Addendum mondial et américain par défaut sur le traitement des données
Nitro Pro
ADDENDUM SUR LE TRAITEMENT DES DONNÉES AU NIVEAU MONDIAL ET AUX ÉTATS-UNIS
CET ACCORD SUR LE TRAITEMENT DES DONNÉES S'APPLIQUE SI VOUS VOUS ÊTES INSCRIT AUX SERVICES NITRO EN TANT QUE CLIENT PROFESSIONNEL CONFORMÉMENT AUX CONDITIONS DE SERVICE NITRO, SAUF SI LE GDPR DE L'UE, LE GDPR DU ROYAUME-UNI OU LE FADP (SUISSE) S'APPLIQUE AU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DANS LE CADRE DE L'ACCORD, AUQUEL CAS L'ADDENDUM SUR LE TRAITEMENT DES DONNÉES CORRESPONDANT S'APPLIQUERA. SI VOUS VOUS ÊTES INSCRIT EN TANT QU'INDIVIDU, VEUILLEZ CONSULTER LA POLITIQUE DE CONFIDENTIALITÉ DE NITRO POUR PLUS D'INFORMATIONS SUR LA MANIÈRE DONT NITRO TRAITE VOS DONNÉES PERSONNELLES.
En contrepartie des obligations mutuelles énoncées dans le présent addendum sur le traitement des données et dans toutes les annexes et pièces jointes (l'"addendum sur le traitement des données"), dont le caractère suffisant est reconnu, Nitro (telle que définie à l'article 2 des conditions de service de Nitro) et la personne morale identifiée dans le formulaire de commande comme étant le client ("client") concluent par les présentes le présent contrat contraignant entre eux et applicable à tous les services (tels que définis à l'article 2 des conditions de service de Nitro) mis à leur disposition par Nitro. Nitro et le client peuvent être désignés dans les présentes collectivement comme lesparties"" ou individuellement comme unepartie"" .
1. CHAMP D'APPLICATION ; RÔLES DES PARTIES
Nitro reçoit et traite les renseignements personnels au profit et pour le compte du client lorsqu'elle fournit les services, conformément aux instructions et à la finalité définies par le client dans les détails du traitement des données. Le présent addendum sur le traitement des données énonce les accords spécifiques des parties concernant le traitement des informations à caractère personnel dans le cadre du présent addendum sur le traitement des données et de l'accord.
Par défaut, Nitro agit en qualité de sous-traitant et le client en qualité de responsable du traitement en ce qui concerne les services fournis par Nitro au client conformément aux conditions de service de Nitro. Le présent addendum sur le traitement des données annule et remplace tous les accords antérieurs (le cas échéant) relatifs au traitement des informations personnelles et à la protection des données entre les parties en ce qui concerne les services offerts par Nitro.
Le présent addendum sur le traitement des données complète les conditions de service et en fait partie intégrante. Ensemble, les conditions de service et le présent addendum sur le traitement des données constituent un accord juridique unique entre les parties. En cas de divergence ou de contradiction entre le présent addendum relatif au traitement des données et les conditions de service, l'addendum relatif au traitement des données prévaudra.
2. DÉFINITIONS
"Annexe" : toute annexe au présent addendum sur le traitement des données ;
Le "contrôleur" désigne le client tel qu'il est identifié dans les conditions de service et le bon de commande applicable ;
"Détails du traitement des données" : l'annexe 1 du présent avenant relatif au traitement des données, qui décrit les instructions du client concernant le traitement des données à caractère personnel, telles que la finalité, l'objet et la nature du traitement, ainsi que le type de données à caractère personnel traitées ;
Le terme "personne concernée" ou tout terme équivalent (tel que "individu") a la signification indiquée dans la législation applicable en matière de protection des données ou, en l'absence d'une telle législation, désigne une personne physique identifiée ou identifiable qui se rapporte au client ;
L'expression "violation de données" ou tout autre terme équivalent (tel que "violation de données personnelles", "incident de sécurité") a le sens qui lui est donné dans la législation applicable en matière de protection des données ou, en l'absence d'une telle législation, désigne tout (i) accès non autorisé aux renseignements personnels du client dont Nitro a la garde, ou toute utilisation, divulgation ou autre traitement de ces renseignements, (ii) vol ou acquisition non autorisée de ces renseignements personnels, (iii) incident qui compromet la sécurité de ces renseignements personnels ;
"GDPR" : le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
On entend par "pièce" toute pièce jointe au présent addendum sur le traitement des données ;
"FADP" : la loi fédérale suisse sur la protection des données (telle que modifiée) ;
Les "informations personnelles" ou tout autre terme équivalent (tel que "données personnelles" ou "informations personnellement identifiables") ont le sens qui leur est donné dans la législation applicable en matière de protection des données ou, en l'absence d'une telle législation, désignent toute information qui, seule ou combinée à d'autres informations (telles que le numéro de téléphone ou l'adresse électronique), peut être utilisée par Nitro pour identifier une personne physique spécifique ;
Le "processeur" désigne Nitro Software Inc. fournisseur des services au client et tel qu'identifié dans les conditions de service ;
La "liste des sous-traitants" désigne la liste des sous-traitants mise à disposition en ligne par Nitro, qui comprend les sous-traitants engagés par Nitro pour la fourniture des services et l'exécution des obligations de Nitro en vertu des présentes conditions générales.
Accord en général. Nitro peut mettre à jour la liste des sous-traitants de temps à autre conformément à la procédure définie dans le présent addendum sur le traitement des données ;
"Sous-traitant" : tout sous-traitant tiers engagé par Nitro pour le traitement des renseignements personnels liés à la fourniture des services au client ;
"GDPR britannique" : le GDPR de l'UE transposé dans le droit national du Royaume-Uni en vertu de l'article 3 de la loi sur le retrait de l'Union européenne 2018 et tel que modifié par le règlement sur la protection des données, la vie privée et les communications électroniques (amendements, etc.) (sortie de l'UE) 2019 (tel que modifié).
Tous les autres termes et définitions écrits avec une majuscule et qui ne sont pas définis expressément dans le présent addendum sur le traitement des données sont définis comme indiqué dans la législation applicable en matière de protection des données ou dans les conditions de service de Nitro.
3. OBJET DU PRÉSENT ACCORD SUR LE TRAITEMENT DES DONNÉES
3.1 Le présent addendum sur le traitement des données détermine les conditions du traitement par Nitro des informations personnelles. La nature et la finalité du traitement, la liste et le type d'informations personnelles ainsi que les catégories de personnes concernées sont énumérées dans les détails du traitement des données (annexe 1).
4. TERME
4.1 Le présent addendum sur le traitement des données s'applique à tous les traitements de renseignements personnels et s'applique aussi longtemps que Nitro traite des renseignements personnels pour le compte du client dans le cadre du contrat. Le présent addendum sur le traitement des données complète les conditions de service de Nitro et vise à garantir le respect par les parties des exigences imposées par les lois et règlements applicables en matière de protection des données pour l ́utilisation des services par le client.
4.2 Le présent addendum sur le traitement des données prend fin automatiquement à la résiliation de l'accord (ou au moment où le traitement par Nitro prend fin). Les dispositions du présent avenant relatif au traitement des données qui sont expressément ou implicitement (compte tenu de leur nature) destinées à produire leurs effets après la fin de l'avenant relatif au traitement des données survivront à la fin de l'accord en ce qui concerne les données à caractère personnel communiquées par le client ou à son initiative dans le cadre de l'accord.
5. MESURES TECHNIQUES ET ORGANISATIONNELLES
5.1 Nitro a mis en œuvre des mesures techniques et organisationnelles appropriées ("MTO") visant à sécuriser le traitement des informations personnelles. Les MTT mises en œuvre par Nitro sont celles qui figurent dans les détails du traitement des données et peuvent être mises à jour par Nitro de temps à autre, mais Nitro veillera à ne pas réduire la sécurité globale qu'elle a mise en œuvre au moment de l'exécution de l'addendum sur le traitement des données. Le client reconnaît que les TOM sont adéquats pour le traitement de ses informations personnelles au moment de la signature ou de l'acceptation du présent addendum sur le traitement des données.
5.2 Si le client demande que Nitro mette en œuvre des mesures techniques et organisationnelles spécifiques (que Nitro n'a pas mises en œuvre par défaut), le client remboursera Nitro pour la mise en œuvre de ces mesures supplémentaires conformément à la section 11 "Coûts" du présent avenant relatif au traitement des données.
6. RETENUE
6.1 Nitro ne conservera pas les renseignements personnels plus longtemps qu'il n'est nécessaire pour le traitement de ces renseignements personnels dans le cadre de l'accord. Le client ne demandera pas à Nitro de conserver des informations personnelles plus longtemps que nécessaire. La période de conservation applicable (telle que définie par le client) est indiquée dans les détails du traitement des données.
6.2 Nitro supprime ou renvoie tous les renseignements personnels au client après la fin de la fourniture des services et supprime les copies existantes, à moins que la loi applicable n'exige la conservation des renseignements personnels. Le client reconnaît que les services peuvent inclure des fonctionnalités de téléchargement à la disposition du client pour lui permettre de télécharger ses données. Dans la mesure où de telles fonctionnalités sont disponibles, le client les utilisera pour extraire ou supprimer ses données.
7. CONFIDENTIALITÉ
7.1 Les parties ont convenu d'une clause de confidentialité dans les conditions de service qui s'applique au traitement des informations personnelles dans le cadre de l'accord.7.2 Nitro reconnaît et convient que seuls les employés, contractants ou agents de Nitro qui participent au traitement des renseignements personnels peuvent être informés de ces renseignements et uniquement dans la mesure raisonnablement nécessaire à l'exécution de l'accord. Nitro veille à ce que les personnes autorisées à traiter les données personnelles s'engagent par contrat à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité.
8. OBLIGATION DE NOTIFICATION
8.1 Dès qu'elle a connaissance d'une violation de données, Nitro doit, dans la mesure où la loi applicable ou une annexe au présent addenda sur le traitement des données l'exige, en aviser le client dans les meilleurs délais en communiquant avec la personne-ressource indiquée dans le contrat ou le bon de commande pertinent (ou encore par l'intermédiaire de l'adresse électronique de notification du client ou (le cas échéant) de toute autre adresse électronique que le client a communiquée dans le portail d'administration à titre de personne-ressource en matière de protection de la vie privée). La personne de contact de Nitro pour toute question relative à la protection des données peut être contactée par courriel : privacy@gonitro.com.
9. SOUS-TRAITEMENT
9.1 Le client autorise expressément Nitro à faire appel à des sous-traitants pour le traitement des renseignements personnels aux fins de l'exécution du contrat et pour faciliter la fourniture des services en général. Dans cette mesure, le client donne à Nitro une autorisation écrite générale de décider avec quel(s) sous-traitant(s) secondaire(s) Nitro coopère pour l'exécution de ses obligations en vertu de l'accord. Nitro publie une liste de sous-trait ants secondaires qui fait référence aux sous-traitants secondaires engagés par Nitro.
10. DROIT D'AUDIT
10.1 Le client a le droit de procéder à des audits concernant le respect par Nitro des obligations qui lui incombent en vertu du présent addendum sur le traitement des données et de la législation applicable en matière de protection des données. Nitro s'efforce raisonnablement de coopérer à ces audits et de mettre à disposition toutes les informations nécessaires pour prouver qu'elle s'est acquittée de son obligation. Le client informe Nitro de cet audit au moins un (1) mois avant la date à laquelle l'audit sera effectué, en adressant un avis écrit à Nitro par l'intermédiaire de privacy@gonitro.com.
10.2 En cas d'audit, toutes les parties concernées doivent d'abord signer un accord de non-divulgation spécifique émis par Nitro concernant cet audit et ses résultats avant le début de l'audit. Lors de la réalisation d'un tel audit, les obligations de confidentialité des parties à l'égard des tiers doivent être prises en compte. Les parties et leurs auditeurs doivent garder secrètes les informations recueillies dans le cadre d'un audit et les utiliser exclusivement pour vérifier leur conformité avec le présent addendum sur le traitement des données et les lois et règlements applicables en matière de protection des données. Le client a la possibilité d'effectuer l'audit lui-même ou de désigner un auditeur indépendant, qui doit toutefois signer l'accord de non-divulgation visé dans la présente section.
10.3 Les deux parties et, le cas échéant, leurs représentants, coopèrent raisonnablement, sur demande, avec toute autorité de régulation compétente dans le cadre de l'audit.
10.4 Le client rembourse à Nitro l'assistance fournie par cette dernière dans le cadre de l'audit ou des audits conformément à la section 11 "Coûts" du présent avenant relatif au traitement des données. Il est entendu que ce remboursement ne s'applique pas (i) si l'audit résulte d'une violation de données dont il est prouvé qu'elle est imputable à Nitro ou (ii) si l'assistance de Nitro n'excède pas quatre (4) heures de travail pendant la durée de la convention.
11. COÛTS
11.1 L'assistance à fournir en vertu du présent avenant relatif au traitement des données, pour laquelle Nitro peut facturer le client, sera facturée sur la base des heures travaillées et des taux horaires standard applicables de Nitro (USD 295/heure hors taxes). Nitro facturera ces montants sur une base mensuelle, mais a également le droit de demander un acompte.
11.2 Le paiement par le client à Nitro de l'assistance et des services professionnels fournis par Nitro en vertu du présent addendum sur le traitement des données s'effectue conformément aux dispositions des conditions de service.
12. PASSIF
12.1 Dans toute la mesure permise par le droit applicable, les dispositions des conditions de service relatives à la limitation de la responsabilité s'appliquent également au présent addendum sur le traitement des données et aux dommages qui en découlent.
13. DIVERS
13.1 Les dispositions des conditions de service relatives aux modifications, à l'intégralité de l'accord, à la divisibilité, au droit applicable et aux tribunaux compétents sont applicables au présent addendum sur le traitement des données.
13.2 Le présent addendum sur le traitement des données est complété par les conditions spécifiques à l'ACCP figurant dans la pièce 1 ci-jointe, dans la mesure où cela est nécessaire comme indiqué dans la pièce 1.
Annexe par défaut 1 - Détails du traitement des données
DESCRIPTION DU TRAITEMENT
1) OBJET DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
L'objet est déterminé par le client comme indiqué dans le contrat et le bon de commande correspondant.
2) LA NATURE ET LA FINALITÉ DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
La nature et la finalité du traitement sont déterminées par le client comme indiqué dans l'accord et le bon de commande correspondant.
Par défaut, ce traitement a pour objet de mettre le service, y compris toutes ses caractéristiques et fonctionnalités, à la disposition du client et de ses utilisateurs et, plus généralement, de permettre à Nitro de s'acquitter de ses obligations contractuelles en vertu du contrat. Il peut s'agir de la mise à disposition des services en nuage (par exemple, mais sans s'y limiter, la mise à disposition du portail client en nuage, des services de signature électronique, des services d'analyse, etc.
La nature du traitement comprend, entre autres instructions données par le client dans l'accord et le bon de commande correspondant, le traitement, la collecte, le stockage, la communication et le transfert de données à caractère personnel.
3) INFORMATIONS PERSONNELLES TRAITÉES
Selon les fonctionnalités utilisées dans le cadre des services (par ex. ) et le contenu des informations personnelles téléchargées par le client et ses utilisateurs dans les services, Nitro traite différents types d'informations personnelles. En général, les informations personnelles traitées par Nitro comprennent, sans s'y limiter, les éléments suivants :
- Données d'identification (par exemple, données relatives à l'utilisateur et à l'utilisation)
Données relatives aux documents (par exemple, les informations personnelles contenues dans les documents PDF traités)
Un aperçu détaillé du type d'informations personnelles traitées lors de l'utilisation des services est disponible via le Trust Center de Nitro : https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data
4) CATÉGORIE DE PERSONNES CONCERNÉES
Les catégories suivantes de personnes concernées sont incluses par défaut dans le champ d'application :
- Tous les utilisateurs ayant accès aux services (y compris les utilisateurs administrateurs, les utilisateurs généraux ou les utilisateurs invités tels que les signataires).
- Toutes les personnes concernées incluses dans les données du client téléchargées dans les services par le client ou ses utilisateurs.
Le client confirme que les personnes concernées seront considérées par défaut comme appartenant à l'une des catégories suivantes :
- Personnel du client
- Clients du client
- Perspectives du client
- Fournisseurs du client
5) SOUS-PROCESSEURS
Nitro fait appel à des sous-traitants pour s'assurer que toutes les fonctionnalités sont disponibles dans les services. Le choix des sous-traitants dépend des services utilisés et des fonctionnalités et configurations demandées par le client. Une liste détaillée des sous-traitants engagés par Nitro (y compris la procédure que nous appliquons lorsque nous engageons de nouveaux sous-traitants) est disponible dans notre centre de confiance : https://www.gonitro.com/trust-center/data-protection/subprocessors- and-subcontractors.
6) MESURES TECHNIQUES ET ORGANISATIONNELLES (MTO)
Nitro met en œuvre des mesures techniques et organisationnelles appropriées pour garantir une sécurité adéquate lors de l'utilisation des services. Nous mettons continuellement à jour ces mesures. Un aperçu détaillé des mesures prises est disponible via notre Trust Center dans notre section Sécurité : https://www.gonitro.com/trust-center/security et dans notre politique de sécurité de l'information. Notre centre de confiance énumère également les certifications détenues par Nitro dans la section Conformité : https://www.gonitro.com/trust-center/compliance.
7) PÉRIODE DE RÉTENTION
Nitro ne conservera pas les informations personnelles plus longtemps que nécessaire pour la fourniture des services. Selon les services et les fonctionnalités que vous utilisez en tant que client, la ou les périodes de conservation applicables peuvent différer. Chaque client peut demander à Nitro de configurer des périodes de conservation spécifiques pour son environnement (dans la mesure où cela est techniquement possible).
Si aucune période de conservation spécifique n'a été configurée, les renseignements personnels seront par défaut conservés par Nitro jusqu'à leur suppression par le client ou jusqu'à la résiliation du contrat entre Nitro et le client (plus un maximum de 30
jours), quelle que soit la première de ces deux situations. Un aperçu détaillé des périodes de conservation est disponible dans notre centre de confiance : https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data.
8) COORDONNÉES DE L'ÉQUIPE DE PROTECTION DE LA VIE PRIVÉE DE NITRO
privacy@gonitro.com
Nitro Software Inc.447 Sutter St, STE 405 #1015, San Francisco, CA 94108 États-Unis
PIÈCE 1 - TERMES SPÉCIFIQUES À LA CCPA
1. Dans la mesure où Nitro reçoit des renseignements personnels du client ou en son nom et que ces renseignements sont assujettis à la Loi sur la protection des renseignements personnels, les dispositions suivantes s'appliquent. En cas de conflit entre le présent appendice 1 et l'addendum sur le traitement des données, c'est le premier qui prévaut.
1.1 CCPA. Dans la mesure où (a) Nitro reçoit des renseignements personnels du client ou en son nom afin de les traiter pour le compte du client en vue de fournir les services, et (b) ces renseignements personnels sont assujettis à la LPCC ("renseignements personnels du client"), Nitro doit (i) se conformer à toutes les obligations applicables à Nitro en vertu de la LPCC et fournir le même niveau de protection de la vie privée et de la sécurité que celui exigé par la LPCC ; (ii) ne pas vendre ni partager les renseignements personnels du client ; (iii) ne pas conserver, utiliser ou divulguer les renseignements personnels du client (a) à des fins autres que les fins commerciales précisées dans le présent addenda relatif au traitement des données ou dans la convention (y compris la conservation, l'utilisation ou la divulgation des renseignements personnels du client à des fins commerciales autres que les fins commerciales précisées dans la présente convention relative au traitement des données ou dans la convention) ou autrement autorisées par la Loi sur la protection des renseignements personnels, ou (b) en dehors de la relation d'affaires directe entre le client et Nitro ; (iv) dans la mesure où le client divulgue des données dépersonnalisées à Nitro ou les met autrement à sa disposition, Nitro (a) prendra des mesures raisonnables pour s'assurer que les données dépersonnalisées ne peuvent être associées à une personne ou à un ménage, (b) s'engagera publiquement à conserver et à utiliser les renseignements sous forme dépersonnalisée et à ne pas tenter de les réidentifier, et (c) obligera contractuellement tout autre destinataire à se conformer à toutes les dispositions du présent sous-paragraphe (iv) ; (v) ne combinera pas les renseignements personnels du client concernant une personne que Nitro reçoit de la part de, ou de la part de, Nitro. (vi) aviser le client s'il fait appel à un sous-traitant pour traiter les renseignements personnels du client et divulguer les renseignements personnels du client à ce sous-traitant en vertu d'un contrat écrit dont les modalités prévoient le même niveau de protection desdits renseignements personnels que celui exigé par la Loi canadienne sur la protection des renseignements personnels ; (vii) mettre en œuvre les mesures organisationnelles et techniques appropriées à la nature des informations personnelles du client pour protéger la sécurité des informations personnelles du client et des systèmes contre tout accès, destruction, utilisation, modification ou divulgation non autorisés ; (viii) aviser le client si Nitro détermine qu'elle ne peut plus respecter ses obligations en vertu de la CCPA ; (ix) aviser le client si Nitro reçoit une demande d'exercice des droits à la protection de la vie privée de la part d'une personne concernant les informations personnelles du client de cette personne (une "demande"). Nitro ne communique pas autrement avec une personne au sujet de sa demande, sauf si le client lui en donne l'ordre ou si Nitro est tenue de communiquer avec une personne en vertu de la loi applicable. Nitro, d'une manière compatible avec la nature et la fonctionnalité des services fournis en vertu du présent DPA et le rôle de Nitro en tant que prestataire de services, fournit un soutien raisonnable au client pour lui permettre de répondre à une demande en vertu du CCPA et de s'y conformer ; et, au plus tard une fois par an, met à la disposition du client, sur demande, les informations raisonnablement nécessaires pour démontrer le respect du présent article 1, y compris en fournissant des résumés des politiques applicables en matière de protection de la vie privée et de sécurité à des fins d'examen et d'audit.
1.2 Certification. Dans la mesure où Nitro est un contractant, elle certifie qu'elle comprend les restrictions énoncées au paragraphe 1.1 et qu'elle s'y conformera.
1.3 Utilisation de PI par le client. Dans la mesure où le client divulgue, partage ou met autrement à la disposition de Nitro des IP du client, il le fait aux fins commerciales spécifiques énoncées dans le présent addendum sur le traitement des données. Le client peut prendre des mesures raisonnables et appropriées pour s'assurer que Nitro utilise les renseignements personnels des clients transférés à Nitro d'une manière conforme aux obligations du client en vertu de la Loi sur la protection des renseignements personnels. Le client peut, moyennant un préavis raisonnable à Nitro, prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée des informations personnelles du client et y remédier.
1.4 Définitions. Les termes commençant par une majuscule utilisés dans la présente section 1 qui ne sont pas autrement définis dans le présent Addendum sur le traitement des données ont la signification qui leur est attribuée en vertu de la CCPA. Aux fins de la présente section 1, « CCPA » désigne la loi californienne sur la protection de la vie privée des consommateurs et tout règlement d’application qui y est émané, chacun tel que modifié (y compris par la loi californienne sur les droits à la vie privée et tout règlement promulgué à cet égard).