Conditions et politiques

Annexe de Traitement des Données, 2022

Téléchargez une copie →

En vigueur : 28 octobre^e, 2022

Cette Annexe de Traitement des Données (« DPA ») fait partie des Conditions Générales de Service de Nitro ou des Termes de Service de Nitro, selon le cas, régissant l'utilisation des services de Nitro (« Accord ») conclu entre vous ou le Licencié (chacun tel que défini dans l'Accord pertinent ; et aux fins de cette DPA, vous et Licencié sont désignés ici comme « Client ») et Nitro Software, Inc. (« Nitro ») pour refléter l'accord des parties concernant le traitement des Données Personnelles par Nitro uniquement pour le compte du Client en vertu de l'Accord. Les deux parties seront désignées comme les « Parties » et chacune, une « Partie ».

 

Aux fins de cette DPA, les termes ci-dessous ont les significations énoncées ci-dessous. Les termes en majuscules qui sont utilisés mais non définis dans cette DPA ont les significations données dans l'Accord.

(a) Affiliate désigne toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous un contrôle commun avec l'entité concernée, où « contrôle » fait référence au pouvoir de diriger ou de provoquer la direction de l'entité concernée, que ce soit (i) par la propriété de titres de vote, ou (ii) par la capacité à contrôler en fait les décisions de gestion de cette entité, par contrat ou autrement.

(b) API signifie toute interface de programmation d'application mise à disposition par Nitro pour le Client en rapport avec l'Accord.

(c) Législations applicables en matière de protection des données désigne les lois sur la vie privée, la protection des données et la sécurité des données de toute juridiction applicable au traitement des Données Personnelles en vertu de l'Accord, y compris, sans s'y limiter, les lois européennes sur la protection des données et le CCPA, chacune amendée de temps à autre.

(d) CCPA désigne la California Consumer Privacy Act de 2018 et tout règlement promulgué en vertu de celle-ci.

(e) Données du Client désigne les informations fournies ou mises à disposition à Nitro pour le traitement au nom du Client afin de fournir les Services.

(f) Documentation désigne le Guide de l'utilisateur, les notes de version, les guides de mise en œuvre et toute autre documentation technique liée aux Services ou aux Services Professionnels qui est mise à disposition du Client par Nitro.

(g) EEE désigne l'Espace Économique Européen.

(h) Législations européennes sur la protection des données désigne le RGPD et d'autres lois et règlements sur la protection des données de l'Union européenne, de ses États membres, de la Suisse, de l'Islande, du Liechtenstein, de la Norvège et du Royaume-Uni, dans chaque cas, dans la mesure où ils sont applicables au traitement des Données Personnelles en vertu de l'Accord.

(i) RGPD désigne le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, tel qu'amendé de temps à autre.

(j) Incident de sécurité de l'information désigne une violation connue de la sécurité de Nitro entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données Personnelles en possession, garde ou contrôle de Nitro.

Les incidents de sécurité de l'information n'incluent pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des Données Personnelles, y compris, mais sans s'y limiter, les tentatives de connexion infructueuses, les pings, les analyses de port, les attaques par déni de service, ou d'autres attaques réseau sur des pare-feu ou des systèmes en réseau.

(k) Droits de propriété intellectuelle désigne tous les droits de propriété intellectuelle dans le monde, y compris : (i) les brevets, les divulgations d'inventions (qu'elles soient brevetables ou non), les demandes de brevet, les rééditions, les réexamens, les droits de modèle d’utilité et les droits de design (enregistrés ou non), ainsi que les droits de propriété industrielle enregistrés ou autres, (ii) les marques, les marques de service, les noms d'entreprise, les noms commerciaux, les identifiants Internet, l'apparence commerciale et d'autres désignations similaires de source ou d'origine ensemble avec la bonne volonté symbolisée par ceux-ci, (iii) les droits d'auteur, les droits moraux, les droits de design, les droits de base de données, les collectes de données et d'autres droits sui generis, (iv) les secrets commerciaux ou d'autres droits de propriété dans des informations confidentielles ou techniques, réglementaires ou autres informations, conceptions, résultats, techniques et autres savoir-faire, et (v) les demandes, enregistrements et renouvellements pour, et tous les droits associés à, tout ce qui précède dans toute partie du monde.

(l) Données Personnelles désigne les Données du Client qui constituent des « données personnelles », « informations personnelles », ou « informations personnellement identifiables » définies dans la législation applicable en matière de protection des données, ou informations d'un caractère similaire réglementées par celle-ci, sauf que les Données Personnelles n'incluent pas les informations concernant le personnel ou les représentants du Client qui sont des contacts commerciaux de Nitro dans le cours normal de la relation commerciale, où Nitro agit comme responsable du traitement de ces informations.

(m) Traitement désigne toute opération ou ensemble d'opérations qui est effectuée sur des Données Personnelles ou sur des ensembles de Données Personnelles, que ce soit ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou autrement mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.

(n) Services Professionnels désigne tous les services fournis par Nitro liés aux Services tels que l'activation, la formation, la configuration, l'intégration, l'évaluation et l'optimisation.

(o) Mesures de sécurité a le sens donné dans la section 5(a) (Mesures de sécurité du fournisseur).

(p) Clauses contractuelles types désigne les dispositions obligatoires des clauses contractuelles types pour le transfert de données personnelles aux sous-traitants établis dans des pays tiers dans la forme énoncée par la décision de la Commission européenne 2016/679/UE et 2018/914/UE, et mises en œuvre par la décision de la Commission européenne 2021/914, datée du 4 juin 2021.

(q) Sous-traitants désigne les tiers que Nitro engage pour traiter les Données Personnelles en rapport avec les Services.

(r) Sous-traitants tiers a le sens donné dans la section 5 (Sous-traitants) de l'annexe 1.

(s) Les termes responsable du traitement, personne concernée, sous-traitant, et autorité de contrôle tels qu'utilisés dans cette DPA ont les significations données dans le RGPD.

 

 

(a) Cette DPA restera en vigueur tant que Nitro traitera des Données Personnelles, nonobstant l'expiration ou la résiliation de l'Accord.

(b) Annexe 1 (Annexe UE) de cette DPA s'applique uniquement au traitement soumis aux Législations Européennes sur la Protection des Données.

(c) Annexe 2 (Annexe Californienne) de cette DPA s'applique uniquement au traitement soumis à la CCPA si le Client est une « entreprise » ou un « fournisseur de services » (tel que défini dans la CCPA) concernant ce traitement.

 

 

Nitro traitera les Données Personnelles uniquement conformément aux instructions du Client à Nitro. Cette DPA constitue une expression complète de ces instructions, et les instructions supplémentaires du Client seront contraignantes pour Nitro uniquement aux termes d'un amendement à cette DPA signé par les deux Parties. Le Client ordonne à Nitro de traiter les Données Personnelles afin de fournir les Services tel que prévu par l'Accord.

 

 

Le Client reconnaît et accepte que, dans le cadre des Services, Nitro peut :

(a) créer et dériver des éléments nécessaires pour fournir les Services à partir du traitement lié aux Services ; et/ou

(b) créer et dériver à partir du traitement lié aux Services des données anonymisées et/ou agrégées qui n'identifient pas le Client ou toute personne physique, et utiliser, publiciser ou partager avec des tiers ces données anonymisées et/ou agrégées pour améliorer les produits et services de Nitro et/ou pour d'autres buts commerciaux légitimes.

 

 

(a) Mesures de sécurité des fournisseurs. Nitro mettra en œuvre et maintiendra des mesures techniques et organisationnelles conçues pour protéger les Données Personnelles contre la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données Personnelles (« Mesures de Sécurité ») comme décrit dans Annexe 3 (Mesures de Sécurité). Nitro peut mettre à jour les Mesures de Sécurité de temps à autre sans préavis, tant que les mesures mises à jour ne diminuent pas matériellement la protection globale des Données Personnelles.

(b) Incidents de sécurité de l'information. Nitro informera le Client sans délai excessif de tout Incident de Sécurité de l'Information dont Nitro prend connaissance. De telles notifications peuvent décrire les détails disponibles de l'Incident de Sécurité de l'Information, y compris un résumé des étapes prises pour atténuer les risques potentiels et les étapes que Nitro recommande au Client de considérer pour traiter l'Incident de Sécurité de l'Information. La notification ou la réponse de Nitro à un Incident de Sécurité de l'Information ne sera pas interprétée comme une reconnaissance de toute faute ou responsabilité de la part de Nitro concernant l'Incident de Sécurité de l'Information.

(c) Responsabilités et évaluation de la sécurité du Client.

(i) Responsabilités de sécurité du Client. Le Client accepte que, sans limiter les obligations de Nitro en vertu de la Section 5 (Sécurité), le Client est seul responsable de son utilisation des Services, y compris (a) de faire un usage approprié des Services pour garantir un niveau de sécurité approprié au risque concernant les Données Personnelles ; (b) de sécuriser les identifiants d'authentification du compte, les systèmes et dispositifs que le Client utilise pour accéder aux Services ; (c) de sécuriser les systèmes et dispositifs du Client que Nitro utilise pour fournir les Services ; et (d) de faire des copies de sauvegarde des Données Personnelles.

(ii) Évaluation de la sécurité du Client. Le Client accepte que les Services, les Mesures de Sécurité et les engagements de Nitro en vertu de cette DPA sont adéquats pour répondre aux besoins du Client, y compris en ce qui concerne toute obligation de sécurité du Client en vertu des Législations Applicables en matière de Protection des Données, et fournir un niveau de sécurité approprié à la mesure du risque concernant les Données Personnelles.

 

(a) Assistance de Nitro pour les demandes des personnes concernées. Nitro fournira (en tenant compte de la nature du traitement des Données Personnelles) au Client l'assistance raisonnablement nécessaire pour que le Client puisse remplir ses obligations en vertu des Législations Applicables en matière de Protection des Données pour satisfaire aux demandes des personnes concernées d'exercer leurs droits en vertu des Législations Applicables en matière de Protection des Données (« Demandes des Personnes Concernées ») concernant les Données Personnelles en possession ou sous le contrôle de Nitro. Le Client indemnisera Nitro pour toute assistance à cet égard aux tarifs de services professionnels alors en vigueur chez Nitro, qui seront mis à la disposition du Client sur demande.

(b) Responsabilité du Client pour les demandes. Si Nitro reçoit une Demande d'une Personne Concernée, Nitro conseillera à la personne concernée de soumettre la demande au Client et le Client sera responsable de répondre à la demande.

 

(a) Conformité du Client. Le Client se conformera à ses obligations en vertu des Législations Applicables en matière de Protection des Données. Le Client veillera (et est seul responsable de veiller) à ce que ses instructions dans la section 3 soient conformes aux Législations Applicables en matière de Protection des Données, et que le Client a donné tous les avis à, et a obtenu tous les consentements de, les individus auxquels les Données Personnelles se rapportent et toutes les autres parties comme requis par les Législations Applicables en matière de Protection des Données pour que le Client puisse traiter les Données Personnelles comme prévu par l'Accord.

(b) Données interdites. Le Client déclare et garantit à Nitro que les Données du Client ne contiennent ni ne contiendront, sans le consentement écrit préalable de Nitro, des numéros de sécurité sociale ou d'autres numéros d'identification émis par le gouvernement ; des informations biométriques ; des mots de passe pour des comptes en ligne ; des identifiants pour tout compte financier ; des données de déclaration fiscale ; des rapports de crédit ou des rapports consommateurs ; des informations de carte de paiement soumise aux normes de sécurité des données de l'industrie des cartes de paiement ; des informations soumises à la loi Gramm-Leach-Bliley, à la loi Fair Credit Reporting ou aux règlements promulgués en vertu de l'une de ces lois ; des informations soumises à des restrictions en vertu des Législations Applicables en matière de Protection des Données régissant les Données Personnelles des enfants, y compris, sans limitation, toutes les informations sur des enfants de moins de 13 ans ; ou toute information relevant de catégories spéciales de données (telles que définies dans le RGPD). Le Client déclare en outre que les Données du Client ne contiennent ni ne contiendront des informations protégées de santé soumises à la loi sur la portabilité et responsabilité des assurances de santé (HIPAA) ou toute législation similaire dans d'autres juridictions ; d'autres informations concernant l'historique médical d'un individu, son état mental ou physique, ou son traitement ou diagnostic par un professionnel de la santé ; ou des informations d'assurance maladie à moins que le Client et Nitro n'aient conclu séparément un Accord d'Associé Commercial HIPAA.

 

Sauf modification expresse par la DPA, les termes de l'Accord restent en pleine vigueur et effet. En cas de conflit ou d'incohérence entre cette DPA et les termes de l'Accord, cette DPA prévaudra. Nonobstant toute disposition dans l'Accord ou tout bon de commande conclu en rapport avec celui-ci, les Parties reconnaissent et conviennent que l'accès de Nitro aux Données Personnelles ne constitue pas une partie de la contrepartie échangée par les Parties en ce qui concerne l'Accord. Nonobstant toute disposition contraire dans l'Accord, toutes les notifications requises ou autorisées à être données par Nitro au Client en vertu de cette DPA peuvent être données (a) conformément à toute clause de notification de l'Accord ; (b) aux principaux points de contact de Nitro chez le Client ; ou (c) à tout e-mail fourni par le Client aux fins de lui fournir des communications ou alertes liées aux Services. Le Client est seul responsable de veiller à ce que ces adresses pour notifications soient valides.

 

(a) Sujet et détails du traitement. Les Parties reconnaissent et conviennent que (i) le sujet du traitement en vertu de l'Accord est la fourniture des Services par Nitro ; (ii) la durée du traitement est à partir de la réception par Nitro des Données Personnelles jusqu'à la suppression de toutes les Données Personnelles par Nitro conformément à l'Accord ; (iii) la nature et le but du traitement visent à fournir les Services ; (iv) les personnes concernées par les Données Personnelles sont le Client (dans la mesure où le Client est une personne physique), les utilisateurs des Services ou du logiciel Nitro, et les individus dont les Données Personnelles ont été générées, partagées ou téléchargées par le Client et/ou par des utilisateurs des Services et/ou par le logiciel Nitro ; et (v) les catégories de Données Personnelles sont les données personnelles générées, partagées, téléchargées ou demandées par le Client ou les utilisateurs des Services et/ou par le logiciel Nitro (qui peuvent inclure des Données Personnelles contenues dans des documents, des images et d'autres médias et du contenu généré par l'utilisateur tel que des documents, du texte, des images et d'autres contenus).

(b) Rôles et conformité réglementaire ; Autorisation. Les Parties reconnaissent et conviennent que (i) Nitro est un sous-traitant de Données Personnelles en vertu des Législations Européennes sur la Protection des Données ; (ii) le Client est un responsable du traitement (ou un sous-traitant agissant sur les instructions d'un responsable du traitement) des Données Personnelles en vertu des Législations Européennes sur la Protection des Données ; et (iii) chaque Partie respectera les obligations qui lui sont applicables dans ce rôle en vertu des Législations Européennes sur la Protection des Données relatives au traitement des Données Personnelles. Si le Client est un sous-traitant, le Client déclare et garantit à Nitro que les instructions et actions du Client concernant les Données Personnelles, y compris sa nomination de Nitro comme autre sous-traitant, ont été autorisées par le responsable du traitement concerné.

(c) Conformité de Nitro aux instructions. Nitro traitera les Données Personnelles uniquement conformément aux instructions du Client énoncées dans cette DPA à moins que les Législations Européennes sur la Protection des Données applicables n'exigent le contraire, auquel cas Nitro devra informer le Client (sauf si cette loi interdit à Nitro de le faire).

(d) Suppression des données. Nitro devra supprimer toutes les Données Personnelles sur les systèmes de Nitro sur demande écrite du Client et après la fin de la fourniture des Services, et devra supprimer les copies existantes à moins qu'un stockage continu des Données Personnelles ne soit requis par (i) les lois applicables de l'Union Européenne ou de ses États membres, en ce qui concerne les Données Personnelles soumises aux Législations Européennes sur la Protection des Données ou (ii) les Législations Applicables en matière de Protection des Données, en ce qui concerne toutes les autres Données Personnelles. Nitro se conformera à cette instruction dès que raisonnablement possible et au plus tard 180 jours après une telle expiration ou résiliation, à moins que les Législations Applicables en matière de Protection des Données n'exigent un stockage. Le Client peut choisir de demander une copie de ces Données Personnelles à Nitro moyennant des frais supplémentaires en le demandant par écrit au moins 30 jours avant l'expiration ou la résiliation de l'Accord. Après l'accord des Parties à un tel coût conformément à un bon de commande ou à tout autre amendement à l'Accord, Nitro fournira une telle copie des Données Personnelles avant qu'elles ne soient supprimées conformément à cette clause.

 

 

(a) Mesures de sécurité, contrôles et assistance de Nitro

(i) Assistance en matière de sécurité par Nitro. Sur demande écrite, Nitro fournira au Client une assistance raisonnable nécessaire pour que le Client se conforme à ses obligations concernant les Données Personnelles en vertu des Législations Européennes sur la Protection des Données, y compris les articles 32 à 34 (inclus) du RGPD, par (a) la mise en œuvre et le maintien des Mesures de Sécurité ; (b) la conformité aux termes de la Section 5(b) (Incidents de sécurité de l'information) de la DPA ; et (c) la conformité à cette Annexe 1. Le Client reconnaît par la présente et accepte que ces mesures sont suffisantes pour permettre au Client de se conformer à ces obligations.

(ii) Conformité à la sécurité du personnel de Nitro. Nitro veillera à ce que son personnel autorisé à accéder aux Données Personnelles soit soumis à des obligations de confidentialité appropriées.

(b) Examens et audits de conformité Le Client peut auditer la conformité de Nitro à ses obligations en vertu de cette DPA pas plus d'une fois par année civile et lors d'autres occasions qui peuvent être exigées par les Législations Européennes sur la Protection des Données, y compris lorsque cela est mandaté par l'autorité de contrôle du Client. Nitro assistera à ces audits en fournissant au Client ou à l'autorité de contrôle du Client les informations et l'assistance raisonnablement nécessaires pour effectuer l'audit. Si un tiers doit réaliser l'audit, Nitro peut s'opposer à l'auditeur si celui-ci n'est, à l'avis raisonnable de Nitro, ni indépendant, ni concurrent de Nitro, ni manifestement inadapté. Une telle objection de Nitro exigera que le Client nomme un autre auditeur ou mène l'audit lui-même. Pour demander un audit, le Client doit soumettre un plan d'audit proposé à Nitro au moins trois (3) semaines avant la date d'audit proposée et tout auditeur tiers doit signer un accord de non-divulgation usuel mutuellement acceptable pour Nitro (cette acceptation ne doit pas être raisonnablement refusée) prévoyant un traitement confidentiel de toutes les informations échangées dans le cadre de l'audit et tous les rapports concernant les résultats ou conclusions de celui-ci. Le plan d'audit proposé doit décrire la portée, la durée et la date de début proposées de l'audit. Nitro examinera le plan d'audit proposé et fournira au Client toute préoccupation ou question (par exemple, toute demande d'information qui pourrait compromettre la sécurité, la protection des données, la confidentialité, l'emploi ou d'autres politiques pertinentes de Nitro). Nitro travaillera de manière coopérative avec le Client pour convenir d'un plan d'audit final. Rien dans cette Section 2(b) n'oblige Nitro à violer quelconque devoir de confidentialité. Si les contrôles ou mesures devant être évalués dans l'audit demandé sont abordés dans un rapport d'audit SOC 2 Type 2, ISO, ou similaire réalisé par un auditeur tiers qualifié dans les douze (12) mois précédant la demande d'audit du Client et que Nitro a confirmé qu'aucun changement matériel défavorable connu n'a eu lieu dans les contrôles audités depuis la date de ce rapport, le Client accepte de se fier à ce rapport au lieu de demander un audit de tels contrôles ou mesures. L'audit doit être effectué pendant les heures de bureau normales de Nitro, sous réserve du plan d'audit final convenu et des politiques de sécurité et/ou autres politiques pertinentes de Nitro, et ne doit pas interférer de manière déraisonnable avec les activités commerciales de Nitro. Le Client informera rapidement Nitro de toute non-conformité découverte au cours d'un audit et fournira à Nitro tous les rapports d'audit générés en relation avec tout audit en vertu de cette Section 2(b), sauf interdiction par les lois européennes sur la protection des données ou autrement instruction d'une autorité de surveillance. Le Client peut utiliser les rapports d'audit uniquement aux fins de satisfaire aux exigences d'audit réglementaire du Client et/ou de confirmer la conformité aux exigences de ce DPA. Tous les audits sont à la seule charge du Client. Le Client remboursera Nitro pour tout le temps dépensé par Nitro et tout tiers en rapport avec les audits ou inspections effectués en vertu de cette Section 2(b) aux tarifs de services professionnels alors applicables à Nitro, qui seront mis à disposition du Client sur demande. Le Client sera responsable de tous les frais facturés par tout auditeur nommé par le Client pour exécuter un tel audit.

 

Nitro aidera raisonnablement le Client à se conformer à ses obligations en vertu des articles 35 et 36 du RGPD, en ( mettant à disposition une documentation décrivant des aspects pertinents du programme de sécurité de l'information de Nitro et les mesures de sécurité appliquées y afférant et (b) en fournissant les autres informations contenues dans l'Accord, y compris ce DPA.

 

 

(a) Installations de Traitement des Données. Nitro peut, sous réserve de la Section 4(b) (Transferts en dehors de l'EEE), stocker et traiter des Données Personnelles aux États-Unis ou partout où Nitro ou ses Sous-traitants maintiennent des installations.

(b) Transferts en dehors de l'EEE. Si le Client transfère des Données Personnelles en dehors de l'EEE vers Nitro dans un pays jugé par la Commission Européenne comme n'ayant pas de protection des données adéquate, ce transfert sera soumis aux Clauses Contractuelles Standard, dont les termes sont par les présentes intégrés à ce DPA. En vue de ce qui précède, les Parties conviennent que (i) le Client agira en tant qu'exportateur de données et Nitro agira en tant qu'importateur de données selon les Clauses Contractuelles Standard ; (ii) aux fins de l'Appendice 1 aux Clauses Contractuelles Standard, les catégories de personnes concernées, de données, les catégories particulières de données (si appropriées) et les opérations de traitement seront telles que définies dans la Section 1(a) de la présente Annexe 1 (Objet et Détails du Traitement) ; (iii) aux fins de l'Appendice 2 aux Clauses Contractuelles Standard, les mesures techniques et organisationnelles seront celles des Mesures de Sécurité ; (iv) l'importateur de données fournira les copies des contrats de sous-traitants qui doivent être envoyées par l'importateur de données à l'exportateur de données conformément à la Clause 5(j) des Clauses Contractuelles Standard à la demande de l'exportateur de données, et que l'importateur de données peut retirer ou masquer toutes les informations ou clauses commerciales non liées aux Clauses Contractuelles Standard ou équivalentes au préalable ; (v) les audits décrits dans la Clause 5(f) et la Clause 12(2) des Clauses Contractuelles Standard seront effectués conformément à la Section 2(b) de la présente Annexe 1 (Revue et Audits de Conformité) ; (vi) les autorisations du Client dans la Section 5 (Sous-traitants) de la présente Annexe 1 constitueront le consentement écrit préalable du Client à la sous-traitance par Nitro du Traitement des Données Personnelles si un tel consentement est requis en vertu de la Clause 5(h) des Clauses Contractuelles Standard ; et (vii) le certificat de suppression des Données Personnelles comme décrit dans la Clause 12(1) des Clauses Contractuelles Standard sera fourni à la demande écrite de l'importateur de données.

Nonobstant ce qui précède, les Clauses Contractuelles Standard (ou obligations équivalentes à celles des Clauses Contractuelles Standard) ne s'appliqueront que dans la mesure où une norme de conformité reconnue alternative pour le transfert de Données Personnelles en dehors de l'EEE conformément aux lois européennes sur la protection des données s'applique au transfert. En cas de conflit ou d'incohérence entre (a) cette Annexe 1 et toute autre disposition de ce DPA, cette Annexe 1 prévaudra, ou (b) les Clauses Contractuelles Standard et toute autre disposition de cet Accord, les Clauses Contractuelles Standard prévaudront.

 

 

(a) Consentement à l'Engagement des Sous-traitants. Le Client autorise spécifiquement l'engagement des Affiliés de Nitro en tant que Sous-traitants et autorise généralement l'engagement d'autres tiers en tant que Sous-traitants (“Sous-traitants Tiers”).

(b) Information sur les Sous-traitants. Les informations sur les Sous-traitants, y compris leurs fonctions et emplacements, sont disponibles à : https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (telles que mises à jour par Nitro de temps à autre) ou à toute autre adresse de site web que Nitro pourrait fournir au Client de temps à autre (collectivement, “Site des Sous-traitants”).

(c) Exigences pour l'Engagement des Sous-traitants. Lors de l'engagement de tout Sous-traitant, Nitro établira un contrat écrit avec ce Sous-traitant contenant des obligations de protection des données non moins protectrices que celles du présent DPA en ce qui concerne les Données Personnelles dans la mesure où cela est applicable à la nature des services fournis par ce Sous-traitant. Nitro sera responsable de toutes les obligations sous l'Accord sous-traitées à, le Sous-traitant ou ses actions et omissions y afférentes.

(d) Possibilité de S'opposer aux Changements de Sous-traitants. Lorsque Nitro engage un nouveau Sous-traitant Tiers après la date d'entrée en vigueur de l'Accord, Nitro notifiera le Client de l'engagement (y compris le nom et la localisation du Sous-traitant concerné et les activités qu'il réalisera) en mettant à jour le Site des Sous-traitants ou par d'autres moyens écrits. Si le Client s'oppose à un tel engagement dans un avis écrit à Nitro dans les 15 jours suivant l'information de l'engagement pour des motifs raisonnables liés à la protection des Données Personnelles, le Client et Nitro travailleront ensemble de bonne foi pour trouver une résolution mutuellement acceptable pour traiter cette objection. Si les Parties ne parviennent pas à une résolution mutuellement acceptable dans un délai raisonnable, le Client peut, en tant que seul et exclusif recours, mettre fin à l'Accord et annuler les Services en fournissant un avis écrit à Nitro et payer Nitro tous les montants dus et impayés en vertu de l'Accord à la date de cette résiliation.

(e) Suffisance du Consentement. Le Client reconnait par les présentes et convient que les procédures ci-dessus sont suffisantes pour obtenir le consentement écrit préalable du Client à la sous-traitance en vertu de l'article 28 du RGPD, et dans la mesure requise par la Clause 5(h) des Clauses Contractuelles Standard.

 

1. Aux fins de cette Annexe 2, les termes “entreprise”, “but commercial”, “vendre” et “fournisseur de services” auront les significations respectives qui leur sont attribuées dans la CCPA, et “informations personnelles” désignera les Données Personnelles constituant des informations personnelles régies par la CCPA.
2. L'intention des Parties est qu'en ce qui concerne toute information personnelle, Nitro est un fournisseur de services. Nitro ne doit pas (a) vendre d'informations personnelles ; (b) conserver, utiliser ou divulguer des informations personnelles pour un but autre que celui de fournir les Services, y compris conserver, utiliser ou divulguer les informations personnelles pour un but commercial autre que celui de la prestation des Services ; ou (c) conserver, utiliser ou divulguer les informations personnelles en dehors de la relation commerciale directe entre Nitro et le Client. Nitro certifie par les présentes qu'il comprend ses obligations en vertu de cette Section 2 et s'y conformera.
3. Les Parties reconnaissent que la conservation, l'utilisation et la divulgation des informations personnelles autorisées par les instructions du Client documentées dans le DPA sont intégrales à la prestation de Services de Nitro et à la relation commerciale entre les Parties.
   
   

 

La protection de l'information est le principal objectif de la sécurité de l'information, qui est réalisée par la mise en place d'un ensemble approprié de contrôles, y compris des structures organisationnelles, des politiques et procédures, des processus et des contrôles techniques en IT. Ces contrôles doivent être conçus, mis en œuvre, surveillés, examinés et améliorés pour garantir que les actifs informationnels de Nitro et de ses Affiliés, ses partenaires ou clients sont sécurisés à tout moment. Consultez Mesures Organisationnelles Techniques.

Télécharger une copie →