Conditions et politiques
- Nitro Pro
- Nitro Sign Premium et Identity Hub
- Politiques
- Politiques ESG
Annexe sur le traitement des données UK GDPR
Nitro Pro
CETTE ANNEXE SUR LE TRAITEMENT DES DONNÉES S'APPLIQUE SI VOUS VOUS ÊTES INSCRIT AUX SERVICES NITRO EN TANT QUE CLIENT ENTREPRISE EN VERTU DES CONDITIONS DE SERVICE NITRO ET QUE LE UK GDPR S'APPLIQUE AU TRAITEMENT DES DONNÉES PERSONNELLES DANS LE CADRE DE L'ACCORD. EN CAS VOUS VOUS ÊTES INSCRIT EN TANT QU'INDIVIDU, VEUILLEZ CONSULTER LA POLITIQUE DE CONFIDENTIALITÉ DE NITRO POUR PLUS D'INFORMATIONS SUR COMMENT NITRO TRAITE VOS DONNÉES PERSONNELLES.
1. Champ d'application ; Rôles des Parties
Nitro recevra et traitera les données personnelles pour le bénéfice et pour le compte du Client lors de la fourniture du Service, conformément aux instructions et au but définis par le Client dans les Détails du traitement des données. Par les présents, les Parties souhaitent établir leurs accords spécifiques concernant le traitement des données personnelles dans le cadre de l'Accord.
Par défaut, Nitro agira en tant que Responsable du traitement et le Client agira en tant que Contrôleur concernant les Services fournis par Nitro au Client en vertu des Conditions de service Nitro. Cette annexe sur le traitement des données remplace et annule tous les accords précédents établis (le cas échéant) concernant le traitement des données personnelles et la protection des données entre les Parties en relation avec les Services offerts par Nitro.
Cette annexe sur le traitement des données complète et fait partie des Conditions de service, et ensemble, les Conditions de service et cette annexe constituent un accord légal unique entre les Parties. En cas de divergences ou de contradictions entre cette annexe sur le traitement des données et les Conditions de service, l'annexe sur le traitement des données prévaudra.
2. Définitions
« Annexe » désigne toute annexe à la présente annexe sur le traitement des données ;
« Contrôleur » fait référence au Client tel qu'identifié dans les Conditions de service et le Bon de commande applicable ;
« Détails du traitement des données » désigne l'annexe 1 de la présente annexe sur le traitement des données qui inclut plus de détails sur les instructions du Client concernant le traitement des données personnelles telles que l'objectif, l'objet et la nature du traitement et le type de données personnelles traitées ;
« UK GDPR » signifie le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
« Données personnelles » désigne les données personnelles telles que définies par le UK GDPR que Nitro traite pour le bénéfice et pour le compte du Client lors de la fourniture des Services conformément aux instructions et au but définis par le Client dans les Détails du traitement des données ;
« Responsable du traitement » fait référence à Nitro Software Inc., fournisseur des Services au Client et tel qu'identifié dans les Conditions de service ;
« Liste des sous-traitants » désigne la liste des sous-traitants mise à disposition en ligne par Nitro qui comprend les sous-traitants engagés par Nitro pour la fourniture des Services et le respect des obligations de Nitro en vertu de l'Accord en général. Nitro peut mettre à jour la liste des sous-traitants de temps à autre conformément au processus établi dans cette annexe sur le traitement des données ;
« Sous-traitant » désigne tout tiers processeur engagé par Nitro pour le traitement des données personnelles liées à la fourniture des Services au Client ;
« UK GDPR » désigne le RGPD de l'UE tel que transposé dans la législation intérieure du Royaume-Uni en vertu de l'article 3 de la Loi de retrait de l'Union européenne de 2018 et tel qu'amendé par le Règlement sur la protection des données, la vie privée et les communications électroniques (modifications, etc.) (sortie de l'UE) de 2019 (tel qu'amendé) ;
« Données personnelles UK » désigne les données personnelles auxquelles le UK GDPR est applicable ;
« Clauses contractuelles types du Royaume-Uni » désigne l'Annexe relative au transfert international de données aux clauses contractuelles types de la Commission européenne émises par le Commissaire à l'information en vertu de l'article 119A(1) de la Loi de 2018 sur la protection des données, sous la forme et selon les modalités définies dans l'annexe 2 de cette annexe sur le traitement des données.
Tous les autres termes et définitions écrits avec des lettres majuscules et qui ne sont pas explicitement définis dans cette annexe sur le traitement des données, sont définis comme indiqué dans la législation applicable en matière de protection des données ou dans les Conditions de service de Nitro.
3 Objet de cette annexe sur le traitement des données
3.1 Cette annexe sur le traitement des données détermine les conditions du traitement par Nitro des données personnelles communiquées par ou à l'initiative du Client dans le cadre de l'Accord. La nature et l'objectif du traitement, une liste et le type de données personnelles ainsi que les catégories des Personnes concernées sont énumérés dans les Détails du traitement des données (Annexe 1).
3.2 Le traitement aura lieu exclusivement au bénéfice du Client et pour le but tel que défini par le Client dans les Détails du traitement des données. Nitro informera immédiatement le Client si, à son avis, une instruction enfreint la législation applicable en matière de protection des données. Nitro ne traitera les données personnelles que conformément aux instructions documentées du Client et ne utilisera pas ces données personnelles à ses propres fins, sauf si cela est explicitement autorisé dans les Conditions de service. Si Nitro est légalement contraint de procéder à tout traitement de données personnelles, Nitro informera le Client de cette obligation, sauf si cela violerait des règles impératives applicables.
4. Durée
4.1 Cette annexe sur le traitement des données s'applique à tout traitement de données personnelles exécuté dans le cadre de la fourniture des Services au Client par Nitro et s'applique tant que Nitro traite des données personnelles pour le compte du Client dans le cadre de l'Accord. Cette annexe sur le traitement des données complète les Conditions de service de Nitro et vise à garantir la conformité des Parties aux exigences imposées par les lois et règlements applicables en matière de protection des données pour l'utilisation par le Client des Services.
4.2 Cette annexe sur le traitement des données prend fin automatiquement à la résiliation de l'Accord (ou au moment où le traitement par Nitro est terminé). Les dispositions de cette annexe sur le traitement des données qui sont expressément ou implicitement (compte tenu de leur nature) destinées à avoir effet après la résiliation de l'annexe sur le traitement des données devront survivre à la fin de l'Accord en ce qui concerne les données personnelles communiquées par ou à l'initiative du Client dans le cadre de l'Accord.
5. Mesures techniques et organisationnelles
5.1 Nitro offre des garanties adéquates en ce qui concerne la mise en œuvre de mesures techniques et organisationnelles appropriées (« TOM ») permettant d'assurer un traitement sécurisé des données personnelles et garantissant ainsi la protection des droits des personnes concernées. Les TOM mises en œuvre par Nitro sont telles qu'indiquées dans les Détails du traitement des données. Les TOM peuvent être mises à jour par Nitro de temps à autre, cependant Nitro veillera à ne pas dégrader la sécurité globale qu'il a mise en œuvre au moment de l'exécution de l'Annexe sur le traitement des données. Le Client reconnaît que les TOM sont adéquates pour le traitement de ses données personnelles au moment de la signature ou de l'acceptation de cette annexe sur le traitement des données.
5.2 Nitro prendra toutes les mesures techniques et organisationnelles appropriées comme mentionné à l'article 32 du UK GDPR pour assurer un niveau de sécurité adéquat par rapport au risque.
5.3 Si le Client fournit des données personnelles sensibles telles que mentionnées aux articles 9 et 10 du UK GDPR à Nitro dans le cadre de l'Accord, le Client en informera Nitro par écrit à l'adresse privacy@gonitro.com.
5.4 Dans le cas où le Client demande des mesures techniques et organisationnelles spécifiques à mettre en œuvre par Nitro (que Nitro n'a pas mises en œuvre par défaut), le Client remboursera Nitro pour la mise en œuvre de ces mesures supplémentaires conformément à la Section 14 « Coûts » de cette annexe sur le traitement des données.
5.5 L'adhésion de Nitro à un code de conduite approuvé tel que mentionné à l'article 40 du UK GDPR, ou un mécanisme de certification approuvé tel que mentionné à l'article 42 du UK GDPR peut être utilisé comme élément de preuve de garanties suffisantes telles que mentionnées dans le UK GDPR.
6 Conservation
6.1 Nitro ne conservera pas les données personnelles plus longtemps que nécessaire pour le traitement de ces données personnelles dans le cadre de l'Accord. Le Client ne donnera pas d'instructions à Nitro pour stocker des données personnelles plus longtemps que nécessaire. La période de conservation applicable (définie par le Client) est précisée dans les Détails du traitement des données.
6.2 À la demande du Client, Nitro devra supprimer ou retourner toutes les données personnelles au Client après la fin de la fourniture des Services et devra supprimer les copies existantes, sauf si la loi applicable exige le stockage des données personnelles. Le Client reconnaît que les Services pourraient inclure des fonctionnalités de téléchargement mises à la disposition du Client pour lui permettre de télécharger ses données. Dans la mesure où de telles fonctionnalités sont disponibles, le Client devra utiliser ces fonctionnalités pour extraire ou supprimer ses données.
7. Confidentialité
7.1 Les Parties ont convenu d'une clause de confidentialité dans les Conditions de service qui s'applique au traitement des données personnelles dans le cadre de l'Accord.
7.2 Nitro reconnaît et accepte que seuls les employés, contractants ou agents de Nitro impliqués dans le traitement des données personnelles puissent être informés des données personnelles et ce, uniquement dans la mesure raisonnablement nécessaire à la réalisation de l'Accord. Nitro s'assure que les personnes autorisées à traiter les données personnelles sont tenues à la confidentialité par contrat ou sont sous une obligation légale appropriée de confidentialité.
8. Droits des personnes concernées
8.1 Compte tenu de la nature du traitement, Nitro fera tous les efforts raisonnables, en prenant des mesures techniques et organisationnelles appropriées, pour aider le Client à respecter son obligation de répondre aux demandes des personnes concernées.
8.2 Pour toute assistance fournie par Nitro dans le cadre du traitement de telles demandes des personnes concernées, le Client remboursera Nitro conformément à la Section 14 « Coûts » de cette annexe sur le traitement des données. Ce remboursement par le Client ne s'appliquera pas (i) dans le cas où la personne concernée invoque ses droits en raison d'une violation de données personnelles prouvée imputable à Nitro ou (ii) dans le cas où cette assistance par Nitro ne dépasse pas quatre (4) heures de travail durant la durée de l'Accord.
9. Devoir d'informer
9.1 Dès qu'il a connaissance d'une violation de données personnelles, Nitro doit en informer le Client sans délai excessif en contactant la personne de contact indiquée dans l'Accord ou le Bon de commande pertinent (ou alternativement via l'adresse email de notification du Client ou (le cas échéant) toute autre adresse e-mail que le Client a partagée dans le portail d'administration comme contact de confidentialité). La personne de contact de Nitro pour toute question liée à la protection des données peut être jointe par email : privacy@gonitro.com.
9.2 À la demande du Client, Nitro informera le Client de tout nouveau développement concernant une violation de données personnelles et des mesures prises pour limiter ses conséquences et prévenir la répétition de cette violation de données personnelles. Il incombe au Client de signaler toute violation de données personnelles à l'autorité de protection des données ou aux personnes concernées, si nécessaire.
10 Sous-traitance
10.1 Le Client autorise expressément Nitro à engager des sous-traitants pour le traitement des données personnelles afin de réaliser l'Accord et de faciliter la fourniture des Services en général. À cet égard, le Client accorde une autorisation écrite générale à Nitro pour décider avec quel(s) sous-traitant(s) Nitro collabore pour l'exécution de ses obligations dans le cadre de l'Accord. Nitro publie une Liste de sous-traitants faisant référence aux sous-traitants engagés par Nitro.
10.2 Nitro informera le Client de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants en contactant la personne de contact indiquée dans l'Accord ou le Bon de commande pertinent (ou via l'adresse email de notification du Client ou (le cas échéant) toute autre adresse e-mail partagée dans le portail d'administration comme contact de confidentialité). Le Client aura le droit de s'opposer à l'ajout ou au remplacement en s'adressant à Nitro par écrit. Les Parties discuteront dans ce cas de l'ajout, du remplacement ou de l'alternative de bonne foi et dès que raisonnablement possible après la notification écrite d'opposition du Client.
10.3 Lorsque Nitro engage un sous-traitant pour effectuer des activités spécifiques de traitement, les mêmes obligations de protection des données, telle que stipulées dans cette annexe sur le traitement des données, doivent être imposées à ce sous-traitant par le biais d'un accord écrit, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées (et en respectant les mesures techniques et organisationnelles pertinentes). Si un sous-traitant ne respecte pas ses obligations en matière de protection des données, Nitro restera pleinement responsable envers le Client de l'exécution de cette obligation du sous-traitant.
11. Transferts internationaux de données
11.1 Le Client reconnaît que Nitro est établi aux États-Unis d'Amérique, et autorise ainsi les transferts internationaux de données personnelles aux fins de fournir les Services. Ce transfert international de données est considéré comme une instruction du Client.
11.2 Si, à tout moment pendant la durée de cette annexe sur le traitement des données, (i) Nitro est certifié selon l'Extension UK au Cadre de protection des données UE-États-Unis (également connu sous le nom de pont de données UK-U.S.) (« Cadre ») ; et (ii) ce Cadre constitue une décision d'adéquation valide aux fins de l'article 45 du UK GDPR, alors les Parties reconnaissent qu'aucune garantie appropriée n'est requise concernant les transferts entre le Client et Nitro.
11.3 Lorsque les conditions énoncées à la Section 11.2 ne s'appliquent pas, les Parties entrent dans les Clauses contractuelles types du Royaume-Uni dans la forme et selon les modalités définies dans l'annexe 2 de cette annexe sur le traitement des données, ces Clauses contractuelles types du Royaume-Uni étant incorporées et faisant partie de cette annexe sur le traitement des données.
11.4 Le Client reconnaît que les sous-traitants autorisés en vertu de la clause 10 peuvent également traiter des données personnelles dans des pays tiers. Cadre de protection des données (également connu sous le nom de « pont de données » Royaume-Uni-États-Unis) (« Cadre »); et (ii) que ce Cadre constitue une décision d'adéquation valide au sens de l'article 45 du RGPD britannique, alors les Parties reconnaissent qu'aucune mesure de protection appropriée n'est requise en ce qui concerne les transferts entre le Client et Nitro.
11.3 Lorsque les conditions énoncées dans la Section 11.2 ne s'appliquent pas, les Parties concluent les Clauses Contractuelles Standards britanniques sous la forme et de la manière décrites à l'Annexe 2 de cet Addendum sur le traitement des données, ces Clauses Contractuelles Standards britanniques étant intégrées et faisant partie de cet Addendum sur le traitement des données.
11.4 Le Client reconnaît que les Sous-traitants autorisés en vertu de la clause 10 peuvent également traiter des Données Personnelles dans des pays tiers. Le Client autorise de tels transferts, sous réserve que Nitro prenne toutes les mesures nécessaires pour garantir que ces transferts se conforment aux dispositions du Chapitre V du UK GDPR et à d'autres lois applicables en matière de protection des données.
11.5 Dans le cas où le transfert de données personnelles vers un pays tiers ou une organisation internationale est obligatoire en vertu de la législation applicable à laquelle Nitro est soumis, Nitro sera autorisé à effectuer ce transfert et devra informer le Client de cette obligation légale avant ce traitement, à moins que cette loi n'interdise une telle information pour d'importants motifs d'intérêt public. Évaluation de l'impact sur la protection des données et consultation préalable
12.1 Si le Client réalise une Évaluation d'impact sur la protection des données (« DPIA ») (article 35 du UK GDPR) ou une consultation préalable (article 36 du UK GDPR) liée au traitement des données personnelles dans le cadre de l'exécution de l'Accord, Nitro devra raisonnablement aider le Client en fournissant une assistance sur demande écrite du Client. Le Client remboursera Nitro pour l'assistance fournie conformément à la Section 14 « Coûts » de cette annexe sur le traitement des données. Ce remboursement des coûts ne s'appliquera pas dans le cas où (i) l'assistance demandée par Nitro est inférieure à quatre (4) heures de travail durant la durée de l'Accord, ou (ii) la DPIA ou la consultation préalable est déclenchée par une violation de données personnelles prouvée imputable à Nitro.
13. Droit d'audit
13.1 Le Client a le droit de réaliser des audits concernant la conformité de Nitro à ses obligations en vertu de cette annexe sur le traitement des données et de la législation applicable en matière de protection des données. Nitro fera des efforts raisonnables pour coopérer à ces audits et pour mettre à disposition toutes les informations nécessaires pour prouver sa conformité à son obligation. Le Client devra notifier Nitro de cet audit au moins un (1) mois avant la date à laquelle l'audit sera réalisé, par avis écrit donné à Nitro via privacy@gonitro.com.
13.2 Dans le cas où un audit est réalisé, toutes les parties impliquées devront d'abord signer un accord de non-divulgation spécifique émis par Nitro en ce qui concerne cet audit et les résultats de l'audit avant le début de l'audit. Lors de la réalisation de tout audit, les obligations de confidentialité des Parties vis-à-vis des tiers doivent être prises en compte. Les Parties et leurs auditeurs doivent garder secrètes les informations recueillies dans le cadre d'un audit et les utiliser exclusivement pour vérifier leur conformité avec cette annexe sur le traitement des données et les lois et réglementations applicables en matière de protection des données. Le Client a la possibilité d'effectuer l'audit lui-même ou d'assigner un auditeur indépendant, cependant, cet auditeur indépendant doit dûment signer l'accord de non-divulgation mentionné dans cette Section.
13.3 Les deux Parties et, le cas échéant, leurs représentants, doivent coopérer raisonnablement, sur demande, avec l'Autorité de Surveillance dans l'accomplissement de ses tâches.
13.4 Le Client remboursera Nitro pour l'assistance fournie par Nitro en relation avec l/audit(s) conformément à la Section 14 « Coûts » de cet Addendum sur le traitement des données. Il est entendu que ce remboursement ne s'applique pas dans le cas où (i) l'audit résulte d'une violation de Données Personnelles prouvée imputable à Nitro ou (ii) dans le cas où l'assistance de Nitro ne dépasse pas quatre (4) heures de travail pendant la durée de l'Accord.
14. Coûts
14.1 L'assistance à fournir en vertu de cet Addendum sur le traitement des données pour laquelle Nitro peut facturer le Client, sera facturée sur la base des heures de travail effectuées et des tarifs horaires standards applicables de Nitro (295 USD/heure, taxes exclues). Nitro facturera ces montants mensuellement mais a également le droit de demander des frais de rétention à l'avance.
14.2 Le paiement par le Client à Nitro pour l'assistance et les services professionnels fournis par Nitro en vertu de cet Addendum sur le traitement des données se fera conformément aux dispositions des Conditions de Service.
15. Responsabilité
15.1 Sous réserve de l'étendue maximale permise par la loi applicable, les dispositions des Conditions de Service concernant la limitation de responsabilité s'appliquent également à cet Addendum sur le traitement des données et aux dommages qui en découlent.
16. Divers
16.1 Les dispositions des Conditions de Service concernant les modifications, l'accord complet, la divisibilité, la loi applicable et les tribunaux compétents s'appliquent à cet Addendum sur le traitement des données. En cas de divergences ou de contradictions entre cet Addendum sur le traitement des données et les Clauses Contractuelles Standards britanniques, si applicable, les Clauses Contractuelles Standards britanniques prévaudront.
Annexe 1 - Détails du traitement des données
A. LISTE DES PARTIES
1. AUTOR(S) DE DONNÉES
Nom : Client, tel qu'identifié dans l'Accord et le Formulaire de Commande pertinent.
Adresse : L'adresse de l'exportateur de données est indiquée dans l'Accord et le Formulaire de Commande pertinent.
Nom, poste et coordonnées de la personne de contact : Les coordonnées de la personne de contact pour l'exportateur de données sont indiquées dans l'Accord. dans l'Accord, le Formulaire de Commande pertinent (et si applicable le portail admin du Client).
Activités pertinentes pour les données transférées : Les activités qui sont pertinentes pour les données transférées en vertu de ces Clauses Contractuelles Standards britanniques sont décrites ci-dessous dans la Section B « Description du traitement/transfert ».
Signature et date : En signant ou en acceptant le Formulaire de Commande pertinent, l'exportateur de données sera réputé avoir signé cette Annexe I.
Rôle (responsable/traitant) : Responsable
2. AUTOR(S) DE DONNÉES
Nom : Nitro Software Inc.
Adresse : 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.
Nom, poste et coordonnées de la personne de contact : privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis.
Activités pertinentes pour les données transférées : Les activités qui sont pertinentes pour les données transférées en vertu de ces Clauses Contractuelles Standards britanniques sont décrites ci-dessous dans la Section B « Description du traitement/transfert ».
Signature et date : En signant ou en acceptant le Formulaire de Commande pertinent, l'importateur de données sera réputé avoir signé cette Annexe I.
Rôle (responsable/traitant) : Traitant
B. DESCRIPTION DU TRAITEMENT/TRANSFERT
1. Sujet du traitement des Données Personnelles
Le sujet est déterminé par le Client tel qu'il est décrit dans l'Accord et le Formulaire de Commande pertinent.
2. LA NATURE ET L'OBJECTIF DU TRAITEMENT DES DONNÉES PERSONNELLES
La nature et l'objectif du traitement sont déterminés par le Client tel qu'ils sont décrits dans l'Accord et le Formulaire de Commande pertinent.
Par défaut, ce traitement aura pour but de rendre disponibles les Services, y compris toutes ses fonctionnalités et fonctionnalités au Client et à ses Utilisateurs, et plus généralement de permettre à Nitro d'accomplir ses obligations contractuelles en vertu de l'Accord. Cet objectif peut être la mise à disposition des Services Cloud (par exemple, mais sans s'y limiter, la mise à disposition du portail cloud pour le client, les services de signatures électroniques, les services d'analytique, etc.) ainsi que la fourniture de Support.
La nature du traitement comprendra, entre autres instructions données par le Client dans l'Accord et le Formulaire de Commande pertinent, le traitement, la collecte, le stockage, la communication et le transfert de Données Personnelles.
3. Données Personnelles traitées
Selon les fonctionnalités utilisées dans les Services (par exemple, portail admin, services de signatures électroniques, services d'analytique, etc.) et le contenu des Données Client téléchargées par le Client et ses Utilisateurs dans les Services, Nitro traite différentes sortes de Données Personnelles.
En général, les Données Personnelles traitées par Nitro comprennent sans s'y limiter :
- Détails d'identification (par exemple, détails d'utilisateur et d'utilisation)
- Données documentaires (par exemple, Données Personnelles incluses dans des documents PDF traités)
Un aperçu détaillé des types de Données Personnelles traitées lors de l'utilisation des Services est disponible via le Centre de Confiance de Nitro : Traitement des Données Personnelles
4. Données Sensibles
L'exportateur de données peut inclure des Données Personnelles sensibles dans les données personnelles conformément à la Section 5.3 de cet Addendum sur le traitement des données. Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques impliqués, tels que par exemple une stricte limitation d'objectif, des restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : il est fait référence aux TOM énumérés ou mentionnés dans les Détails du traitement des données ci-dessous.
5. CATÉGORIE DE SUJETS DE DONNÉES
Les catégories suivantes de sujets de données sont par défaut dans le champ d'application :
- Tous les Utilisateurs ayant accès aux Services (ce qui inclut les utilisateurs administrateurs, les utilisateurs généraux ou les utilisateurs invités comme les signataires).
- Tous les Sujets de Données inclus dans les Données Client téléchargées dans les Services par le Client ou ses Utilisateurs.
Le Client confirme que ces Sujets de Données seront par défaut considérés comme l'une des catégories suivantes :
- Le personnel du Client
- Les clients du Client
- Les prospects du Client
- Les fournisseurs du Client
6. Sous-traitants
Nitro engage des Sous-traitants pour garantir que toutes les fonctionnalités soient disponibles dans les Services. Les Sous-traitants applicables dépendent de l'utilisation des Services et des fonctionnalités et de la configuration demandée par le Client. Une liste détaillée des Sous-traitants engagés par Nitro (y compris la procédure que nous appliquons lors de l'engagement de nouveaux Sous-traitants) est disponible via notre Centre de Confiance : Sous-traitants et Sous-traitants
7. MESURES TECHNIQUES ET ORGANISATIONNELLES (TOM)
Nitro met en œuvre des mesures techniques et organisationnelles appropriées pour garantir une sécurité adéquate lors de l'utilisation des Services. Nous mettons continuellement à jour ces mesures. Un aperçu détaillé des mesures prises est disponible via notre Centre de Confiance dans notre section Sécurité : Sécurité de l'information et dans notre Politique de sécurité de l'information. Notre Centre de Confiance liste également les certifications que Nitro détient dans la section Conformité : Conformité.
8. DURÉE DE CONSERVATION
Nitro ne conservera pas les Données Personnelles plus longtemps que nécessaire pour la fourniture des Services. Selon les Services et les fonctionnalités que vous utilisez en tant que Client, la ou les durées de conservation applicables peuvent différer. Chaque Client peut demander à Nitro de configurer des durées de conservation spécifiques dans leur environnement (dans la mesure où cela est techniquement faisable).
Si aucune durée de conservation spécifique n'a été configurée, les Données Personnelles seront par défaut stockées par Nitro jusqu'à leur suppression par le Client ou jusqu'à la résiliation de l'Accord entre Nitro et le Client (plus un maximum de 30 jours), selon la première des deux situations qui se présente. Un aperçu détaillé des durées de conservation est disponible via notre Centre de Confiance : Traitement des Données Personnelles
9. FRÉQUENCE DES TRANSFERTS INTERNATIONAUX
Sur une base continue, selon les besoins pour fournir les Services au Client.
Annexe 2 - Clauses contractuelles standard britanniques
Addendum sur le transfert de données internationales aux Clauses contractuelles standard de la Commission européenne
VERSION B1.0, en vigueur le 21 mars 2022
Ce Addendum a été émis par le Commissaire à l'Information pour les Parties effectuant des Transferts Restrictifs. Le Commissaire à l'Information considère qu'il fournit des mesures de protection appropriées pour les transferts restrictifs lorsqu'il est conclu en tant que contrat juridiquement contraignant.
Partie 1 : Tables
Tableau 1 : Parties
Date de début | Date de l'Addendum sur le traitement des données | |
Les Parties |
Exportateur (qui envoie le Transfert Restrictif) Client |
Importateur (qui reçoit le Transfert Restrictif) Nitro |
Détails des Parties |
Nom légal complet : Client, tel qu'identifié dans l'Accord et le Formulaire de Commande pertinent. Nom commercial (si différent) : Adresse principale (si adresse de société enregistrée) : L'adresse de l'exportateur de données est indiquée dans l'Accord et le Formulaire de Commande pertinent. Numéro d'enregistrement officiel (le cas échéant) (numéro d'entreprise ou identifiant similaire) : Tel qu'identifié dans l'Accord et le Formulaire de Commande pertinent, ou sinon N/A |
Nom légal complet : Nitro Software Inc. Nom commercial (si différent) : Adresse principale (si adresse de société enregistrée) : 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, États-Unis. Numéro d'enregistrement officiel (le cas échéant) (numéro d'entreprise ou identifiant similaire) : N/A |
Contact clé |
Nom complet (optionnel) : Le nom complet de la personne de contact pour l'exportateur de données est indiquée dans l'Accord et le Formulaire de Commande pertinent. Titre de poste : Le titre de poste de la personne de contact pour l'exportateur de données est indiqué dans l'Accord et le Formulaire de Commande pertinent. Coordonnées, y compris email : Les coordonnées de la personne de contact pour l'exportateur de données sont indiquées dans l'Accord et le Formulaire de Commande pertinent. |
privacy@gonitro.com Nitro Software Inc. |
Signature (si nécessaire aux fins de la Section 2) | Non requis – cette Annexe 2 fait partie de l'Addendum sur le traitement des données. | Non requis – cette Annexe 2 fait partie de l'Addendum sur le traitement des données. |
Tableau 2 : SCC sélectionnés, modules et clauses sélectionnées
Addendum SCC de l'UE |
La version des SCC de l'UE approuvés auxquels cet Addendum est annexé, détaillant ci-dessous, y compris les Informations de l'Annexe : 26. Date : les SCC de l'UE approuvés, y compris les Informations de l'Annexe et avec uniquement les modules, clauses ou dispositions facultatives suivants des SCC de l'UE approuvés mis en vigueur aux fins de cet Addendum : |
|||||
Module | Module en opération | Clause 7 (Clause de Docking) | Clause 11 (Option) | Clause 9a (Autorisation Générale Préalable) | Clause 9a (Délai) | Les données personnelles reçues de l'importateur sont-elles combinées avec les données personnelles collectées par l'exportateur ? |
1 | ||||||
2 |
X |
N/A |
N/A |
Autorisation Générale |
30 jours |
Non |
3 | ||||||
4 |
Tableau 3 : Informations de l'annexe
Les “Informations de l'annexe” désignent les informations qui doivent être fournies pour les modules sélectionnés tels que décrits dans l'Annexe des SCC de l'UE approuvés (autres que les Parties), et qui, pour ce Addendum, sont décrites dans :
Annexe 1A : Liste des Parties : Voir Tableau 1 ci-dessus. |
Annexe 1B : Description du Transfert : Voir Annexe 1 de cet Addendum sur le traitement des données. |
Annexe II : Mesures techniques et organisationnelles y compris des mesures techniques et organisationnelles pour garantir la sécurité des données : Voir la clause 5 de cet Addendum sur le traitement des données. |
Annexe III : Liste des Sous-traitants (Modules 2 et 3 uniquement) : Voir la clause 10.1 de cet Addendum sur le traitement des données. |
Tableau 4 : Fin de cet Addendum lorsque l'Addendum approuvé change
Fin de cet Addendum lorsque l'Addendum approuvé change | Quelles Parties peuvent mettre fin à cet Addendum comme stipulé dans la Section 19 : Importateur Exportateur aucune des Parties |
Partie 2 : Clauses obligatoires
Entrée en vigueur de cet Addendum
- Chaque Partie accepte d'être liée par les termes et conditions énoncés dans cet Addendum, en échange de ce que l'autre Partie accepte également d'être liée par cet Addendum.
- Bien que l'Annexe 1A et la Clause 7 des SCC de l'UE approuvés nécessitent une signature par les Parties, pour permettre des Transferts Restrictifs, les Parties peuvent entrer dans cet Addendum de toute manière qui les rend légalement contraignantes pour les Parties et permet aux sujets de données d'exercer leurs droits comme prévu dans cet Addendum. L'entrée en vigueur de cet Addendum aura le même effet que la signature des SCC de l'UE approuvés et de toute partie des SCC de l'UE approuvés.
Interprétation de cet Addendum
3. Lorsque cet Addendum utilise des termes qui sont définis dans les SCC de l'UE approuvés, ces termes auront le même sens que dans les SCC de l'UE approuvés. De plus, les termes suivants ont les significations suivantes :
Addendum | Cet Addendum relatif au Transfert International de Données qui est constitué de cet Addendum intégrant les SCC de l'UE. |
Informations sur l'Annexe des SCC de l'UE |
La ou les versions des SCC de l'UE approuvées auxquelles cet Addendum est annexé, comme indiqué dans le Tableau 2, y compris les Informations sur l'Annexe. Comme indiqué dans le Tableau 3. |
Garantie Appropriate | Le standard de protection des données personnelles et des droits des personnes concernées, requis par les lois britanniques sur la protection des données lors d'un Transfert Restreint s'appuyant sur des clauses de protection des données standard en vertu de l'article 46(2)(d) du RGPD britannique. |
Addendum Approuvé | Le modèle d'Addendum émis par l'ICO et présenté au Parlement conformément à l'article s119A de la Loi de Protection des Données de 2018 le 2 février 2022, tel qu'il est révisé en vertu de la Section 18. |
SCC de l'UE Approuvées | Les Clauses Contractuelles Standard énoncées dans l'Annexe de la Décision d'Exécution de la Commission (UE) 2021/914 du 4 juin 2021. |
ICO | Le Commissaire à l'Information. |
Transfert Restreint | Un transfert couvert par le Chapitre V du RGPD britannique. |
Royaume-Uni | Le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord. |
Lois britanniques sur la protection des données | Toutes les lois relatives à la protection des données, au traitement des données personnelles, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD britannique et la Loi de Protection des Données de 2018. |
RGPD britannique | Comme défini à l'article 3 de la Loi de Protection des Données de 2018. |
4. Cet Addendum doit toujours être interprété de manière à être en conformité avec les lois britanniques sur la protection des données et afin de répondre à l'obligation des Parties de fournir des Garanties Appropriées.
5. Si les dispositions incluses dans l'Addendum SCC de l'UE modifient les SCC Approuvés de quelque manière non autorisée par les SCC de l'UE approuvés ou l'Addendum Approuvé, ces amendements ne seront pas intégrés dans cet Addendum et la disposition équivalente des SCC de l'UE approuvés prendra leur place.
6. En cas d'incohérence ou de conflit entre les lois britanniques sur la protection des données et cet Addendum, les lois britanniques sur la protection des données s'appliquent.
7. Si le sens de cet Addendum est ambigu ou s'il y a plus d'une signification, le sens qui s'aligne le plus étroitement avec les lois britanniques sur la protection des données s'applique.
8. Toute référence à une législation (ou à des dispositions spécifiques de la législation) signifie cette législation (ou provision spécifique) telle qu'elle peut évoluer au fil du temps. Cela inclut les cas où cette législation (ou provision spécifique) a été consolidée, réitérée et/ou remplacée après la conclusion de cet Addendum.
Hiérarchie
9. Bien que la Clause 5 des SCC de l'UE approuvées stipule que les SCC de l'UE approuvés prévalent sur tous les accords connexes entre les Parties, celles-ci conviennent que, pour les Transferts Restreints, la hiérarchie de la Section 10 prévaudra.
10. Lorsqu'il y a une incohérence ou un conflit entre l'Addendum Approuvé et les SCC de l'UE annexés (le cas échéant), l'Addendum Approuvé remplace les SCC de l'UE, sauf lorsque (et dans la mesure où) les termes incohérents ou conflictuels des SCC de l'UE assurent une meilleure protection des personnes concernées, auquel cas ces termes prévaudront sur l'Addendum Approuvé.
11. Lorsque cet Addendum incorpore des SCC de l'UE qui ont été conclus pour protéger les transferts soumis au Règlement Général sur la Protection des Données (RPG) (UE) 2016/679, alors les Parties reconnaissent qu'aucun élément de cet Addendum n'impacte ces SCC de l'UE.
Incorporation de et changements aux SCC de l'UE
12. Cet Addendum incorpore les SCC de l'UE qui sont amendées dans la mesure nécessaire afin que :
- ensemble elles fonctionnent pour les transferts de données effectués par l'exportateur de données vers l'importateur de données, dans la mesure où les lois britanniques sur la protection des données s'appliquent au traitement de l'exportateur de données lors de la réalisation de ce transfert de données, et elles fournissent des Garanties Appropriées pour ces transferts de données ;
- les Sections 9 à 11 prévalent sur la Clause 5 (Hiérarchie) de l'Addendum SCC de l'UE ; et
- ceci Addendum (y compris les SCC de l'UE incorporées dans celui-ci) est (1) régi par les lois de l'Angleterre et du Pays de Galles et (2) tout litige qui en découle est résolu par les tribunaux d'Angleterre et du Pays de Galles, dans chaque cas, à moins que les lois et/ou les tribunaux d'Écosse ou d'Irlande du Nord n'aient été expressément sélectionnés par les Parties.
13. À moins que les Parties n'aient convenu d'amendements alternatifs répondant aux exigences de la Section 12, les dispositions de la Section 15 s'appliqueront.
14. Aucun amendement aux SCC de l'UE approuvées, autre que pour répondre aux exigences de la Section 12, ne peut être effectué.
15. Les amendements suivants aux SCC de l'UE (pour les besoins de la Section 12) sont effectués :
- Les références aux “Clauses” signifient cet Addendum, intégrant les SCC de l'UE ;
- Dans la Clause 2, supprimer les mots :
“et, en ce qui concerne les transferts de données des responsables vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, des clauses contractuelles standard en vertu de l'article 28(7) du Règlement (UE) 2016/679”; - La Clause 6 (Description des transferts) est remplacée par :
“Les détails du/des transfert(s) et en particulier les catégories de données personnelles qui sont transférées et le(s) but(s) pour lequel/quels elles sont transférées sont ceux spécifiés dans l'Annexe I.B où les lois britanniques sur la protection des données s'appliquent au traitement de l'exportateur de données lors de la réalisation de ce transfert.”; - La Clause 8.7(i) du Module 1 est remplacée par :
“il s'agit d'un pays bénéficiant de réglementations de conformité en vertu de la Section 17A du RGPD britannique qui couvre le transfert ultérieur”; - La Clause 8.8(i) des Modules 2 et 3 est remplacée par :
“le transfert ultérieur est vers un pays bénéficiant de réglementations de conformité en vertu de la Section 17A du RGPD britannique qui couvre le transfert ultérieur ;” - Les références à “Règlement (UE) 2016/679”, “Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données (Règlement Général sur la Protection des Données)” et “ce Règlement” sont toutes remplacées par “lois britanniques sur la protection des données”. Les références à des articles spécifiques de “Règlement (UE) 2016/679” sont remplacées par l'article ou la section équivalente des lois britanniques sur la protection des données ;
- Les références au Règlement (UE) 2018/1725 sont supprimées ;
- Les références à l'“Union Européenne”, “Union”, “UE”, “État membre de l'UE”, “État membre” et “UE ou État membre” sont toutes remplacées par le “Royaume-Uni” ;
- La référence à “Clause 12(c)(i)” à la Clause 10(b)(i) du Module premier, est remplacée par “Clause 11(c)(i)” ;
- La Clause 13(a) et la Partie C de l'Annexe I ne sont pas utilisées ;
- Les “autorités de contrôle compétentes” et “autorité de contrôle” sont toutes deux remplacées par le “Commissaire à l'Information” ;
- Dans la Clause 16(e), le sous-alinéa (i) est remplacé par :
“le Secrétaire d'État établit des règlements en vertu de la Section 17A de la Loi de Protection des Données de 2018 qui couvrent le transfert de données personnelles auquel ces clauses s'appliquent ;”; - La Clause 17 est remplacée par :
“Ces Clauses sont régies par les lois de l'Angleterre et du Pays de Galles.”; - La Clause 18 est remplacée par :
“Tout litige né de ces Clauses sera résolu par les tribunaux de l'Angleterre et du Pays de Galles. Une personne concernée peut également engager des poursuites judiciaires contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de tout pays du Royaume-Uni. Les Parties acceptent de se soumettre à la juridiction de ces tribunaux.” ; et - Les notes de bas de page des SCC de l'UE approuvées ne font pas partie de l'Addendum, sauf pour les notes de bas de page 8, 9, 10 et 11.
Modifications à cet Addendum
- Les Parties peuvent convenir de modifier les Clauses 17 et/ou 18 des SCC de l'UE pour faire référence aux lois et/ou aux tribunaux d'Écosse ou d'Irlande du Nord.
- Si les Parties souhaitent changer le format des informations incluses dans la Partie 1 : Tables de l'Addendum Approuvé, elles peuvent le faire en convenant du changement par écrit, à condition que le changement ne réduise pas les Garanties Appropriées.
- De temps à autre, l'ICO peut publier un Addendum Approuvé révisé qui :
- apporte des modifications raisonnables et proportionnées à l'Addendum Approuvé, y compris la correction des erreurs dans l'Addendum Approuvé ; et/ou
- réflecte les changements dans les lois britanniques sur la protection des données ;
- L'Addendum Approuvé révisé spécifiera la date de début à compter de laquelle les modifications apportées à l'Addendum Approuvé sont effectives et si les Parties doivent réviser cet Addendum y compris les Informations de l'Annexe. Cet Addendum est automatiquement amendé comme prévu dans l'Addendum Approuvé révisé à partir de la date de début spécifiée.
- Si l'ICO publie un Addendum Approuvé révisé en vertu de la Section 18, si une Partie sélectionnée dans le Tableau 4 “Mettre fin à l'Addendum lorsque l'Addendum Approuvé change”, aura à la suite des changements de l'Addendum Approuvé une augmentation substantielle, disproportionnée et démontrable de :
- ses coûts directs d'exécution de ses obligations au titre de l'Addendum ; et/ou
- son risque au titre de l'Addendum,
et dans les deux cas, elle a d'abord pris des mesures raisonnables pour réduire ces coûts ou risques afin qu'ils ne soient pas substantiels et disproportionnés, alors cette Partie peut mettre fin à cet Addendum à la fin d'un préavis raisonnable, en fournissant un préavis écrit pour cette période à l'autre Partie avant la date d'entrée en vigueur de l'Addendum Approuvé révisé.
- Les Parties n'ont pas besoin du consentement de tiers pour apporter des modifications à cet Addendum, mais toute modification doit être effectuée conformément à ses termes.