Addendum sur le traitement des données dans le cadre du GDPR au Royaume-Uni
Nitro Pro
LE PRÉSENT ADDENDUM SUR LE TRAITEMENT DES DONNÉES S'APPLIQUE SI VOUS VOUS ÊTES INSCRIT AUX SERVICES DE NITRO EN TANT QUE CLIENT PROFESSIONNEL CONFORMÉMENT AUX CONDITIONS DE SERVICE DE NITRO, ET LE GDPR BRITANNIQUE S'APPLIQUE AU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DANS LE CADRE DE L'ACCORD. SI VOUS VOUS ÊTES INSCRIT EN TANT QUE PARTICULIER, VEUILLEZ CONSULTER LA POLITIQUE DE CONFIDENTIALITÉ DE NITRO POUR PLUS D'INFORMATIONS SUR LA MANIÈRE DONT NITRO TRAITE VOS DONNÉES PERSONNELLES.
1. Champ d'application ; rôles des parties
Nitro recevra et traitera des données à caractère personnel au profit et pour le compte du client lors de la fourniture du service, conformément aux instructions et à la finalité définies par le client dans les détails du traitement des données. Par le présent avenant relatif au traitement des données, les parties souhaitent définir leurs accords spécifiques concernant le traitement des données à caractère personnel dans le cadre du contrat.
Par défaut, Nitro agit en tant que processeur et le client agit en tant que contrôleur en ce qui concerne les services fournis par Nitro au client conformément aux conditions d'utilisation de Nitro. Cet addendum sur le traitement des données annule et remplace tous les accords précédents conclus (le cas échéant) en matière de traitement des données personnelles et de protection des données entre les parties en ce qui concerne les services proposés par Nitro.
Le présent addendum sur le traitement des données complète les conditions de service et en fait partie intégrante. Ensemble, les conditions de service et le présent addendum sur le traitement des données constituent un accord juridique unique entre les parties. En cas de divergence ou de contradiction entre le présent addendum relatif au traitement des données et les conditions de service, l'addendum relatif au traitement des données prévaudra.
2. Définitions
"Annexe" : toute annexe au présent addendum sur le traitement des données ;
Le "contrôleur" désigne le client tel qu'il est identifié dans les conditions de service et le bon de commande applicable ;
"Détails du traitement des données" désigne l'annexe 1 du présent avenant relatif au traitement des données, qui contient plus de détails sur les instructions du client concernant le traitement des données à caractère personnel, telles que la finalité, l'objet et la nature du traitement, ainsi que le type de données à caractère personnel traitées ;
"GDPR" : le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
On entend par "données à caractère personnel" les données à caractère personnel, telles que définies dans le GDPR britannique, que Nitro traite au profit et pour le compte du client lorsqu'elle fournit les services conformément aux instructions et à l'objectif définis par le client dans les détails relatifs au traitement des données ;
Le "processeur" désigne Nitro Software Inc. fournisseur des services au client et tel qu'identifié dans les conditions de service ;
La "liste des sous-traitants" désigne la liste des sous-traitants mise à disposition en ligne par Nitro, qui comprend les sous-traitants engagés par Nitro pour la fourniture des services et l'exécution des obligations de Nitro en vertu de la convention en général. Nitro peut mettre à jour la liste des sous-traitants secondaires de temps à autre, conformément à la procédure définie dans le présent addendum sur le traitement des données ;
"Sous-traitant" : tout sous-traitant tiers engagé par Nitro pour le traitement des données à caractère personnel liées à la fourniture des services au client ;
"GDPR" : le GDPR de l'UE tel qu'il a été transposé dans le droit national du Royaume-Uni en vertu de l'article 3 de la loi sur le retrait de l'Union européenne 2018 et tel qu'il a été modifié par le règlement sur la protection des données, la vie privée et les communications électroniques (amendements, etc.) (sortie de l'UE) 2019 (tel qu'il a été modifié) ;
On entend par "données à caractère personnel du Royaume-Uni" les données à caractère personnel auxquelles le GDPR du Royaume-Uni est applicable ;
"Clauses contractuelles types du Royaume-Uni" : l'addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne, publié par le commissaire à l'information en vertu de l'article 119A(1) de la loi sur la protection des données 2018, sous la forme et selon les modalités indiquées à l'annexe 2 du présent addendum sur le traitement des données.
Tous les autres termes et définitions écrits avec une majuscule et qui ne sont pas définis expressément dans le présent addendum sur le traitement des données sont définis comme indiqué dans la législation applicable en matière de protection des données ou dans les conditions de service de Nitro.
3. Objet du présent addendum sur le traitement des données
3.1 Le présent addendum sur le traitement des données détermine les conditions du traitement par Nitro des données personnelles communiquées par le client ou à son initiative dans le cadre du contrat. La nature et la finalité du traitement, la liste et la nature des données personnelles ainsi que les catégories de personnes concernées sont énumérées dans les détails du traitement des données (annexe 1).
3.2 Le traitement a lieu exclusivement au profit du client et aux fins définies par ce dernier dans les détails du traitement des données. Nitro informe immédiatement le client si, à son avis, une instruction enfreint la législation applicable en matière de protection des données. Nitro ne traitera les données personnelles que conformément aux instructions documentées du client et n'utilisera pas ces données personnelles à ses propres fins, sauf si les conditions de service l'y autorisent expressément. Si Nitro est légalement tenue de procéder à un traitement de données personnelles, elle en informera le client, à moins que cela n'enfreigne les règles impératives applicables.
4. Terme
4.1 Le présent avenant s'applique à tous les traitements de données à caractère personnel effectués dans le cadre de la fourniture des services au client par Nitro et s'applique aussi longtemps que Nitro traite des données à caractère personnel pour le compte du client dans le cadre du contrat. Le présent addendum sur le traitement des données complète les conditions de service de Nitro et vise à garantir le respect par les parties des exigences imposées par les lois et règlements applicables en matière de protection des données dans le cadre de l'utilisation des services par le client.
4.2 Le présent avenant relatif au traitement des données prend fin automatiquement à la résiliation du contrat (ou au moment où il est mis fin au traitement des données par Nitro). Les dispositions du présent avenant relatif au traitement des données qui sont expressément ou implicitement (compte tenu de leur nature) destinées à produire leurs effets après la résiliation de l'avenant relatif au traitement des données survivent à la fin du contrat en ce qui concerne les données à caractère personnel communiquées par le client ou à son initiative dans le cadre du contrat.
5. Mesures techniques et organisationnelles
5.1 Nitro offre des garanties suffisantes en ce qui concerne la mise en œuvre de mesures techniques et organisationnelles appropriées ("MTO") pour assurer un traitement sécurisé des données à caractère personnel et garantir ainsi la protection des droits de la personne concernée. Les MTO mises en œuvre par Nitro sont exposées dans les détails du traitement des données. Les TOM peuvent être mis à jour par Nitro de temps à autre, mais Nitro veillera à ne pas réduire la sécurité globale qu'elle a mise en place au moment de l'exécution de l'avenant relatif au traitement des données. Le client reconnaît que les TOM sont adéquats pour le traitement de ses données personnelles au moment de la signature ou de l'acceptation du présent addendum sur le traitement des données.
5.2 Nitro prend toutes les mesures techniques et organisationnelles appropriées visées à l'article 32 UK GDPR pour assurer un niveau de sécurité adéquat en fonction du risque.
5.3 Si le client fournit à Nitro, dans le cadre de l'accord, des données personnelles sensibles telles que visées aux articles 9 et 10 UK GDPR à Nitro dans le cadre du contrat, le client en informe Nitro par écrit à l'adresse privacy@gonitro.com.
5.4 Si le client demande que Nitro mette en œuvre des mesures techniques et organisationnelles spécifiques (que Nitro n'a pas mises en œuvre par défaut), il doit rembourser Nitro pour la mise en œuvre de ces mesures supplémentaires conformément à la section 14 "Coûts" du présent avenant relatif au traitement des données.
5.5 Adhésion de Nitro à un code de conduite approuvé, tel que visé à l'article 40 GDPR du Royaume-Uni, ou à un mécanisme de certification approuvé visé à l'article 42 GDPR du Royaume-Uni peut être utilisée comme élément de preuve de garanties suffisantes au sens du GDPR du Royaume-Uni.
6. Rétention
6.1 Nitro ne conservera pas les données à caractère personnel plus longtemps qu'il n'est nécessaire pour le traitement de ces données dans le cadre du contrat. Le client ne demandera pas à Nitro de conserver des données personnelles plus longtemps que nécessaire. La période de conservation applicable (telle que définie par le client) est indiquée dans les détails du traitement des données.
6.2 Au choix du client, Nitro supprime ou restitue toutes les données personnelles au client après la fin de la fourniture des services et supprime les copies existantes, à moins que la loi applicable n'exige la conservation des données personnelles. Le client reconnaît que les services peuvent inclure des fonctionnalités de téléchargement à la disposition du client pour lui permettre de télécharger ses données. Dans la mesure où ces fonctionnalités sont disponibles, le client doit les utiliser pour extraire ou supprimer ses données.
7. Confidentialité
7.1 Les parties ont convenu d'une clause de confidentialité dans les conditions de service qui s'applique au traitement des données à caractère personnel dans le cadre de l'accord.
7.2 Nitro reconnaît et convient que seuls les employés, sous-traitants ou agents de Nitro qui participent au traitement des données à caractère personnel peuvent être informés de ces données et uniquement dans la mesure où cela est raisonnablement nécessaire à l'exécution du contrat. Nitro veille à ce que les personnes autorisées à traiter les données personnelles s'engagent par contrat à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité.
8. Droits des personnes concernées
8.1 Compte tenu de la nature du traitement, Nitro déploie tous les efforts raisonnables, en prenant les mesures techniques et organisationnelles appropriées, pour aider le client à s'acquitter de son obligation de répondre aux demandes des personnes concernées.
8.2 Pour toute l'assistance fournie par Nitro dans le cadre du traitement des demandes des personnes concernées, le client remboursera Nitro conformément à la section 14 "Coûts" du présent addendum sur le traitement des données. Ce remboursement par le client ne s'applique pas (i) si la personne concernée invoque ses droits en raison d'une violation de données personnelles dont il est prouvé qu'elle est imputable à Nitro ou (ii) si l'assistance fournie par Nitro ne dépasse pas quatre (4) heures de travail pendant la durée de l'accord.
9. Obligation de notification
9.1 Dès qu'elle a connaissance d'une violation de données à caractère personnel, Nitro en informe le client dans les meilleurs délais en contactant la personne de contact indiquée dans le contrat ou le bon de commande correspondant (ou encore par l'intermédiaire de l'adresse électronique de notification du client ou (le cas échéant) de toute autre adresse électronique que le client a communiquée dans le portail d'administration en tant que personne de contact pour la protection des données à caractère personnel). La personne de contact de Nitro pour toute question relative à la protection des données peut être contactée par courriel : privacy@gonitro.com.
9.2 À la demande du client, Nitro l'informera de tout fait nouveau concernant une violation de données à caractère personnel et des mesures prises pour en limiter les conséquences et empêcher qu'elle ne se reproduise. Il incombe au client de signaler toute violation de données à caractère personnel à l'autorité de contrôle ou à la (aux) personne(s) concernée(s), le cas échéant.
10. Sous-traitement
10.1 Le client autorise expressément Nitro à faire appel à des sous-traitants pour le traitement des données à caractère personnel aux fins de l'exécution du contrat et pour faciliter la fourniture des services en général. Dans cette mesure, le client donne à Nitro une autorisation écrite générale de décider avec quel(s) sous-traitant(s) sous-traitant(s) Nitro coopère pour s'acquitter de ses obligations en vertu du contrat. Nitro publie une liste des sous-traitants secondaires qui fait référence aux sous-traitants secondaires engagés par Nitro.
10.2 Nitro informera le client de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants en contactant la personne de contact indiquée dans le contrat ou le bon de commande correspondant (ou par l'intermédiaire de l'adresse électronique de notification du client ou (le cas échéant) de toute autre adresse électronique que le client a communiquée dans le portail d'administration en tant que contact pour la protection de la vie privée). Le client a le droit de s'opposer à l'ajout ou au remplacement en s'adressant par écrit à Nitro. Dans ce cas, les parties discuteront de l'ajout, du remplacement ou de la solution de rechange en toute bonne foi et dès que cela sera raisonnablement possible après la notification écrite de l'objection du client.
10.3 Lorsque Nitro fait appel à un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques, les mêmes obligations ou des obligations similaires en matière de protection des données que celles énoncées dans le présent addendum sur le traitement des données sont imposées à ce sous-traitant ultérieur au moyen d'un accord écrit, en particulier en fournissant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées (et en se conformant aux mesures techniques et organisationnelles pertinentes). Lorsqu'un sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, Nitro reste pleinement responsable envers le client de l'exécution de l'obligation dudit sous-traitant ultérieur.
11. Transferts internationaux de données
11.1 Le client reconnaît que Nitro est établie aux États-Unis d'Amérique et autorise de ce fait les transferts internationaux de données à caractère personnel aux fins de la fourniture des services. Ce transfert international de données est considéré comme une instruction du client.
11.2 Si, à tout moment pendant la durée du présent avenant relatif au traitement des données, i) Nitro est certifiée en vertu de l'extension britannique du cadre UE-États-Unis de protection des données à caractère personnel (également connu sous le nom de " pont de données " entre le Royaume-Uni et les États-Unis) (" cadre ") ; et ii) ce cadre constitue une décision d'adéquation valide aux fins de l'article 45 du GDPR du Royaume-Uni, les parties reconnaissent qu'aucune garantie appropriée n'est requise en ce qui concerne les transferts entre le client et Nitro. GDPR du Royaume-Uni, les parties reconnaissent qu'aucune garantie appropriée n'est requise en ce qui concerne les transferts entre le client et Nitro.
11.3 Lorsque les conditions énoncées à l'article 11.2 ne s'appliquent pas, les parties concluent les clauses contractuelles types du Royaume-Uni sous la forme et selon les modalités prévues à l'annexe 2 du présent addendum relatif au traitement des données, ces clauses contractuelles types du Royaume-Uni étant incorporées au présent addendum relatif au traitement des données et en faisant partie intégrante.
11.4 Le client reconnaît que les sous-traitants autorisés en vertu de la clause 10 peuvent également traiter des données à caractère personnel dans des pays tiers. Le client autorise ces transferts, sous réserve que Nitro prenne toutes les mesures nécessaires pour s'assurer que ces transferts sont conformes aux dispositions du chapitre V du GDPR britannique et aux autres lois applicables en matière de protection des données.
11.5 Si le transfert de données à caractère personnel à un pays tiers ou à une organisation internationale est obligatoire en vertu de la législation applicable à laquelle Nitro est soumise, Nitro est autorisée à effectuer ce transfert et informe le client de cette obligation légale avant le traitement, à moins que cette législation n'interdise cette information pour des motifs importants d'intérêt public.
12. Analyse d'impact de la protection des données et consultation préalable
12.1 Si le client effectue une analyse d'impact sur la protection des données (" DPIA ") (article 35 UK GDPR) ou une consultation préalable (article 36 UK GDPR) liée au traitement de données personnelles dans le cadre de l'exécution du contrat, Nitro doit raisonnablement aider le client en lui fournissant une assistance sur demande écrite de ce dernier. Le client remboursera à Nitro l'assistance fournie conformément à l'article 14 "Coûts" du présent addenda relatif au traitement des données. Ce remboursement des frais ne s'applique pas dans les cas suivants : i) l'assistance demandée à Nitro dure moins de quatre (4) heures ouvrables pendant la durée de la convention, ou ii) l'AIPD ou la consultation préalable est déclenchée par une violation de données personnelles dont il est prouvé qu'elle est imputable à Nitro.
13. Droit d'audit
13.1 Le client a le droit de procéder à des audits concernant le respect par Nitro de ses obligations au titre du présent addendum sur le traitement des données et de la législation applicable en matière de protection des données. Nitro s'efforce raisonnablement de coopérer à ces audits et de mettre à disposition toutes les informations nécessaires pour prouver qu'elle s'est acquittée de ses obligations. Le client notifie à Nitro la réalisation d'un tel audit au moins un (1) mois avant la date à laquelle l'audit sera effectué, en adressant une notification écrite à Nitro par l'intermédiaire de privacy@gonitro.com.
13.2 En cas d'audit, toutes les parties concernées signent, avant le début de l'audit, un accord spécifique de non-divulgation délivré par Nitro concernant cet audit et ses résultats. Lors de la réalisation d'un tel audit, les obligations de confidentialité des parties à l'égard des tiers doivent être prises en compte. Les parties et leurs auditeurs doivent garder secrètes les informations recueillies dans le cadre d'un audit et les utiliser exclusivement pour vérifier leur conformité avec le présent addendum sur le traitement des données et les lois et règlements applicables en matière de protection des données. Le client a la possibilité d'effectuer l'audit lui-même ou de charger un auditeur indépendant, mais ce dernier doit dûment signer l'accord de non-divulgation visé dans la présente section.
13.3 Les deux parties et, le cas échéant, leurs représentants, coopèrent raisonnablement, sur demande, avec l'autorité de surveillance dans l'accomplissement de ses tâches.
13.4 Le client rembourse à Nitro l'assistance fournie par cette dernière en ce qui concerne le(s) audit(s) conformément à l'article 14 "Coûts" du présent avenant relatif au traitement des données. Il est entendu que ce remboursement ne s'applique pas (i) si l'audit résulte d'une violation de données personnelles dont il est prouvé qu'elle est imputable à Nitro ou (ii) si l'assistance de Nitro ne dépasse pas quatre (4) heures de travail pendant la durée de l'accord.
14. Les coûts
14.1 L'assistance à fournir en vertu du présent avenant relatif au traitement des données, pour laquelle Nitro peut facturer le client, sera facturée sur la base des heures travaillées et des taux horaires standard applicables de Nitro (USD 295/heure hors taxes). Nitro facturera ces montants sur une base mensuelle, mais se réserve le droit de demander un acompte.
14.2 Le paiement par le client à Nitro de l'assistance et des services professionnels fournis par Nitro en vertu du présent avenant relatif au traitement des données s'effectue conformément aux dispositions des conditions de service.
15. Responsabilité
15.1 Dans toute la mesure permise par le droit applicable, les dispositions des conditions de service relatives à la limitation de la responsabilité s'appliquent également au présent addendum sur le traitement des données et aux dommages qui en découlent.
16. Divers
16.1 Les dispositions des conditions de service relatives aux modifications, à l'intégralité de l'accord, à la divisibilité, au droit applicable et aux tribunaux compétents s'appliquent au présent addendum relatif au traitement des données. En cas de divergence ou de contradiction entre le présent addendum relatif au traitement des données et les clauses contractuelles types du Royaume-Uni, le cas échéant, les clauses contractuelles types du Royaume-Uni prévaudront.
Annexe 1 - Détails du traitement des données
A. LISTE DES PARTIES
1. EXPORTATEUR(S) DE DONNÉES
Nom : Client, tel qu’identifié dans le Contrat et le Bon de commande correspondant.
Adresse : L'adresse de l'exportateur de données est indiquée dans l'accord et dans le bon de commande correspondant.
Nom, fonction et coordonnées de la personne de contact : Les coordonnées de la personne de contact de l'exportateur de données sont indiquées dans l'accord, le bon de commande correspondant (et, le cas échéant, le portail d'administration du client).
Activités pertinentes pour les données transférées : Les activités pertinentes pour les données transférées en vertu des présentes clauses contractuelles types du Royaume-Uni sont décrites ci-dessous dans la section B "Description du traitement/transfert".
Signature et date : En signant ou en acceptant le bon de commande correspondant, l'exportateur de données est réputé avoir signé la présente annexe I.
Rôle (contrôleur/processeur) : Contrôleur
2. ÉMETTEUR(S) DE DONNÉES
Nom: Nitro Software Inc.
Adresse : 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.
Nom, fonction et coordonnées de la personne de contact : privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.
Activités relatives aux données transférées : Les activités qui sont pertinentes pour les données transférées en vertu des présentes clauses contractuelles types du Royaume-Uni sont décrites ci-dessous dans la section B « Description du traitement/transfert ».
Signature et date : En signant ou en acceptant le bon de commande correspondant, l’importateur de données sera réputé avoir signé la présente annexe I.
Rôle (responsable du traitement/sous-traitant) : Processeur
B. DESCRIPTION DE LA TRANSFORMATION/TRANSFERT
1. OBJET DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
L'objet est déterminé par le client comme indiqué dans le contrat et le bon de commande correspondant.
2. LA NATURE ET LA FINALITÉ DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
La nature et la finalité du traitement sont déterminées par le client comme indiqué dans l'accord et le bon de commande correspondant.
Par défaut, ce traitement a pour but de mettre les services, y compris toutes leurs caractéristiques et fonctionnalités, à la disposition du client et de ses utilisateurs et, plus généralement, de permettre à Nitro de s'acquitter de ses obligations contractuelles en vertu du contrat. Cette finalité peut être la mise à disposition des services en nuage (par exemple, mais sans s'y limiter, la mise à disposition du portail en nuage du client, des services de signature électronique, des services d'analyse, etc.
La nature du traitement comprend, entre autres instructions données par le client dans l'accord et le bon de commande correspondant, le traitement, la collecte, le stockage, la communication et le transfert de données à caractère personnel.
3. DONNÉES À CARACTÈRE PERSONNEL TRAITÉES
Selon les fonctionnalités utilisées dans le cadre des services (par exemple, portail d'administration, services de signature électronique, services d'analyse, etc.) et le contenu des données du client téléchargées par le client et ses utilisateurs dans les services, Nitro traite différents types de données à caractère personnel.
En général, les données à caractère personnel traitées par Nitro comprennent sans s'y limiter :
- Données d'identification (par exemple, données relatives à l'utilisateur et à l'utilisation)
- Données relatives aux documents (par exemple, les données à caractère personnel contenues dans les documents PDF traités)
Un aperçu détaillé du type de Données à caractère personnel traitées lors de l’utilisation des Services est disponible via le Centre de gestion de la confidentialité de Nitro : Traitement des données à caractère personnel
4. DONNÉES SENSIBLES
L’exportateur de données peut inclure des données personnelles sensibles dans les données personnelles conformément à la section 5.3 du présent Addendum sur le traitement des données. Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que par exemple une limitation stricte des finalités, des restrictions d’accès (y compris l’accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : Il est fait référence aux TOM tels qu’ils sont répertoriés ou référencés dans les détails du traitement des données ci-dessous.
5. CATÉGORIE DE PERSONNES CONCERNÉES
Les catégories suivantes de personnes concernées entrent par défaut dans le champ d'application :
- Tous les utilisateurs ayant accès aux services (y compris les utilisateurs administrateurs, les utilisateurs généraux ou les utilisateurs invités tels que les signataires).
- Toutes les personnes concernées incluses dans les données du client téléchargées dans les services par le client ou ses utilisateurs.
Le client confirme que les personnes concernées seront considérées par défaut comme appartenant à l'une des catégories suivantes :
- Personnel du client
- Clients du client
- Perspectives du client
- Fournisseurs du client
6. SOUS-TRAITANTS ULTÉRIEURS
Nitro fait appel à des sous-traitants pour s'assurer que toutes les fonctionnalités sont disponibles dans le cadre des services. Le choix des sous-traitants dépend de l'utilisation des services ainsi que des fonctionnalités et de la configuration demandées par le client. Une liste détaillée des sous-traitants engagés par Nitro (y compris la procédure que nous appliquons lorsque nous engageons de nouveaux sous-traitants) est disponible via notre Centre de confiance : Sous-traitants et sous-traitants
7. MESURES TECHNIQUES ET ORGANISATIONNELLES (TOM)
Nitro met en œuvre des mesures techniques et organisationnelles appropriées pour assurer une sécurité adéquate lors de l’utilisation des Services. Nous mettons continuellement à jour ces mesures. Un aperçu détaillé des mesures prises est disponible via notre Trust Center dans notre section Sécurité de l’information : Sécurité de l’information et dans notre Politique de sécurité de l’information. Notre Centre de gestion de la confidentialité répertorie également les certifications détenues par Nitro dans la section Conformité : Conformité.
8. DURÉE DE CONSERVATION
Nitro ne conservera pas les données à caractère personnel plus longtemps que nécessaire pour la fourniture des services. Selon les services et les fonctionnalités que vous utilisez en tant que client, la ou les périodes de conservation applicables peuvent différer. Chaque client peut demander à Nitro de configurer des périodes de conservation spécifiques à son environnement (dans la mesure où cela est techniquement possible).
Si aucune période de conservation spécifique n'a été configurée, les données personnelles seront par défaut conservées par Nitro jusqu'à leur suppression par le client ou jusqu'à la résiliation de l'accord entre Nitro et le client (plus un maximum de 30 jours), la première de ces deux situations prévalant. Un aperçu détaillé des périodes de conservation est disponible dans notre Trust Center : Traitement des données personnelles
9. FRÉQUENCE DES VIREMENTS INTERNATIONAUX
de manière continue, si cela est nécessaire pour fournir les services au client.
Annexe 2 - Clauses contractuelles types du Royaume-Uni
Addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne
VERSION B1.0, en vigueur 21 mars 2022
Le présent addendum a été publié par le commissaire à l'information à l'intention des parties effectuant des transferts restreints. Le commissaire à l'information considère qu'il fournit des garanties appropriées pour les transferts restreints lorsqu'il est conclu en tant que contrat juridiquement contraignant.
Partie 1: Tables
Tableau 1: Parties
Date de début | La date de l'addendum sur le traitement des données | |
Les parties | Exportateur (qui envoie le transfert restreint) Client | Importateur (qui reçoit le transfert restreint) Nitro |
Coordonnées des parties | Nom légal complet : Client, tel qu'identifié dans le contrat et le bon de commande correspondant. Nom commercial (si différent) : Adresse principale (s'il s'agit de l'adresse d'une société) : L'adresse de l'exportateur de données est indiquée dans l'accord et dans le bon de commande correspondant. Numéro d'enregistrement officiel (le cas échéant) (numéro d'entreprise ou identifiant similaire) : Tel qu'indiqué dans l'accord et le bon de commande correspondant, ou autrement N/A | Nom légal complet : Nitro Software Inc. Nom commercial (si différent) : Adresse principale (s'il s'agit de l'adresse d'une société) : 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis. Numéro d'enregistrement officiel (le cas échéant) (numéro d'entreprise ou identifiant similaire) : N/A |
Personne-ressource | Nom complet (facultatif) : Le nom complet de la personne de contact de l'exportateur de données est indiqué dans l'accord et dans le bon de commande correspondant. Titre du poste : La fonction de la personne de contact de l'exportateur de données est indiquée dans l'accord et dans le bon de commande correspondant. Coordonnées, y compris l'adresse électronique : Les coordonnées de la personne de contact de l'exportateur de données sont indiquées dans l'accord et dans le bon de commande correspondant. | privacy@gonitro.com Nitro Software Inc. |
Signature (si requise aux fins de l’article 2) | Non obligatoire – la présente annexe 2 fait partie de l’addendum sur le traitement des données et y est incorporée. | Non obligatoire – la présente annexe 2 fait partie de l’addendum sur le traitement des données et y est incorporée. |
Tableau 2: CCN, modules et clauses sélectionnés
Addendum CCN de l'UE | La version des CSC approuvés de l'UE à laquelle le présent addendum est annexé, détaillée ci-dessous, y compris les informations de l'annexe : 26. Date: les CCAP approuvées de l'UE, y compris les informations de l'appendice et avec seulement les modules, clauses ou dispositions optionnelles suivants des CCAP approuvées de l'UE mis en vigueur aux fins du présent addendum : | |||||
Module | Module en fonctionnement | Clause 7 (clause d'amarrage) | Article 11 (Option) | Clause 9a (Autorisation préalable de l’autorisation générale) | Clause 9a (Délai) | Les données à caractère personnel reçues de l'importateur sont-elles combinées aux données à caractère personnel collectées par l'exportateur ? |
1 | ||||||
2 | X | N/A | N/A | Autorisation générale | 30 jours | Non |
3 | ||||||
4 |
Tableau 3: Informations sur l'annexe
"Informations en annexe" : les informations qui doivent être fournies pour les modules sélectionnés, comme indiqué dans l'annexe des CSC approuvées de l'UE (autres que les parties), et qui, pour le présent addendum, sont indiquées dans le document suivant :
Annexe 1A : Liste des parties : Voir le tableau 1 ci-dessus. |
Annexe 1B : Description du transfert : Voir l'annexe 1 du présent addendum sur le traitement des données. |
Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données : Voir la clause 5 du présent addendum sur le traitement des données. |
Annexe III : Liste des sous-traitants (modules 2 et 3 uniquement) : Voir la clause 10.1 du présent addendum sur le traitement des données. |
Tableau 4: Fin du présent addendum en cas de modification de l'addendum approuvé
Mettre fin au présent addendum en cas de modification de l'addendum approuvé | Quelles Parties peuvent mettre fin au présent Addendum comme indiqué à la Section 19: Importateur Exportateur ni l’une ni l’autre |
Partie 2: Clauses obligatoires
Conclusion du présent addendum
- Chaque partie accepte d'être liée par les conditions énoncées dans le présent addendum, en échange de quoi l'autre partie accepte également d'être liée par le présent addendum.
- Bien que l'annexe 1A et la clause 7 des CSC approuvés de l'UE requièrent la signature des parties, aux fins de la réalisation de transferts restreints, les parties peuvent conclure le présent addendum de toute manière qui les rende juridiquement contraignantes pour les parties et qui permette aux personnes concernées de faire valoir leurs droits tels qu'ils sont énoncés dans le présent addendum. La conclusion du présent addendum aura le même effet que la signature des CCAP approuvés de l'UE et de toute partie des CCAP approuvés de l'UE.
Interprétation du présent addendum
3. Lorsque le présent Addendum utilise des termes définis dans les CCT de l’UE approuvées, ces termes ont la même signification que dans les CCT de l’UE approuvées. En outre, les termes suivants ont les significations suivantes :
Addendum | Le présent addendum sur le transfert international de données, qui se compose du présent addendum incorporant l'addendum sur les CSC de l'UE. |
Addendum Informations sur l’annexe des CCT de l’UE | La ou les versions des CSC approuvées de l'UE auxquelles le présent addendum est annexé, comme indiqué dans le tableau 2, y compris les informations de l'appendice. Comme indiqué dans le tableau 3. |
Garanties appropriées | Le niveau de protection des données à caractère personnel et des droits des personnes concernées, requis par les lois britanniques sur la protection des données lorsque vous effectuez un transfert restreint en vous appuyant sur des clauses types de protection des données en vertu de l'article 46(2)(d) du GDPR britannique. |
Addendum approuvé | Le modèle d'addendum publié par l'ICO et déposé devant le Parlement conformément à l'article119A de la loi sur la protection des données 2018 le 2 février 2022, tel qu'il est révisé en vertu de la section 18. |
CSC de l'UE approuvés | Les clauses contractuelles types figurant à l'annexe de la décision d'exécution (UE) 2021/914 du 4 juin 2021. |
ICO | Le commissaire à l'information. |
Transfert restreint | Un transfert couvert par le chapitre V du GDPR britannique. |
ROYAUME-UNI | Le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord. |
Lois britanniques sur la protection des données | Toutes les lois relatives à la protection des données, au traitement des données à caractère personnel, à la vie privée et/ou aux communications électroniques en vigueur au Royaume-Uni, y compris le GDPR et le Data Protection Act 2018. |
GDPR DU ROYAUME-UNI | Telle que définie dans la section 3 de la loi sur la protection des données 2018. |
4. Le présent Addendum doit toujours être interprété d’une manière conforme aux lois britanniques sur la protection des données et de manière à remplir l’obligation des Parties de fournir les Garanties appropriées.
5. Si les dispositions incluses dans les CCT UE Addendum modifient les CCT approuvées d’une manière qui n’est pas autorisée en vertu des CCT UE approuvées ou de l’Addendum approuvé, ces modifications ne seront pas incorporées dans le présent Addendum et la disposition équivalente des CCT UE approuvées les remplacera.
6. En cas d’incohérence ou de conflit entre les lois britanniques sur la protection des données et le présent addendum, les lois britanniques sur la protection des données s’appliquent.
7. Si la signification de cet Addendum n’est pas claire ou s’il y a plus d’une signification, la signification qui s’aligne le plus étroitement avec les lois britanniques sur la protection des données s’applique.
8. Toute référence à une loi (ou à des dispositions spécifiques d’une loi) signifie que la législation (ou une disposition spécifique) peut changer au fil du temps. Cela inclut les cas où cette législation (ou disposition spécifique) a été consolidée, réédictée et/ou remplacée après la signature du présent Addenda.
Hiérarchie
9. Bien que la clause 5 des CCT de l’UE approuvées stipule que les CCT de l’UE approuvées prévalent sur tous les accords connexes entre les Parties, les Parties conviennent que, pour les Transferts restreints, la hiérarchie de la Section 10 prévaudra.
10. En cas d’incohérence ou de conflit entre l’Addendum approuvé et les CCT de l’Addendum UE (le cas échéant), l’Addendum approuvé prévaut sur les CCT de l’Addendum UE, sauf lorsque (et dans la mesure où) les termes incompatibles ou contradictoires des CCT de l’Addendum UE offrent une plus grande protection aux personnes concernées, auquel cas ces conditions prévaudront sur l’Addendum approuvé.
11. Lorsque le présent Addendum incorpore des CCT UE Addendum qui ont été conclues pour protéger les transferts soumis au Règlement général sur la protection des données (UE) 2016/679 les Parties reconnaissent que rien dans le présent Addendum n’a d’impact sur ces CCT UE Addendum.
Incorporation et modification des CCN de l'UE
12. Le présent Addendum incorpore les Addendum des CCT de l’UE qui sont modifiés dans la mesure nécessaire afin que :
- Ensemble, ils s'appliquent aux transferts de données effectués par l'exportateur de données à l'importateur de données, dans la mesure où les lois britanniques sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert de données, et ils prévoient des garanties appropriées pour ces transferts de données ;
- Les sections 9 à 11 l'emportent sur la clause 5 (Hiérarchie) de l'addendum aux CCN de l'UE ; et
- le présent addenda (y compris les CCAP de l'UE qui y sont incorporés) est (1) régi par les lois de l'Angleterre et du Pays de Galles et (2) tout litige en découlant est résolu par les tribunaux de l'Angleterre et du Pays de Galles, dans chaque cas à moins que les lois et/ou les tribunaux d'Écosse ou d'Irlande du Nord n'aient été expressément choisis par les parties.
13. À moins que les parties n’aient convenu d’autres modifications qui satisfont aux exigences de la section 12, les dispositions de la section 15 s’appliqueront.
14. Aucune modification des CCT de l’UE approuvées ne peut être apportée autrement que pour répondre aux exigences de la section 12 .
15. Les modifications suivantes sont apportées aux CCT de l’UE (aux fins de la section 12) :
- Les références aux "clauses" désignent le présent addenda, qui intègre les CCAP de l'UE de l'addenda ;
- À l’article 2, supprimer les mots :
« et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, les clauses contractuelles types conformément à l’article 28(7) du règlement (UE) 2016/679» ; - L’article 6 (Description du ou des transferts) est remplacé par ce qui suit :
« Les détails du ou des transferts et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées) sont ceux spécifiés à l’annexe I.B où les lois britanniques sur la protection des données s’appliquent au traitement de l’exportateur de données lors de ce transfert. » ; - L’article 8.7i) du module 1 est remplacé par :
« c’est vers un pays bénéficiant d’une réglementation d’adéquation en vertu de la section 17A du RGPD britannique qui couvre le transfert ultérieur » ; - L’article 8.8i) des modules 2 et 3 est remplacé par :
« le transfert ultérieur se fait vers un pays bénéficiant d’une réglementation d’adéquation conformément à la section 17A du RGPD du Royaume-Uni qui couvre le transfert ultérieur » ; - Les références au "Règlement (UE) 2016/679", au "Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)" et "ce règlement" sont toutes remplacées par "les lois britanniques sur la protection des données". Les références à des articles spécifiques du "règlement (UE) 2016/679" sont remplacées par l'article ou la section équivalent(e) des lois britanniques sur la protection des données ;
- Les références au règlement (UE) 2018/1725 sont supprimées ;
- Les références à l'"Union européenne", à l'"Union", à l'"UE", à l'"État membre de l'UE", à l'"État membre" et à l'"UE ou l'État membre" sont toutes remplacées par le "Royaume-Uni" ;
- La référence à la "clause 12(c)(i)" à la clause 10(b)(i) du module un est remplacée par la "clause 11(c)(i)" ;
- La clause 13(a) et la partie C de l'annexe I ne sont pas utilisées ;
- Les termes "autorité de contrôle compétente" et "autorité de contrôle" sont tous deux remplacés par "commissaire à l'information" ;
- À l’alinéa 16e), l’alinéa i) est remplacé par ce qui suit :
« le secrétaire d’État édicte des règlements en vertu de l’article 17A de la loi sur la protection des données 2018 qui couvrent le transfert de données à caractère personnel auquel ces clauses s’appliquent ; » ; - L’article 17 est remplacé par ce qui suit :
« Les présentes clauses sont régies par les lois de l’Angleterre et du Pays de Galles. » ; - L’article 18 est remplacé par ce qui suit :
« Tout litige découlant de ces clauses sera résolu par les tribunaux d’Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l’exportateur et/ou l’importateur de données devant les tribunaux de n’importe quel pays du Royaume-Uni. Les Parties conviennent de se soumettre à la juridiction de ces tribunaux. » ; et - Les notes de bas de page des CSC approuvés de l'UE ne font pas partie de l'addendum, à l'exception des notes de bas de page 8, 9, 10 et 11.
Modifications du présent addendum
- Les parties peuvent convenir de modifier les clauses 17 et/ou 18 de l'addendum aux CCAP de l'UE pour faire référence au droit et/ou aux juridictions d'Écosse ou d'Irlande du Nord.
- Si les parties souhaitent modifier le format des informations figurant dans la partie 1: Tableaux de l'addendum approuvé, elles peuvent le faire en convenant de la modification par écrit, à condition que cette modification ne réduise pas les garanties appropriées.
- De temps à autre, l'OIC peut publier une version révisée de l'addendum approuvé :
- apporte des modifications raisonnables et proportionnées à l'addendum approuvé, y compris la correction d'erreurs dans l'addendum approuvé ; et/ou
- reflète les modifications apportées aux lois britanniques sur la protection des données ;
- L'addendum approuvé révisé précisera la date à partir de laquelle les modifications apportées à l'addendum approuvé prennent effet et si les parties doivent revoir le présent addendum, y compris les informations figurant à l'annexe. Le présent addenda est automatiquement modifié conformément à l'addenda approuvé révisé à compter de la date d'entrée en vigueur spécifiée.
- Si l'OIC publie un addendum approuvé révisé en vertu de la section 18, si l'une des parties sélectionnées dans le tableau 4 "Mettre fin à l'addendum en cas de modification de l'addendum approuvé", aura, en conséquence directe des modifications apportées à l'addendum approuvé, une augmentation substantielle, disproportionnée et démontrable de :
- ses coûts directs d'exécution de ses obligations au titre de l'addendum ; et/ou
- son risque au titre de l'addendum,
et que, dans les deux cas, elle a d'abord pris des mesures raisonnables pour réduire ces coûts ou ces risques afin qu'ils ne soient pas substantiels et disproportionnés, cette partie peut mettre fin au présent addendum à l'issue d'une période de préavis raisonnable, en notifiant par écrit cette période à l'autre partie avant la date d'entrée en vigueur de l'addendum révisé approuvé.
- Les parties n'ont pas besoin du consentement d'un tiers pour modifier le présent addendum, mais toute modification doit être effectuée conformément à ses dispositions.