'exécution de son obligation de répondre aux demandes des Sujets de Données.

8.2 Pour toute assistance fournie par Nitro dans le cadre du traitement de telles demandes des Sujets de Données, le Client remboursera Nitro conformément à la Section 14 “Coûts” de cet Addenda de Traitement des Données.

9. DEVOIR D'INFORMER

9.1 Dès qu'il a connaissance d'une Brèche de Données Personnelles, Nitro doit en informer le Client sans délai injustifié en contactant la personne de contact indiquée dans l'Accord ou le Bon de Commande pertinent (ou alternativement par le biais de l'Adresse Email de Notification du Client ou (le cas échéant) toute autre adresse e-mail que le Client a partagée dans le portail d'administration en tant que contact de confidentialité). La personne de contact de Nitro pour toute question liée à la protection des données peut être contactée par e-mail : privacy@gonitro.com.

9.2 À la demande du Client, Nitro informera le Client de tout nouveau développement concernant une Brèche de Données Personnelles et des mesures prises pour limiter ses conséquences et prévenir la répétition de cette Brèche de Données Personnelles. Il appartient au Client de signaler toute Brèche de Données Personnelles à l'Autorité de Surveillance ou aux Sujets de Données, selon les exigences.

10. SOUS-TRAITEMENT

10.1 Le Client autorise expressément Nitro à engager des Sous-traitants pour le traitement des Données Personnelles pour l'exécution de l'Accord et pour faciliter la fourniture des Services en général. Pour cette raison, le Client accorde une autorisation écrite générale à Nitro pour décider avec quels Sous-traitants Nitro collabore pour l'accomplissement de ses obligations en vertu de l'Accord. Nitro publie une Liste de Sous-traitants faisant référence aux Sous-traitants engagés par Nitro.

10.2 Nitro informera le Client de tout changement prévu concernant l'ajout ou le remplacement de Sous-traitants en contactant la personne de contact indiquée dans l'Accord ou le Bon de Commande pertinent (ou par le biais de l'Adresse Email de Notification du Client ou (le cas échéant) toute autre adresse e-mail que le Client a partagée dans le portail d'administration en tant que contact de confidentialité). Le Client aura le droit de s'opposer à l'ajout ou au remplacement en s'adressant à Nitro par écrit. Les Parties discuteront dans ce cas de l'ajout, du remplacement ou de l'alternative de bonne foi et dès que raisonnablement possible après la notification écrite d'objection du Client.

1. les références dans les Clauses Contractuelles Types CH au Règlement Général sur la Protection des Données de l'UE doivent être comprises comme des références au FADP ;
2. dans la Clause 7 – Clause de raccordement des Clauses Contractuelles Types CH ne doit pas s'appliquer ;
3. dans la Clause 9 – Utilisation de sous-traitants des Clauses Contractuelles Types CH, “Option 2” doit s'appliquer et le “délai” doit être de 30 jours ;
4. dans la Clause 11(a) – Recours des Clauses Contractuelles Types CH, le langage facultatif ne doit pas s'appliquer ;
5. dans la Clause 13(a) – Supervision des Clauses Contractuelles Types CH, ce qui suit doit être inséré : Le FDPIC agira en tant qu'autorité de supervision compétente ;
6. dans la Clause 17 – Droit applicable des Clauses Contractuelles Types CH, ce qui suit doit être inséré : Ces Clauses seront régies par le droit suisse ;
7. dans la Clause 18 – Choix de forum et de compétence, ce qui suit doit être inséré : Tout litige découlant de ces Clauses sera résolu par les tribunaux suisses ;
8. dans la Clause 18(c) – Juridiction des sujets de données, le terme "État membre" ne doit pas être interprété de manière à exclure les sujets de données en Suisse de la possibilité d'exercer leurs droits à leur lieu de résidence habituelle (Suisse) conformément à la Clause 18.c et en conséquence, les Sujets de Données résidant en Suisse peuvent également engager des procédures judiciaires devant les tribunaux compétents en Suisse ;

11.3 Le Client reconnaît que les Sous-traitants autorisés en vertu de la clause 9 peuvent également traiter des Données Personnelles dans des pays tiers. Le Client permet de tels transferts, sous réserve que Nitro prenne toutes les mesures nécessaires pour garantir que ces transferts respectent les dispositions du FADP et d'autres lois sur la protection des données applicables.

12. ÉVALUATION D'IMPACT SUR LA PROTECTION DES DONNÉES ET CONSULTATION PRÉALABLE

12.1 Si le Client réalise une Évaluation d'Impact sur la Protection des Données (“EIPD”) ou une consultation préalable liée au traitement des Données Personnelles dans le cadre de l'exécution de l'Accord (article 22 FADP), Nitro devra raisonnablement aider le Client en fournissant une assistance sur demande écrite du Client. Le Client remboursera Nitro pour l'assistance fournie conformément à la Section 14 « Coûts » de cet Addendum sur le Traitement des Données. Ce remboursement des coûts ne s'appliquera pas dans le cas où (i) l'assistance demandée à Nitro est inférieure à quatre (4) heures de travail pendant la durée de l'Accord, ou (ii) l'EIPD ou la consultation préalable est déclenchée par une Brèche de Données Personnelles prouvée attribuable à Nitro.

13. DROIT D'AUDIT

13.1 Le Client a le droit de réaliser des audits concernant la conformité de Nitro avec ses obligations en vertu de cet Addenda de Traitement des Données et la législation applicable en matière de protection des données. Nitro s'efforcera raisonnablement de coopérer avec de tels audits et de mettre à disposition toutes les informations nécessaires pour prouver sa conformité à ses obligations. Le Client doit notifier Nitro d'un tel audit au moins un (1) mois avant la date à laquelle l'audit sera réalisé, en adressant un avis écrit à Nitro via privacy@gonitro.com.

13.2 En cas de réalisation d'un audit, toutes les parties impliquées doivent d'abord signer un accord de non-divulgation spécifique émis par Nitro concernant cet audit et les résultats de l'audit avant le début de l'audit. Lors de l'exécution de tout audit, les obligations de confidentialité des Parties à l'égard des tiers doivent être prises en compte. Les Parties et leurs réviseurs doivent garder secrètes les informations recueillies lors d'un audit et les utiliser exclusivement pour vérifier leur conformité à cet Addendum de traitement des données et aux lois et réglementations applicables en matière de protection des données. Le Client a la possibilité de réaliser lui-même l'audit ou de désigner un auditeur indépendant, cependant, cet auditeur indépendant doit signer dûment l'accord de non-divulgation mentionné dans cette Section.

13.3 Les deux Parties et, le cas échéant, leurs représentants, doivent raisonnablement coopérer, sur demande, avec l'Autorité de Surveillance dans l'exécution de ses tâches.

14.2 Le paiement par le Client à Nitro pour l'assistance et les services professionnels fournis par Nitro en vertu de cet Addendum sur le Traitement des Données s'effectuera conformément aux dispositions des Conditions de Service.

15. RESPONSABILITÉ

16. DIVERS

Les dispositions des Conditions de Service concernant les modifications, l'intégralité de l'accord, la divisibilité, la législation applicable et les tribunaux compétents s'appliquent à cet Addendum sur le Traitement des Données. En cas de divergences ou de contradictions entre cet Addendum sur le Traitement des Données et les Clauses Contractuelles Types CH, le cas échéant, les Clauses Contractuelles Types CH prévaudront.

ANNEXE 1 – DÉTAILS DU TRAITEMENT DES DONNÉES

A. LISTE DES PARTIES

1. Exportateur(s) de données :

Nom : Client, tel qu'identifié dans l'Accord et le Bon de Commande pertinent.

Adresse : L'adresse de l'exportateur de données est précisée dans l'Accord et le Bon de Commande pertinent.

Nom, poste et coordonnées de la personne de contact : Les coordonnées de la personne de contact pour l'exportateur de données sont précisées dans l'Accord et le Bon de Commande pertinent (et si applicable dans le portail admin du Client).

Activités pertinentes pour les données transférées : Comme précisé dans l'Accord. Les activités pertinentes pour les données transférées en vertu de ces Clauses Contractuelles Types CH sont décrites ci-dessous dans la section B « Description du traitement/transfert ».

Signature et date : En signant ou en acceptant le Bon de Commande pertinent, l'exportateur de données sera réputé avoir signé cette Annexe I.

Rôle (responsable/traitant) : Responsable

2. Importateur(s) de données :

Nom : Nitro Software Inc.

Adresse : 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.

Nom, poste et coordonnées de la personne de contact : privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.

Activités pertinentes pour les données transférées : Les activités pertinentes pour les données transférées en vertu de ces Clauses Contractuelles Types CH sont décrites ci-dessous dans la section B « Description du traitement/transfert ».

Signature et date : En signant ou en acceptant le Bon de Commande pertinent, l'importateur de données sera réputé avoir signé cette Annexe I.

Rôle (responsable/traitant) : Traitant

B. DESCRIPTION DU TRAITEMENT/TRANSFERT

1. OBJET DU TRAITEMENT DES DONNÉES PERSONNELLES

L'objet est déterminé par le Client comme précisé dans l'Accord et le Bon de Commande pertinent.

2. LA NATURE ET LE BUT DU TRAITEMENT DES DONNÉES PERSONNELLES

La nature et le but du traitement sont déterminés par le Client comme précisé dans l'Accord et le Bon de Commande pertinent.

Par défaut, ce traitement aura pour objectif de rendre les Services, y compris toutes ses fonctionnalités, disponibles au Client et à ses Utilisateurs et, plus généralement, de permettre à Nitro de remplir ses obligations contractuelles en vertu de l'Accord. Cet objectif peut inclure la mise à disposition des Services Cloud (par exemple, sans que cela soit limitatif, la mise à disposition du portail cloud client, des services de signature électronique, des services d'analyse, etc.), ainsi que l'approvisionnement d'un Support.

La nature du traitement doit, parmi d'autres instructions fournies par le Client dans l'Accord et le Bon de Commande pertinent, inclure le traitement, la collecte, le stockage, la communication et le transfert de données personnelles.

3. DONNÉES PERSONNELLES TRAITÉES

Selon les fonctionnalités utilisées au sein des Services (par exemple, portail admin, services de signature électronique, services d'analyse, etc.) et le contenu des Données du Client téléchargées par le Client et ses Utilisateurs dans le Service, Nitro traite différents types de données personnelles.

En général, les données personnelles traitées par Nitro incluent, sans s'y limiter :

• Détails d'identification (par exemple, détails de l'utilisateur et d'utilisation)
• Données documentaires (par exemple, données personnelles incluses dans des documents PDF traités)

Un aperçu détaillé des types de données personnelles traitées lors de l'utilisation des Services est disponible via le Centre de Confiance de Nitro : https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

4. DONNÉES SENSIBLES

L'exportateur de données peut inclure des données personnelles sensibles conformément à la section 5.3 de cet Addendum sur le Traitement des Données. Les données sensibles transférées (le cas échéant) ainsi que les restrictions ou mesures de protection appliquées qui prennent entièrement en compte la nature des données et les risques encourus, telles que, par exemple, des limitations d'usage strictes, des restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), le maintien d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : référence est faite aux TOMs tels que listés ou référencés dans les Détails du Traitement des Données ci-dessous.

5. CATÉGORIE DE SUJETS DE DONNÉES

Les catégories suivantes de sujets de données sont par défaut dans le champ d'application :

• Tous les utilisateurs ayant accès aux Services (ce qui inclut les utilisateurs administrateurs, les utilisateurs généraux ou les utilisateurs invités tels que les signataires).
• Tous les sujets de données inclus dans les Données du Client téléchargées dans les Services par le Client ou ses Utilisateurs.

Le Client confirme que ces sujets de données seront par défaut considérés comme l'une des catégories suivantes :

• Personnel du Client
• Clients du Client
• Prospects du Client
• Fournisseurs du Client

6. SOUS-TRAITANTS

Nitro engage des sous-traitants pour assurer que toutes les fonctionnalités sont disponibles dans les Services. Les Sous-traitants applicables dépendent des Services utilisés et des fonctionnalités et configurations demandées par le Client. Une liste détaillée des sous-traitants engagés par Nitro (y compris la procédure que nous appliquons lors de l'engagement de nouveaux sous-traitants) est disponible via notre Centre de Confiance : https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

7. MESURES TECHNIQUES ET ORGANISATIONNELLES (MTO)

Nitro met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité adéquate lors de l'utilisation des Services. Nous mettons continuellement à jour ces mesures. Un aperçu détaillé des mesures prises est disponible via notre Centre de Confiance dans notre section Sécurité : https://www.gonitro.com/security-compliance/security et dans notre Politique de Sécurité de l'Information.

8. Notre Centre de Confiance répertorie également les certifications que Nitro détient dans la section Conformité : https://www.gonitro.com/security-compliance/compliance.