Addendum sur le traitement des données dans le cadre du GDPR de l'UE
Nitro Pro
LE PRÉSENT ADDENDUM SUR LE TRAITEMENT DES DONNÉES S’APPLIQUE SI VOUS VOUS ÊTES INSCRIT AUX SERVICES NITRO EN TANT QUE CLIENT PROFESSIONNEL DANS LE CADRE DES CONDITIONS D’UTILISATION DE NITRO ET QUE LE RGPD DE L’UE S’APPLIQUE AU TRAITEMENT DES DONNÉES PERSONNELLES DANS LE CADRE DU CONTRAT. SI VOUS VOUS ÊTES INSCRIT EN TANT QU’INDIVIDU, VEUILLEZ CONSULTER LA POLITIQUE DE CONFIDENTIALITÉ DE NITRO POUR PLUS D’INFORMATIONS SUR LA FAÇON DONT NITRO TRAITE VOS DONNÉES PERSONNELLES.
1. CHAMP D'APPLICATION ; RÔLES DES PARTIES
Nitro reçoit et traite les données à caractère personnel au profit et pour le compte du client lorsqu'elle fournit les services, conformément aux instructions et à la finalité définies par le client dans les détails du traitement des données. Par le présent addendum sur le traitement des données, les parties souhaitent définir leurs accords spécifiques concernant le traitement des données à caractère personnel dans le cadre de l'accord.
Par défaut, Nitro agit en tant que processeur et le client agit en tant que contrôleur en ce qui concerne les services fournis par Nitro au client conformément aux conditions d'utilisation de Nitro. Cet addendum sur le traitement des données annule et remplace tous les accords précédents conclus (le cas échéant) en matière de traitement des données personnelles et de protection des données entre les parties en ce qui concerne les services proposés par Nitro.
Le présent addendum sur le traitement des données complète les conditions de service et en fait partie intégrante. Ensemble, les conditions de service et le présent addendum sur le traitement des données constituent un accord juridique unique entre les parties. En cas de divergence ou de contradiction entre le présent addendum relatif au traitement des données et les conditions de service, l'addendum relatif au traitement des données prévaudra.
2. DÉFINITIONS
"Annexe": toute annexe au présent addendum sur le traitement des données ;
"Controller to Processor SCCs" " désigne le module 2 des clauses contractuelles types de l'UE énoncées dans la décision d'exécution (UE) 2021/914 du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil. juin relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) / du Parlement européen et du Conseil, telle que modifiée ou remplacée de temps à autre par une autorité compétente en vertu des lois pertinentes sur la protection des données ;
Le "contrôleur" désigne le client tel qu'il est identifié dans les conditions de service et le bon de commande applicable ;
"Détails du traitement des données" désigne l'annexe 1 du présent avenant relatif au traitement des données, qui contient plus de détails sur les instructions du client concernant le traitement des données à caractère personnel, telles que la finalité, l'objet et la nature du traitement, ainsi que le type de données à caractère personnel traitées ;
"GDPR": le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
"Clauses contractuelles types de l'UE" ou "CCN": les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers adoptées par la Commission européenne en vertu de la décision d'exécution (UE) 2021/914 du 4 juin 2021. juin , y compris les clauses contractuelles types entre le responsable du traitement et le sous-traitant et le texte du module deux de ces clauses contractuelles types, à l'exclusion de tout autre module et de toute clause indiquée comme facultative dans les clauses, telles que modifiées ou remplacées de temps à autre par une autorité compétente en vertu des lois sur la protection des données pertinentes. Lorsque le Parlement européen et le Conseil adoptent un ensemble mis à jour de clauses contractuelles types de l'UE, les "clauses contractuelles types de l'UE" seront considérées comme l'adaptation la plus récente ;
On entend par "données à caractère personnel" les données à caractère personnel, telles que définies dans le règlement GDPR de l'UE, que Nitro traite au profit et pour le compte du client lorsqu'elle fournit les services conformément aux instructions et à l'objectif définis par le client dans les détails relatifs au traitement des données ;
Le "processeur" désigne Nitro Software Inc. fournisseur des services au client et tel qu'identifié dans les conditions de service ;
La "liste des sous-traitants" désigne la liste des sous-traitants mise à disposition en ligne par Nitro, qui comprend les sous-traitants engagés par Nitro pour la fourniture des services et l'exécution des obligations de Nitro en vertu de l'avenant en général. Nitro peut mettre à jour la liste des sous-traitants secondaires de temps à autre, conformément à la procédure définie dans le présent addendum relatif au traitement des données ;
"Sous-traitant": tout sous-traitant tiers engagé par Nitro pour le traitement des données à caractère personnel liées à la fourniture des services au client ;
Tous les autres termes et définitions écrits avec une majuscule et qui ne sont pas définis expressément dans le présent addendum sur le traitement des données sont définis comme indiqué dans la législation applicable en matière de protection des données ou dans les conditions de service de Nitro.
3. OBJET DU PRÉSENT AVENANT RELATIF AU TRAITEMENT DES DONNÉES
3.1 Le présent addendum sur le traitement des données détermine les conditions du traitement par Nitro des données personnelles communiquées par le client ou à son initiative dans le cadre du contrat. La nature et la finalité du traitement, la liste et la nature des données personnelles ainsi que les catégories de personnes concernées sont énumérées dans les détails du traitement des données (annexe 1).
3.2 Le traitement a lieu exclusivement au profit du client et aux fins définies par ce dernier dans les détails du traitement des données. Nitro informe immédiatement le client si, à son avis, une instruction enfreint la législation (sur la protection des données) applicable. Nitro ne traitera les données à caractère personnel que conformément aux instructions documentées du client et n'utilisera pas ces données à caractère personnel à ses propres fins, sauf autorisation expresse dans les conditions de service. Si Nitro est légalement tenue de procéder à un traitement de données personnelles, elle en informera le client, à moins que cela n'enfreigne les règles impératives applicables.
4. TERME
4.1 Le présent avenant s'applique à tous les traitements de données à caractère personnel effectués dans le cadre de la fourniture des services au client par Nitro et s'applique aussi longtemps que Nitro traite des données à caractère personnel pour le compte du client dans le cadre du contrat. Le présent addendum sur le traitement des données complète les conditions de service de Nitro et vise à assurer le respect par les parties des exigences imposées par les lois et règlements applicables en matière de protection des données pour l ́utilisation des services par le client.
4.2 Le présent avenant relatif au traitement des données prend fin automatiquement à la résiliation du contrat (ou au moment où il est mis fin au traitement des données par Nitro). Les dispositions du présent avenant relatif au traitement des données qui sont expressément ou implicitement (compte tenu de leur nature) destinées à produire leurs effets après la résiliation de l'avenant relatif au traitement des données survivent à la fin du contrat en ce qui concerne les données à caractère personnel communiquées par le client ou à son initiative dans le cadre du contrat.
5. MESURES TECHNIQUES ET ORGANISATIONNELLES
5.1 Nitro offre des garanties suffisantes en ce qui concerne la mise en œuvre de mesures techniques et organisationnelles appropriées ("MTO") pour assurer un traitement sécurisé des données à caractère personnel et garantir ainsi la protection des droits de la personne concernée. Les MTO mises en œuvre par Nitro sont exposées dans les détails du traitement des données. Les TOM peuvent être mis à jour par Nitro de temps à autre, mais Nitro veillera à ne pas réduire la sécurité globale qu'elle a mise en place au moment de l'exécution de l'avenant relatif au traitement des données. Le client reconnaît que les TOM sont adéquats pour le traitement de ses données personnelles au moment de la signature ou de l'acceptation du présent addendum sur le traitement des données.
5.2 Nitro prend toutes les mesures techniques et organisationnelles appropriées visées à l'article 32 GDPR de l'UE pour assurer un niveau de sécurité adéquat en fonction du risque.
5.3 Si le client fournit à Nitro, dans le cadre du contrat, des données à caractère personnel sensibles telles que visées aux articles 9 et 10 GDPR de l'UE à Nitro dans le cadre du contrat, le client en informe Nitro par écrit à l'adresse privacy@gonitro.com.
5.4 Si le client demande que Nitro mette en œuvre des mesures techniques et organisationnelles spécifiques (que Nitro n'a pas mises en œuvre par défaut), il doit rembourser Nitro pour la mise en œuvre de ces mesures supplémentaires conformément à la section 14 "Coûts" du présent avenant relatif au traitement des données.
5.5 Adhésion de Nitro à un code de conduite approuvé, tel que visé à l'article 40 GDPR de l'UE, ou à un mécanisme de certification approuvé visé à l'article 42 GDPR de l'UE peut être utilisé comme élément de preuve des garanties suffisantes visées dans le GDPR de l'UE.
6. RETENUE
6.1 Nitro ne conservera pas les données à caractère personnel plus longtemps qu'il n'est nécessaire pour le traitement de ces données dans le cadre du contrat. Le client ne demandera pas à Nitro de conserver des données personnelles plus longtemps que nécessaire. La période de conservation applicable (telle que définie par le client) est indiquée dans les détails du traitement des données.
6.2 Au choix du client, Nitro supprime ou restitue toutes les données personnelles au client après la fin de la fourniture des services et supprime les copies existantes, sauf si la législation de l'Union ou d'un État membre exige la conservation des données personnelles. Le client reconnaît que les services peuvent inclure des fonctionnalités de téléchargement à la disposition du client pour lui permettre de télécharger ses données. Dans la mesure où ces fonctionnalités sont disponibles, le client doit les utiliser pour extraire ou supprimer ses données.
7. CONFIDENTIALITÉ
7.1 Les parties ont convenu d'une clause de confidentialité dans les conditions de service qui s'applique au traitement des données à caractère personnel dans le cadre de l'accord.
7.2 Nitro reconnaît et convient que seuls les employés, sous-traitants ou agents de Nitro qui participent au traitement des données à caractère personnel peuvent être informés de ces données et uniquement dans la mesure où cela est raisonnablement nécessaire à l'exécution du contrat. Nitro veille à ce que les personnes autorisées à traiter les données personnelles s'engagent par contrat à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité.
8. DROITS DE LA PERSONNE CONCERNÉE
8.1 Compte tenu de la nature du traitement, Nitro déploie tous les efforts raisonnables, en prenant les mesures techniques et organisationnelles appropriées, pour aider le client à s'acquitter de son obligation de répondre aux demandes des personnes concernées.
8.2 Pour toute l'assistance fournie par Nitro dans le cadre du traitement des demandes des personnes concernées, le client remboursera Nitro conformément à la section 14 "Coûts" du présent addendum sur le traitement des données. Ce remboursement par le client ne s'applique pas (i) si la personne concernée invoque ses droits en raison d'une violation de données personnelles dont il est prouvé qu'elle est imputable à Nitro ou (ii) si l'assistance fournie par Nitro ne dépasse pas quatre (4) heures de travail pendant la durée de l'accord.
9. OBLIGATION DE NOTIFICATION
9.1 Dès qu'elle a connaissance d'une violation de données à caractère personnel, Nitro en informe le client dans les meilleurs délais en contactant la personne de contact indiquée dans le contrat ou le bon de commande correspondant (ou encore par l'intermédiaire de l'adresse électronique de notification du client ou (le cas échéant) de toute autre adresse électronique que le client a communiquée dans le portail d'administration en tant que personne de contact pour la protection des données à caractère personnel). La personne de contact de Nitro pour toute question relative à la protection des données peut être contactée par courriel : privacy@gonitro.com.
9.2 À la demande du client, Nitro l'informera de tout fait nouveau concernant une violation de données à caractère personnel et des mesures prises pour en limiter les conséquences et empêcher qu'elle ne se reproduise. Il incombe au client de signaler toute violation de données à caractère personnel à l'autorité de contrôle ou à la (aux) personne(s) concernée(s), le cas échéant.
10. SOUS-TRAITEMENT
10.1 Le client autorise expressément Nitro à faire appel à des sous-traitants pour le traitement des données à caractère personnel aux fins de l'exécution du contrat et pour faciliter la fourniture des services en général. Dans cette mesure, le client donne à Nitro une autorisation écrite générale de décider avec quel(s) sous-traitant(s) sous-traitant(s) Nitro coopère pour s'acquitter de ses obligations en vertu du contrat. Nitro publie une liste des sous-traitants qui fait référence aux sous-traitants engagés par Nitro.
10.2 Nitro informera le client de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants par l'intermédiaire de la personne de contact du client indiquée dans le contrat ou le bon de commande correspondant (ou par l'intermédiaire de l'adresse électronique de notification du client ou (le cas échéant) de toute autre adresse électronique que le client a communiquée dans le portail d'administration en tant que personne de contact pour la protection de la vie privée). Le client a le droit de s'opposer à l'ajout ou au remplacement en s'adressant par écrit à Nitro. Dans ce cas, les parties discuteront de l'ajout, du remplacement ou de la solution de rechange en toute bonne foi et dès que cela sera raisonnablement possible après la notification écrite de l'objection du client.
10.3 Lorsque Nitro fait appel à un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques, les mêmes obligations ou des obligations similaires en matière de protection des données que celles énoncées dans le présent addendum sur le traitement des données sont imposées à ce sous-traitant ultérieur au moyen d'un accord écrit, en particulier en fournissant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées (et en se conformant aux mesures techniques et organisationnelles pertinentes). Lorsqu'un sous-traitant secondaire ne remplit pas ses obligations en matière de protection des données, Nitro reste entièrement responsable envers le client de l'exécution de l'obligation de ce sous-traitant secondaire.
11. TRANSFERTS INTERNATIONAUX DE DONNÉES
11.1 Le client reconnaît que Nitro est établie aux États-Unis d'Amérique et autorise les transferts internationaux de données à caractère personnel aux fins de la fourniture des services. Ce transfert international de données est considéré comme une instruction du client.
11.2 Si, à tout moment pendant la durée du présent avenant relatif au traitement des données, Nitro est certifiée en vertu du cadre UE-États-Unis de protection des données (le "cadre") pour les services, les parties reconnaissent qu'aucune mesure de protection appropriée n'est requise en ce qui concerne les transferts entre le client et Nitro.
11.3 Lorsque les conditions énoncées à l'article 11.2 ne s'appliquent pas, le client (en tant qu'exportateur de données "" ) et Nitro (en tant qu'importateur de données "" ) concluent par la présente, avec effet au début du transfert concerné, les CCS entre le responsable du traitement et le sous-traitant. L'annexe 1 des CCS entre le responsable du traitement et le sous-traitant est réputée être pré-remplie avec les sections pertinentes de l'annexe 1 du présent addendum sur le traitement des données. L'annexe 2 du CCAP entre le contrôleur et le sous-traitant est réputée contenir les informations contenues dans la section 5 du présent addendum sur le traitement des données :
- dans la clause 7, la clause d'amarrage facultative ne s'appliquera pas ;
- dans la clause 9, l'option 2 s'applique et le délai est de 30 jours ;
- dans la clause 11, la clause de recours facultatif ne s'appliquera pas ;
- le texte suivant est inséré dans la clause 13(a) : Lorsque l'exportateur de données est établi dans un État membre de l'UE : L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C du présent addendum sur le traitement des données, agit en tant qu'autorité de contrôle compétente.
Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3(2) et a désigné un représentant conformément à l'article 27(1) du règlement (UE) 2016/679:] L'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'article 27(1) du règlement (UE) 2016/679 est établi, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente. Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3(2) sans toutefois devoir désigner un représentant conformément à l'article 27(2) du règlement (UE) 2016/679: L'autorité de contrôle de l'un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes clauses dans le cadre de l'offre de biens ou de services qui leur est faite, ou dont le comportement est surveillé, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente. - dans la clause 17, l'option 1 s'applique et les clauses contractuelles types de l'UE sont régies par les lois de l'exportateur de données ; et
- à la clause 18(b), les litiges sont résolus devant les tribunaux de l'exportateur de données.
11.4 Le client reconnaît que les sous-traitants secondaires autorisés en vertu de la clause 9 peuvent également traiter des données à caractère personnel dans des pays tiers. Le client autorise ces transferts, sous réserve que Nitro prenne toutes les mesures nécessaires pour s'assurer que ces transferts sont conformes aux dispositions du chapitre V du GDPR de l'UE et aux autres lois applicables en matière de protection des données.
11.5 Si le transfert de données à caractère personnel à un pays tiers ou à une organisation internationale est obligatoire en vertu de la législation applicable de l'UE ou d'un État membre à laquelle Nitro est soumise, Nitro est autorisée à effectuer ce transfert et informe le client de cette obligation légale avant le traitement, à moins que cette législation n'interdise cette information pour des motifs importants d'intérêt public.
12. ANALYSE D'IMPACT SUR LA PROTECTION DES DONNÉES ET CONSULTATION PRÉALABLE
12.1 Si le client effectue une analyse d'impact sur la protection des données (" DPIA ") (article 35 du GDPR de l'UE) ou une consultation préalable (article 36 du GDPR de l'UE) liée au traitement de données personnelles dans le cadre de l'exécution du contrat, Nitro doit raisonnablement aider le client en lui fournissant une assistance sur demande écrite de ce dernier. Le client remboursera à Nitro l'assistance fournie conformément à l'article 14 "Coûts" du présent addenda relatif au traitement des données. Ce remboursement des frais ne s'applique pas dans les cas suivants : i) l'assistance demandée à Nitro dure moins de quatre (4) heures ouvrables pendant la durée de la convention, ou ii) l'AIPD ou la consultation préalable est déclenchée par une violation de données personnelles dont il est prouvé qu'elle est imputable à Nitro.
13. DROIT D'AUDIT
13.1 Le client a le droit de procéder à des audits concernant le respect par Nitro de ses obligations au titre du présent addendum sur le traitement des données et de la législation applicable en matière de protection des données. Nitro s'efforce raisonnablement de coopérer à ces audits et de mettre à disposition toutes les informations nécessaires pour prouver qu'elle s'est acquittée de ses obligations. Le client notifie à Nitro la réalisation d'un tel audit au moins un (1) mois avant la date à laquelle l'audit sera effectué, en adressant une notification écrite à Nitro par l'intermédiaire de privacy@gonitro.com.
13.2 En cas d'audit, toutes les parties concernées signent, avant le début de l'audit, un accord spécifique de non-divulgation délivré par Nitro concernant cet audit et ses résultats. Lors de la réalisation d'un tel audit, les obligations de confidentialité des parties à l'égard des tiers doivent être prises en compte. Les parties et leurs auditeurs doivent garder secrètes les informations recueillies dans le cadre d'un audit et les utiliser exclusivement pour vérifier leur conformité avec le présent addendum sur le traitement des données et les lois et règlements applicables en matière de protection des données. Le client a la possibilité d'effectuer l'audit lui-même ou de charger un auditeur indépendant, mais ce dernier doit dûment signer l'accord de non-divulgation visé dans la présente section.
13.3 Les deux parties et, le cas échéant, leurs représentants, coopèrent raisonnablement, sur demande, avec l'autorité de surveillance dans l'accomplissement de ses tâches.
13.4 Le client rembourse à Nitro l'assistance fournie par cette dernière dans le cadre de l'audit (des audits) conformément à l'article 14 "Coûts" du présent avenant relatif au traitement des données. Il est entendu que ce remboursement ne s'applique pas (i) si l'audit résulte d'une violation de données personnelles dont il est prouvé qu'elle est imputable à Nitro ou (ii) si l'assistance de Nitro ne dépasse pas quatre (4) heures de travail pendant la durée de l'accord.
14. COÛTS
14.1 L'assistance à fournir en vertu du présent avenant relatif au traitement des données, pour laquelle Nitro peut facturer le client, sera facturée sur la base des heures travaillées et des taux horaires standard applicables de Nitro (USD 295/heure hors taxes). Nitro facturera ces montants sur une base mensuelle, mais se réserve le droit de demander un acompte.
14.2 Le paiement par le client à Nitro de l'assistance et des services professionnels fournis par Nitro en vertu du présent avenant relatif au traitement des données s'effectue conformément aux dispositions des conditions de service.
15. PASSIF
15.1 Sous réserve de l'étendue maximale autorisée par la loi applicable, les dispositions des conditions de service
concernant la limitation de la responsabilité s'appliquent également au présent addendum sur le traitement des données et aux dommages qui en découlent.
16. DIVERS
16.1 Les dispositions des conditions de service relatives aux modifications, à l'intégralité de l'accord, à la divisibilité, au droit applicable et aux tribunaux compétents s'appliquent au présent addendum relatif au traitement des données. En cas de divergence ou de contradiction entre le présent addendum relatif au traitement des données et les clauses contractuelles types de l'UE, le cas échéant, les clauses contractuelles types de l'UE prévaudront.
ANNEXE 1 - DÉTAILS DU TRAITEMENT DES DONNÉES
A. LISTE DES PARTIES
1) Exportateur(s) de données :
- Nom : Client, tel qu'identifié dans le contrat et le bon de commande correspondant.
- Adresse : L'adresse de l'exportateur de données est indiquée dans l'accord et dans le bon de commande correspondant.
- Nom, fonction et coordonnées de la personne de contact : Les coordonnées de la personne de contact de l'exportateur de données sont indiquées dans l'accord, le bon de commande correspondant (et, le cas échéant, le portail d'administration du client).
- Activités pertinentes pour les données transférées : Les activités pertinentes pour les données transférées en vertu des présentes clauses contractuelles types de l'UE sont décrites ci-dessous dans la section B "Description du traitement/transfert".
- Signature et date : En signant ou en acceptant le bon de commande correspondant, l'exportateur de données est réputé avoir signé la présente annexe I.
- Rôle (contrôleur/processeur) : Contrôleur
2) Importateur(s) de données :
- Nom : Nitro Software Inc.
- Adresse : 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.
- Nom, fonction et coordonnées de la personne de contact : privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.
- Activités pertinentes pour les données transférées : Les activités pertinentes pour les données transférées en vertu des présentes clauses contractuelles types de l'UE sont décrites ci-dessous dans la section B "Description du traitement/transfert".
- Signature et date : En signant ou en acceptant le bon de commande correspondant, l'exportateur de données est réputé avoir signé la présente annexe I.
- Rôle (contrôleur/processeur) : Processeur
B. DESCRIPTION DE LA TRANSFORMATION/TRANSFERT
1) OBJET DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
L'objet est déterminé par le client comme indiqué dans le contrat et le bon de commande correspondant.
2) LA NATURE ET LA FINALITÉ DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
La nature et la finalité du traitement sont déterminées par le client comme indiqué dans l'accord et le bon de commande correspondant.
Par défaut, ce traitement a pour but de mettre les services, y compris toutes leurs caractéristiques et fonctionnalités, à la disposition du client et de ses utilisateurs et, plus généralement, de permettre à Nitro de s'acquitter de ses obligations contractuelles en vertu du contrat. Cette finalité peut être la mise à disposition des services en nuage (par exemple, mais sans s'y limiter, la mise à disposition du portail en nuage du client, des services de signature électronique, des services d'analyse, etc.
La nature du traitement comprend, entre autres instructions données par le client dans l'accord et le bon de commande correspondant, le traitement, la collecte, le stockage, la communication et le transfert de données à caractère personnel.
3) DONNÉES PERSONNELLES TRAITÉES
Selon les fonctionnalités utilisées dans le cadre des services (par exemple, portail d'administration, services de signature électronique, services d'analyse, etc.) et le contenu des données du client téléchargées par le client et ses utilisateurs dans le service, Nitro traite différents types de données à caractère personnel.
En général, les données à caractère personnel traitées par Nitro comprennent sans s'y limiter :
- Données d'identification (par exemple, données relatives à l'utilisateur et à l'utilisation)
- Données relatives aux documents (par exemple, les données à caractère personnel contenues dans les documents PDF traités)
Un aperçu détaillé du type de Données à caractère personnel traitées lors de l’utilisation des Services est disponible sur le site Web de Nitro.
Centre de gestion dela confidentialité : https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data
4) DONNÉES SENSIBLES
L'exportateur de données peut inclure des données personnelles sensibles dans les données personnelles conformément à la section 5.3 du présent addendum sur le traitement des données. Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui prennent pleinement en considération la nature des données et les risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d'accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : il est fait référence aux TOM énumérés ou référencés dans les détails relatifs au traitement des données ci-dessous.
5) CATÉGORIE DE PERSONNES CONCERNÉES
Les catégories suivantes de personnes concernées sont incluses par défaut dans le champ d'application :
- Tous les utilisateurs ayant accès aux services (y compris les utilisateurs administrateurs, les utilisateurs généraux ou les utilisateurs invités tels que les signataires).
- Toutes les personnes concernées incluses dans les données du client téléchargées dans les services par le client ou ses utilisateurs.
Le client confirme que les personnes concernées seront considérées par défaut comme appartenant à l'une des catégories suivantes :
- Personnel du client
- Clients du client
- Perspectives du client
- Fournisseurs du client
6) SOUS-PROCESSEURS
Nitro fait appel à des sous-traitants pour s'assurer que toutes les fonctionnalités sont disponibles dans les services. Le choix des sous-traitants dépend des services utilisés et des fonctionnalités et configurations demandées par le client. Une liste détaillée des sous-traitants engagés par Nitro (y compris la procédure que nous appliquons lorsque nous engageons de nouveaux sous-traitants) est disponible dans notre centre de confiance : https://www.gonitro.com/trust-center/data-protection/subprocessors- and-subcontractors.
7) MESURES TECHNIQUES ET ORGANISATIONNELLES (MTO)
Nitro met en œuvre des mesures techniques et organisationnelles appropriées pour garantir une sécurité adéquate lors de l'utilisation des services. Nous mettons continuellement à jour ces mesures. Un aperçu détaillé des mesures prises est disponible via notre Trust Center dans la section Sécurité : https://www.gonitro.com/trust-center/security et dans notre Politique de sécurité de l'information. Notre centre de confiance énumère également les certifications détenues par Nitro dans la section Conformité : https://www.gonitro.com/trust-center/compliance.
8) PÉRIODE DE RÉTENTION
Nitro ne conservera pas les données à caractère personnel plus longtemps que nécessaire pour la fourniture des services. Selon les services et les fonctionnalités que vous utilisez en tant que client, la ou les périodes de conservation applicables peuvent différer. Chaque client peut demander à Nitro de configurer des périodes de conservation spécifiques à son environnement (dans la mesure où cela est techniquement possible).
Si aucune période de conservation spécifique n'a été configurée, les données personnelles seront par défaut conservées par Nitro jusqu'à leur suppression par le client ou jusqu'à la résiliation de l'accord entre Nitro et le client (plus un maximum de 30 jours), la première de ces deux situations prévalant. Un aperçu détaillé des périodes de conservation est disponible dans notre Centre de confiance : https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data.
9) FRÉQUENCE DES TRANSFERTS INTERNATIONAUX
de manière continue, si cela est nécessaire pour fournir les services au client.
C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE
Identifier la ou les autorités de surveillance compétentes conformément à la clause 13 des clauses contractuelles types de l'UE : L'autorité de surveillance compétente est l'autorité de surveillance applicable au client (ou, le cas échéant, au représentant du client).