Addendum sur le traitement des données, 2022
Nitro Pro
En vigueur : Octobre 28th, 2022
Le présent avenant relatif au traitement des données ("APD") fait partie des conditions générales de service de Nitro Business ou des conditions générales de service de Nitro, selon le cas, régissant l'utilisation des services de Nitro ("Contrat") conclu par et entre vous ou le licencié (chacun étant défini dans le contrat concerné ; et pour les besoins du présent APD, vous et le licencié sont ci-après dénommés "client") et Nitro Software, Inc. ("Nitro") pour refléter l'accord des parties concernant le traitement des données personnelles par Nitro uniquement pour le compte du client en vertu du contrat. Les deux parties seront désignées comme les "Parties" et chacune, une "Partie".
1. Définitions
Aux fins du présent DPA, les termes ci-dessous ont la signification qui leur est donnée ci-après. Les termes en majuscules qui sont utilisés mais non définis dans le présent DPA ont la signification qui leur est donnée dans l'Accord.
(a) Affilié désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par, ou est sous contrôle commun avec l'entité concernée, le terme "contrôle" désignant le pouvoir de diriger ou de provoquer la direction de l'entité concernée, que ce soit (i) par la propriété de titres avec droit de vote, ou (ii) par la capacité de contrôler de fait les décisions de gestion de cette entité, par contrat ou autrement.
(b) API désigne toute interface de programmation d'application mise à la disposition du client par Nitro dans le cadre du contrat.
(c) Lois applicables en matière de protection des données désigne les lois et réglementations en matière de confidentialité, de protection des données et de sécurité des données de toute juridiction applicable au Traitement des données personnelles dans le cadre de l'Accord, y compris, sans s'y limiter, les Lois européennes sur la protection des données et l'ACCP, chacune telle que modifiée de temps à autre.
(d) CCPA signifie la loi californienne sur la protection de la vie privée des consommateurs de 2018 et tout règlement promulgué en vertu de celle-ci.
(e) Données du client désigne les informations fournies ou mises à la disposition de Nitro pour être traitées au nom du client afin d'exécuter les services.
(f) Documentation désigne les guides d'utilisation, les notes de mise à jour, les guides de mise en œuvre et toute autre documentation technique relative aux services ou aux services professionnels qui sont mis à la disposition du client par Nitro.
(g) EEE désigne l'Espace économique européen.
(h) Lois européennes sur la protection des données désigne le GDPR et les autres lois et règlements sur la protection des données de l'Union européenne, de ses États membres, de la Suisse, de l'Islande, du Liechtenstein, de la Norvège et du Royaume-Uni, dans chaque cas, dans la mesure où ils s'appliquent au Traitement des données personnelles en vertu de l'Accord.
(i) GDPR désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, tel que modifié de temps à autre.
(j) Incident de sécurité de l'information signifie une violation connue de la sécurité de Nitro entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux Données personnelles en possession, sous la garde ou sous le contrôle de Nitro. Les incidents de sécurité de l'information ne comprennent pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données personnelles, y compris, mais sans s'y limiter, les tentatives infructueuses de connexion, les pings, les balayages de port, les attaques par déni de service ou autres attaques de réseau sur les pare-feu ou les systèmes en réseau.
(k) Droits de propriété intellectuelle désigne tous les droits de propriété intellectuelle dans le monde entier, y compris : (i) les brevets, les divulgations d'inventions (brevetables ou non), les demandes de brevets, les rééditions, les réexamens, les droits sur les modèles d'utilité et les droits sur les dessins et modèles (enregistrés ou non), et les droits de propriété industrielle enregistrés ou autres, (ii) les marques commerciales, les marques de service, les dénominations sociales, les noms commerciaux, les identificateurs Internet, les habillages commerciaux et autres désignations similaires de source ou d'origine, ainsi que le fonds de commerce symbolisé par l'un des éléments précédents, (iii) les droits d'auteur, les droits moraux, les droits de conception, les droits sur les bases de données, les collections de données et autres droits sui generis, (iv) les secrets commerciaux ou autres droits de propriété sur les informations confidentielles ou les informations techniques, réglementaires et autres, les conceptions, les résultats, les techniques et autres savoir-faire, et (v) les demandes, les enregistrements et les renouvellements de tous les droits associés à ce qui précède dans n'importe quelle partie du monde.
(l) Données Personnelles signifie les Données du Client qui constituent des "données personnelles", des "informations personnelles" ou des "informations personnellement identifiables" définies dans la Loi applicable sur la protection des données, ou des informations de nature similaire réglementées par celle-ci, sauf que les Données Personnelles n'incluent pas les informations relatives au personnel ou aux représentants du Client qui sont des contacts commerciaux de Nitro dans le cadre normal de la relation commerciale, lorsque Nitro agit en tant que contrôleur de ces informations.
(m) Traitement signifie toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou sur des ensembles de Données Personnelles, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la restriction, l'effacement ou la destruction.
(n) Professional Services désigne tous les services effectués par Nitro en rapport avec les services tels que l'activation, la formation, la configuration, l'intégration, l'évaluation et l'optimisation.
(o) Mesures de sécurité a la signification donnée à la section 5(a) (Mesures de sécurité du fournisseur).
(p) Clauses contractuelles types désigne les dispositions obligatoires des clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers, sous la forme établie par les décisions 2016/679/UE et 2018/914/UE de la Commission européenne, et mises en œuvre par la décision 2021/914 de la Commission européenne, datée du 4 juin 2021.
(q) Sous-traitants désigne les tiers que Nitro engage pour traiter les Données personnelles en relation avec les Services.
(r) Sous-traitants tiers a la signification donnée à la section 5 (Sous-traitants) de l'annexe 1.
(s) Les termes responsable du traitement, personne concernée, sous-traitant, et autorité de contrôle tels qu'utilisés dans le présent RGPD ont les significations données dans le GDPR.
2. Durée et portée du DPA
(a) Le présent DPA reste en vigueur tant que Nitro traite des données personnelles, nonobstant l'expiration ou la résiliation du contrat.
(b) L'annexe 1 (annexe UE) du présent DPA s'applique uniquement aux traitements soumis aux lois européennes sur la protection des données.
(c) L'annexe 2 (annexe californienne) du présent DPA s'applique uniquement au Traitement soumis à la CCPA si le Client est une " entreprise " ou un " fournisseur de services " (tel que défini dans la CCPA) en ce qui concerne ce Traitement.
3. Instructions pour les clients
Nitro ne traitera les données personnelles que conformément aux instructions du client à Nitro. Le présent DPA est l'expression complète de ces instructions, et les instructions supplémentaires du client ne seront contraignantes pour Nitro qu'en vertu d'un amendement au présent DPA signé par les deux parties. Le client donne l'instruction à Nitro de traiter les données personnelles pour fournir les services tels qu'envisagés par le contrat.
4. Analytique
Le client reconnaît et accepte que, dans le cadre des services, Nitro puisse :
(a) créer et dériver du Traitement lié aux Services des éléments qui sont nécessaires pour fournir les Services ; et/ou
(b) créer et dériver du traitement lié aux Services des données anonymes et/ou agrégées qui n'identifient pas le Client ou toute personne physique, et utiliser, publier ou partager avec des tiers ces données anonymes et/ou agrégées pour améliorer les produits et services de Nitro et/ou pour ses autres objectifs commerciaux légitimes.
5. La sécurité
(a) Mesures de sécurité du fournisseur. Nitro mettra en œuvre et maintiendra des mesures techniques et organisationnelles conçues pour protéger les Données personnelles contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé aux Données personnelles de manière accidentelle ou illégale ("Mesures de sécurité") comme décrit dans Annexe 3 (Mesures de sécurité). Nitro peut mettre à jour les Mesures de sécurité de temps à autre sans préavis, tant que les mesures mises à jour ne diminuent pas matériellement la protection globale des Données personnelles.
(b) Incidents de sécurité de l’information. Nitro informera le Client dans les meilleurs délais de tout Incident de sécurité de l’information dont Nitro aura connaissance. Ces notifications peuvent décrire les détails disponibles de l’Incident de sécurité de l’information, y compris un résumé des mesures prises pour atténuer les risques potentiels et des mesures que Nitro recommande au Client d’envisager de prendre pour traiter l’Incident de sécurité de l’information. La notification ou la réponse de Nitro à un incident de sécurité de l’information ne sera pas interprétée comme une reconnaissance par Nitro d’une faute ou d’une responsabilité concernant l’incident de sécurité de l’information.
(c) Responsabilités et évaluation du client en matière de sécurité.
(i) Responsabilités du client en matière de sécurité. Le client convient que, sans limitation des obligations de Nitro en vertu de l'article 5 (Sécurité), le client est seul responsable de son utilisation des services, y compris (a) l'utilisation appropriée des services pour assurer un niveau de sécurité adapté au risque concernant les données personnelles ; (b) la sécurisation des informations d'authentification du compte, des systèmes et des appareils que le client utilise pour accéder aux services ; (c) la sécurisation des systèmes et des appareils du client que Nitro utilise pour fournir les services ; et (d) la sauvegarde des données personnelles.
(ii) Évaluation de la sécurité du client. Le Client convient que les Services, les Mesures de sécurité et les engagements de Nitro en vertu du présent DPA sont adéquats pour répondre aux besoins du Client, y compris en ce qui concerne les obligations de sécurité du Client en vertu des Lois applicables sur la protection des données, et fournissent un niveau de sécurité approprié au risque concernant les Données personnelles.
6. Droits des personnes concernées
(a) Assistance aux demandes des personnes concernées par les données de Nitro. Nitro fournira au Client (en tenant compte de la nature du Traitement des Données Personnelles) l'assistance raisonnablement nécessaire pour que le Client s'acquitte de ses obligations en vertu des Lois Applicables sur la Protection des Données pour répondre aux demandes des personnes concernées d'exercer leurs droits en vertu des Lois Applicables sur la Protection des Données ("Data Subject Requests") en ce qui concerne les Données Personnelles en possession ou sous le contrôle de Nitro. Le client doit indemniser Nitro pour cette assistance aux tarifs de services professionnels de Nitro alors en vigueur, qui seront mis à la disposition du client sur demande.
(b) Responsabilité du client pour les demandes. Si Nitro reçoit une demande de la personne concernée, Nitro conseillera à la personne concernée de soumettre la demande au client et le client sera chargé de répondre à la demande.
7. Responsabilités des clients
(a) Conformité des clients. Le client doit se conformer à ses obligations en vertu des lois applicables en matière de protection des données. Le Client doit s'assurer (et est seul responsable de s'assurer) que ses instructions dans la Section 3 sont conformes aux Lois Applicables sur la Protection des Données, et que le Client a donné tous les avis aux, et a obtenu tous les consentements des, individus auxquels les Données Personnelles se rapportent et toutes les autres parties comme requis par les Lois Applicables sur la Protection des Données pour que le Client traite les Données Personnelles comme envisagé par l'Accord.
(b) Données interdites. Le client déclare et garantit à Nitro que les Données client ne contiennent pas et ne contiendront pas, sans l'accord écrit préalable de Nitro, de numéros de sécurité sociale ou autres numéros d'identification délivrés par le gouvernement ; des informations biométriques ; des mots de passe pour des comptes en ligne ; des identifiants pour des comptes financiers ; des données de déclaration d'impôts ; des rapports de crédit ou des rapports sur les consommateurs ; des informations sur les cartes de paiement soumises au Payment Card Industry Data Security Standard ; les informations soumises à la loi Gramm-Leach-Bliley, à la loi sur les rapports de crédit équitables ou aux règlements promulgués en vertu de l'une ou l'autre de ces lois ; les informations soumises à des restrictions en vertu des lois applicables sur la protection des données régissant les données personnelles des enfants, y compris, sans s'y limiter, toutes les informations sur les enfants de moins de 13 ans ; ou toute information relevant de toute catégorie spéciale de données (telle que définie dans le GDPR). Le client déclare en outre que les Données du client ne contiennent pas et ne contiendront pas d'informations de santé protégées soumises à la loi HIPAA (Health Insurance Portability and Accountability Act) ou à toute autre législation similaire dans une autre juridiction ; d'autres informations concernant les antécédents médicaux, l'état mental ou physique d'une personne, ou le traitement médical ou le diagnostic d'un professionnel de la santé ; ou des informations sur l'assurance maladie, sauf si le client et Nitro ont conclu séparément un contrat d'associé commercial HIPAA.
8. Divers
Sauf modification expresse par le DPA, les termes de l'Accord restent en vigueur. En cas de conflit ou d'incohérence entre le présent DPA et les termes de l'Accord, le présent DPA prévaudra. Nonobstant toute disposition contraire dans le Contrat ou dans tout bon de commande saisi en relation avec celui-ci, les parties reconnaissent et conviennent que l'accès de Nitro aux données personnelles ne fait pas partie de la contrepartie échangée par les parties dans le cadre du Contrat. Nonobstant toute disposition contraire du Contrat, les avis que Nitro doit ou peut donner au Client en vertu du présent DPA peuvent être donnés (a) conformément à toute clause de notification du Contrat ; (b) aux principaux points de contact de Nitro chez le Client ; ou (c) à toute adresse électronique fournie par le Client dans le but de lui transmettre des communications ou des alertes relatives aux Services. Le client est seul responsable de s'assurer que ces adresses de notification sont valides.
ANNEXE 1 À L'ANNEXE DPA EU
1. Traitement des données
(a) Objet et détails du traitement. Les parties reconnaissent et conviennent que (i) l'objet du Traitement en vertu du Contrat est la fourniture des Services par Nitro ; (ii) la durée du Traitement est comprise entre la réception des Données Personnelles par Nitro et la suppression de toutes les Données Personnelles par Nitro conformément au Contrat ; (iii) la nature et l'objectif du Traitement sont de fournir les Services ; (iv) les personnes concernées par les Données Personnelles sont le Client (dans la mesure où le Client est un individu), les utilisateurs des Services ou du logiciel de Nitro, et les individus dont les Données Personnelles ont été générées, partagées ou téléchargées par le Client et/ou les utilisateurs des Services et/ou du logiciel de Nitro ; et (v) les catégories de Données Personnelles sont les données personnelles générées, partagées, téléchargées ou demandées par le Client ou les utilisateurs des Services et/ou du logiciel de Nitro (qui peuvent inclure des Données Personnelles contenues dans des documents, des images et autres médias et des contenus générés par les utilisateurs tels que des documents, des textes, des images et autres contenus).
(b) Rôles et conformité réglementaire ; autorisation. Les parties reconnaissent et conviennent que (i) Nitro est un sous-traitant de données personnelles en vertu des lois européennes sur la protection des données ; (ii) le client est un contrôleur (ou un sous-traitant agissant sur les instructions d'un contrôleur) de données personnelles en vertu des lois européennes sur la protection des données ; et (iii) chaque partie se conformera aux obligations qui lui sont applicables dans ce rôle en vertu des lois européennes sur la protection des données en ce qui concerne le traitement des données personnelles. Si le client est un sous-traitant, le client déclare et garantit à Nitro que les instructions et les actions du client concernant les données personnelles, y compris sa désignation de Nitro comme autre sous-traitant, ont été autorisées par le contrôleur concerné.
(c) Conformité de Nitro aux instructions. Nitro ne traitera les données personnelles que conformément aux instructions du client énoncées dans le présent DPA, sauf si les lois européennes applicables en matière de protection des données exigent le contraire, auquel cas Nitro en informera le client (sauf si cette loi interdit à Nitro de le faire).
(d) Suppression des données. Nitro supprimera toutes les Données Personnelles sur les systèmes de Nitro à la demande écrite du Client et après la fin de la fourniture des Services, et supprimera les copies existantes à moins que le stockage continu des Données Personnelles ne soit requis par (i) les lois applicables de l'Union européenne ou de ses Etats membres, en ce qui concerne les Données Personnelles soumises aux lois européennes sur la protection des données ou (ii) les lois applicables sur la protection des données, en ce qui concerne toutes les autres Données Personnelles. Nitro se conformera à cette instruction dès que cela sera raisonnablement possible et au plus tard 180 jours après cette expiration ou résiliation, à moins que les lois applicables en matière de protection des données n'exigent un stockage. Le client peut choisir de demander une copie de ces données personnelles à Nitro moyennant des frais supplémentaires en la demandant par écrit au moins 30 jours avant l'expiration ou la résiliation du contrat. Si les parties conviennent d'une telle charge en vertu d'un ordre de travail ou d'une autre modification du contrat, Nitro fournira cette copie de ces données personnelles avant qu'elles ne soient supprimées conformément à la présente clause.
2. Sécurité des données
(a) Mesures de sécurité, contrôles et assistance de Nitro
(i) Nitro Security Assistance. Sur demande écrite, Nitro fournira au Client l'assistance raisonnable nécessaire pour que le Client se conforme à ses obligations en matière de Données Personnelles en vertu des lois européennes sur la protection des données, y compris les articles 32 à 34 (inclus) du RGPD, en (a) mettant en œuvre et en maintenant les Mesures de Sécurité ; (b) en se conformant aux termes de la section 5(b) (Incidents de Sécurité de l'Information) du RGPD ; et (c) en se conformant à cette Annexe 1. Le Client reconnaît et accepte par la présente que ces mesures sont suffisantes pour permettre au Client de se conformer à ces obligations.
(ii) Conformité à la sécurité par le personnel de Nitro. Nitro veillera à ce que son personnel qui est autorisé à accéder aux données personnelles soit soumis à des obligations de confidentialité appropriées.
(b) Examens et vérifications de la conformité Le client peut vérifier la conformité de Nitro à ses obligations en vertu du présent DPA au plus une fois par année civile et à toute autre occasion requise par les lois européennes sur la protection des données, y compris lorsque l'autorité de surveillance du client l'exige. Nitro apportera son concours à ces audits en fournissant au client ou à l'autorité de surveillance du client les informations et l'assistance raisonnablement nécessaires à la réalisation de l'audit. Si un tiers doit effectuer l'audit, Nitro peut s'opposer à l'auditeur si celui-ci, selon l'avis raisonnable de Nitro, n'est pas indépendant, est un concurrent de Nitro ou est manifestement inadéquat. Une telle objection de la part de Nitro obligera le client à désigner un autre auditeur ou à effectuer lui-même l'audit. Pour demander un audit, le client doit soumettre à Nitro un plan d'audit proposé au moins trois (3) semaines avant la date d'audit proposée et tout auditeur tiers doit signer un accord de non-divulgation habituel mutuellement acceptable par Nitro (cette acceptation ne devant pas être refusée sans raison) prévoyant le traitement confidentiel de toutes les informations échangées dans le cadre de l'audit et de tous les rapports concernant les résultats ou les conclusions de celui-ci. Le plan d'audit proposé doit décrire la portée, la durée et la date de début proposées de l'audit. Nitro examinera le plan d'audit proposé et fera part au client de ses préoccupations ou de ses questions (par exemple, toute demande d'informations susceptibles de compromettre la sécurité, la protection des données, la confidentialité, l'emploi ou d'autres politiques pertinentes de Nitro). Nitro travaillera en coopération avec le client pour convenir d'un plan d'audit final. Rien dans cette section 2(b) n'oblige Nitro à violer ses obligations de confidentialité. Si les contrôles ou mesures à évaluer dans le cadre de l'audit demandé sont traités dans un rapport d'audit SOC 2 Type 2, ISO, ou un rapport d'audit similaire réalisé par un auditeur tiers qualifié et achevé dans les douze (12) mois de la demande d'audit du client et que Nitro a confirmé qu'il n'y a pas eu de changements négatifs importants connus dans les contrôles audités depuis la date de ce rapport, le client convient d'accepter ce rapport au lieu de demander un audit de ces contrôles ou mesures. L'audit doit être réalisé pendant les heures de travail habituelles de Nitro, sous réserve du plan d'audit final convenu et des politiques de sûreté, de sécurité et/ou autres politiques pertinentes de Nitro, et ne doit pas interférer de manière déraisonnable avec les activités commerciales de Nitro. Le client informera rapidement Nitro de toute non-conformité découverte au cours d'un audit et fournira à Nitro tous les rapports d'audit générés dans le cadre d'un audit en vertu de la présente section 2(b), à moins que les lois européennes sur la protection des données ne l'interdisent ou qu'une autorité de surveillance ne le demande. Le Client ne peut utiliser les rapports d'audit que dans le but de répondre aux exigences d'audit réglementaires du Client et/ou de confirmer la conformité aux exigences du présent DPA. Tous les audits sont aux frais exclusifs du Client. Le client remboursera à Nitro tout le temps passé par Nitro et par des tiers dans le cadre des audits ou inspections prévus par la présente section 2(b) aux tarifs des services professionnels de Nitro alors en vigueur, qui seront mis à la disposition du client sur demande. Le Client sera responsable de tous les frais facturés par tout auditeur nommé par le Client pour exécuter un tel audit.
3. Évaluations d'impact et consultations
Nitro aidera raisonnablement (en tenant compte de la nature du Traitement et des informations dont dispose Nitro) le Client à se conformer à ses obligations en vertu des articles 35 et 36 du GDPR, en (a) mettant à disposition la documentation décrivant les aspects pertinents du programme de sécurité des informations de Nitro et les mesures de sécurité appliquées en relation avec celui-ci et (b) en fournissant les autres informations contenues dans le Contrat, y compris le présent DPA.
4. Transferts de données
(a) Installations de traitement des données. Nitro peut, sous réserve de la section 4(b) (Transferts hors de l'EEE), stocker et traiter les données personnelles aux États-Unis ou partout où Nitro ou ses sous-traitants secondaires disposent d'installations.
(b) Transferts hors de l'EEE. Si le client transfère des données personnelles hors de l'EEE à Nitro dans un pays qui n'est pas considéré par la Commission européenne comme ayant une protection des données adéquate, ce transfert sera régi par les Clauses contractuelles standard, dont les termes sont par les présentes incorporés au présent APD. En complément de ce qui précède, les Parties conviennent que (i) le Client agira en tant qu’exportateur de données et Nitro agira en tant qu’importateur de données en vertu des Clauses contractuelles types ; (ii) aux fins de l’appendice 1 des clauses contractuelles types, les catégories de personnes concernées, les données, les catégories spéciales de données (le cas échéant) et les opérations de traitement sont définies à la section 1(a) de la présente annexe 1 (Objet et détails du traitement) ; (iii) aux fins de l’Annexe 2 aux Clauses contractuelles types, les mesures techniques et organisationnelles sont les Mesures de sécurité; (iv) l’importateur de données fournira les copies des accords de sous-traitant ultérieur qui doivent être envoyés par l’importateur de données à l’exportateur de données conformément à la Clause 5(j) des Clauses contractuelles types à la demande de l’exportateur de données, et cet importateur de données peut supprimer ou expurger au préalable toutes les informations commerciales ou clauses non liées aux Clauses contractuelles types ou à leur équivalent ; (v) les audits décrits à la Clause 5(f) et à la Clause 12(2) des Clauses contractuelles types sont effectués conformément à la section 2(b) de la présente annexe 1 (Examens et audits de conformité) ; (vi) Autorisations du client dans la section 5 (Sous-traitants) de la présente Annexe 1 constitueront le consentement écrit préalable du Client à la sous-traitance par Nitro du Traitement des Données à caractère personnel si un tel consentement est requis en vertu de la Clause 5(h) des Clauses contractuelles types ; et (vii) la certification de suppression des Données à caractère personnel telle que décrite à la Clause 12(1) des Clauses contractuelles types sera fournie sur demande écrite de l’importateur de données.
Nonobstant ce qui précède, les Clauses contractuelles types (ou des obligations identiques à celles prévues par les Clauses contractuelles types) ne s'appliqueront pas dans la mesure où une autre norme de conformité reconnue pour le transfert de Données personnelles en dehors de l'EEE conformément aux Lois européennes sur la protection des données s'applique au transfert. En cas de conflit ou d'incohérence entre (a) la présente annexe 1 et toute autre disposition du présent DPA, la présente annexe 1 prévaudra, ou (b) les Clauses contractuelles types et toute autre disposition du présent contrat, les Clauses contractuelles types prévaudront.
5. Sous-processeurs
(a) Consentement à l'engagement d'un sous-traitant. Le client autorise spécifiquement l'engagement des sociétés affiliées de Nitro en tant que sous-traitants secondaires et autorise généralement l'engagement d'autres tiers en tant que sous-traitants secondaires ("Tiers sous-traitants").
(b) Informations sur les sous-traitants ultérieurs. Des informations sur les Sous-traitants ultérieurs, y compris leurs fonctions et leur emplacement, sont disponibles à l’adresse suivante : https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (qui peut être mis à jour par Nitro de temps à autre) ou à toute autre adresse de site Web que Nitro peut fournir au Client de temps à autre (ensemble, le « Site du Sous-traitant ultérieur »).
(c) Exigences relatives à l'engagement du sous-traitant. Lors de l'engagement d'un sous-traitant ultérieur, Nitro conclura un contrat écrit avec ce sous-traitant ultérieur contenant des obligations de protection des données non moins protectrices que celles du présent DPA en ce qui concerne les données personnelles dans la mesure où elles sont applicables à la nature des services fournis par ce sous-traitant ultérieur. Nitro est responsable de toutes les obligations découlant du contrat sous-traité, du sous-traitant ultérieur ou de ses actions et omissions y afférentes.
(d) Possibilité de s'opposer aux modifications apportées par le sous-traitant. Lorsque Nitro engage un nouveau tiers sous-traitant après la date d'entrée en vigueur du contrat, Nitro notifiera le client de cet engagement (y compris le nom et l'emplacement du sous-traitant concerné et les activités qu'il exercera) en mettant à jour le site des sous-traitants ou par tout autre moyen écrit. Si le client s'oppose à cet engagement dans une notification écrite adressée à Nitro dans un délai de 15 jours après avoir été informé de l'engagement pour des motifs raisonnables liés à la protection des données personnelles, le client et Nitro travailleront ensemble en toute bonne foi pour trouver une résolution mutuellement acceptable pour répondre à cette objection. Si les parties ne parviennent pas à trouver une solution mutuellement acceptable dans un délai raisonnable, le client peut, à titre de recours unique et exclusif, résilier le contrat et annuler les services en adressant un préavis écrit à Nitro et payer à Nitro tous les montants dus et exigibles en vertu du contrat à la date de cette résiliation.
(e) Suffisance du consentement. Le Client reconnaît et accepte par la présente que les procédures susmentionnées sont suffisantes pour obtenir le consentement écrit préalable du Client au sous-traitement en vertu de l'article 28 du GDPR, et dans la mesure requise par la clause 5(h) des Clauses contractuelles types.
ANNEXE 2 À L’ANNEXE DU DPA CALIFORNIE
- Aux fins de la présente annexe 2, les termes " entreprise ", " but commercial ", " vendre " et " fournisseur de services " ont la signification respective qui leur est donnée dans l'ACCP, et " renseignements personnels " signifie les Données personnelles qui constituent des renseignements personnels régis par l'ACCP.
- Il est de l'intention des parties qu'en ce qui concerne toute information personnelle, Nitro soit un fournisseur de services. Nitro ne doit pas (a) vendre les informations personnelles ; (b) conserver, utiliser ou divulguer les informations personnelles dans un but autre que l'objectif spécifique de la fourniture des services, y compris la conservation, l'utilisation ou la divulgation des informations personnelles dans un but commercial autre que la fourniture des services ; ou (c) conserver, utiliser ou divulguer les informations personnelles en dehors de la relation commerciale directe entre Nitro et le client. Nitro certifie par la présente qu'elle comprend ses obligations en vertu de cette section 2 et qu'elle s'y conformera.
- Les parties reconnaissent que la conservation, l'utilisation et la divulgation par Nitro des informations personnelles autorisées par les instructions du client documentées dans le DPA font partie intégrante de la fourniture des services par Nitro et de la relation commerciale entre les parties.
ANNEXE 3 AUX MESURES DE SÉCURITÉ DE LA DPA
La protection de l’information est l’objectif principal de la sécurité de l’information, qui est atteinte par la mise en œuvre d’un ensemble approprié de contrôles, y compris des structures organisationnelles, des politiques et des procédures, des processus et des contrôles informatiques techniques. Ces contrôles doivent être conçus, mis en œuvre, surveillés, examinés et améliorés pour garantir que les actifs informationnels de Nitro et de ses sociétés affiliées, de ses partenaires ou de ses clients sont sécurisés à tout moment. Reportez-vous à la section Mesures techniques d’organisation.