Addenda sur le traitement des données RGPD de Nitro Sign Premium et Identity Hub dans l'UE
LE PRÉSENT ADDENDUM SUR LE TRAITEMENT DES DONNÉES S'APPLIQUE SI VOUS VOUS ÊTES INSCRIT À NITRO SIGN PREMIUM OU NITRO IDENTITY HUB EN VERTU DES CONDITIONS DE SERVICE DE NITRO POUR NITRO SIGN PREMIUM ET NITRO IDENTITY HUB ET LE GDPR DE L'UE S'APPLIQUE AU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DANS LE CADRE DE L'ACCORD.
1. CHAMP D'APPLICATION ; RÔLES DES PARTIES
Nitro reçoit et traite les données à caractère personnel au profit et pour le compte du client lorsqu'elle fournit les services, conformément aux instructions et à la finalité définies par le client dans les détails du traitement des données. Par le présent addendum sur le traitement des données, les parties souhaitent définir leurs accords spécifiques concernant le traitement des données à caractère personnel dans le cadre de l'accord.
Par défaut, Nitro agit en tant que processeur et le client agit en tant que contrôleur en ce qui concerne les services fournis par Nitro au client conformément aux conditions d'utilisation de Nitro. Cet addendum sur le traitement des données annule et remplace tous les accords précédents conclus (le cas échéant) en matière de traitement des données personnelles et de protection des données entre les parties en ce qui concerne les services proposés par Nitro.
Le présent addendum sur le traitement des données complète les conditions de service et en fait partie intégrante. Ensemble, les conditions de service et le présent addendum sur le traitement des données constituent un accord juridique unique entre les parties. En cas de divergence ou de contradiction entre le présent addendum relatif au traitement des données et les conditions de service, l'addendum relatif au traitement des données prévaudra.
2. DÉFINITIONS
Le "contrôleur" désigne le client tel qu'il est identifié dans les conditions de service et le bon de commande applicable ;
"Détails du traitement des données" : les détails du traitement des données tels qu'ils figurent dans le formulaire de commande et qui comprennent plus de détails sur les instructions du client concernant le traitement des données à caractère personnel, telles que la finalité, l'objet et la nature du traitement, ainsi que le type de données à caractère personnel traitées ;
"GDPR" : le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
On entend par "données à caractère personnel" les données à caractère personnel, telles que définies dans le règlement GDPR de l'UE, que Nitro traite au profit et pour le compte du client lorsqu'elle fournit les services conformément aux instructions et à l'objectif définis par le client dans les détails relatifs au traitement des données ;
Le "processeur" désigne Nitro Software Belgium NV, fournisseur des services au client et tel qu'identifié dans les conditions de service ;
La "liste des sous-traitants" désigne la liste des sous-traitants mise à disposition en ligne par Nitro, qui comprend les sous-traitants engagés par Nitro pour la fourniture des services et l'exécution des obligations de Nitro en vertu de l'addendum sur le traitement des données en général. Nitro peut mettre à jour la liste des sous-traitants de temps à autre conformément à la procédure définie dans le présent addendum sur le traitement des données ;
"Sous-traitant": tout sous-traitant tiers engagé par Nitro pour le traitement des données à caractère personnel liées à la fourniture des services au client ;
Tous les autres termes et définitions écrits avec une majuscule et qui ne sont pas définis expressément dans le présent addendum sur le traitement des données sont définis comme indiqué dans la législation applicable en matière de protection des données ou dans les conditions de service de Nitro.
3. OBJET DU PRÉSENT AVENANT RELATIF AU TRAITEMENT DES DONNÉES
3.1 Le présent avenant au traitement des données détermine les conditions du traitement par Nitro des données à caractère personnel communiquées par le client ou à son initiative dans le cadre de la convention. La nature et la finalité du traitement, la liste et le type de données à caractère personnel ainsi que les catégories de personnes concernées sont indiqués dans les détails du traitement des données.
3.2 Le traitement aura lieu exclusivement au profit du client et dans le but défini par le client dans les détails du traitement des données. Nitro informe immédiatement le client si, à son avis, une instruction enfreint la législation (sur la protection des données) applicable. Nitro ne traitera les données à caractère personnel que conformément aux instructions documentées du client et n'utilisera pas ces données à caractère personnel à ses propres fins, sauf autorisation expresse dans les conditions de service. Si Nitro est légalement tenue de procéder à un traitement de données à caractère personnel, elle informera le client de cette obligation, à moins que cela n'enfreigne les règles impératives applicables.
4. TERME
4.1 Le présent avenant s'applique à tous les traitements de données à caractère personnel effectués dans le cadre de la fourniture des services au client par Nitro et s'applique aussi longtemps que Nitro traite des données à caractère personnel pour le compte du client dans le cadre du contrat. Le présent addendum sur le traitement des données complète les conditions de service de Nitro et vise à garantir le respect par les parties des exigences imposées par les lois et règlements applicables en matière de protection des données dans le cadre de l'utilisation des services par le client.
4.2 Le présent addendum sur le traitement des données prend fin automatiquement à la résiliation de l'accord (ou au moment où le traitement par Nitro prend fin). Les dispositions du présent avenant relatif au traitement des données qui sont expressément ou implicitement (compte tenu de leur nature) destinées à produire leurs effets après la résiliation de l'avenant relatif au traitement des données survivront à la fin du contrat en ce qui concerne les données à caractère personnel communiquées par le client ou à son initiative dans le cadre du contrat.
5. MESURES TECHNIQUES ET ORGANISATIONNELLES
5.1 Nitro offre des garanties adéquates en ce qui concerne la mise en œuvre de mesures techniques et organisationnelles appropriées ("MTO") pour assurer un traitement sécurisé des données à caractère personnel et garantir ainsi la protection des droits de la personne concernée. Les TOM mis en œuvre par Nitro sont ceux qui sont décrits dans les détails du traitement des données. Les TOM peuvent être mis à jour par Nitro de temps à autre, mais Nitro veillera à ne pas réduire la sécurité globale qu'elle a mise en place au moment de l'exécution de l'avenant relatif au traitement des données. Le client reconnaît que les TOM sont adéquats pour le traitement de ses données à caractère personnel au moment de la signature ou de l'acceptation du présent addendum sur le traitement des données.
5.2 Nitro prend toutes les mesures techniques et organisationnelles appropriées visées à l'article 32 GDPR de l'UE pour assurer un niveau de sécurité adéquat en fonction du risque.
5.3 Si le client fournit à Nitro, dans le cadre de l'accord, des données à caractère personnel sensibles telles que visées aux articles 9 et 10 GDPR de l'UE à Nitro dans le cadre de l'accord, le client inclura ces informations dans les détails du traitement des données.
5.4 Si le client demande que Nitro mette en œuvre des mesures techniques et organisationnelles spécifiques (que Nitro n'a pas mises en œuvre par défaut), le client remboursera Nitro pour la mise en œuvre de ces mesures supplémentaires conformément à la section 14 "Coûts" du présent avenant relatif au traitement des données.
5.5 Adhésion de Nitro à un code de conduite approuvé, tel que visé à l'article 40 GDPR de l'UE, ou à un mécanisme de certification approuvé visé à l'article 42 GDPR de l'UE peut être utilisé comme élément de preuve des garanties suffisantes visées dans le GDPR de l'UE.
6. RETENTION
6.1 Nitro ne conservera pas les données à caractère personnel plus longtemps qu'il n'est nécessaire pour le traitement de ces données dans le cadre de l'accord. Le client ne demandera pas à Nitro de conserver des données personnelles plus longtemps que nécessaire. La période de conservation applicable (telle que définie par le client) est indiquée dans les détails du traitement des données.
6.2 Au choix du client, Nitro supprime ou restitue toutes les données personnelles au client après la fin de la fourniture des services et supprime les copies existantes, à moins que la législation de l'Union ou d'un État membre n'exige la conservation des données personnelles. Le client reconnaît que les services peuvent inclure des fonctionnalités de téléchargement à sa disposition pour lui permettre de télécharger ses données. Dans la mesure où de telles fonctionnalités sont disponibles, le client les utilisera pour extraire ou supprimer ses données.
7. CONFIDENTIALITÉ
7.1 Les parties ont convenu d'une clause de confidentialité dans les conditions de service qui s'applique au traitement des données à caractère personnel dans le cadre de l'accord.
7.2 Nitro reconnaît et accepte que seuls les employés, contractants ou agents de Nitro qui participent au traitement des données à caractère personnel peuvent être informés des données à caractère personnel et uniquement dans la mesure raisonnablement nécessaire à l'exécution de l'accord. Nitro veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent par contrat à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité.
8. DROITS DE LA PERSONNE CONCERNÉE
8.1 Compte tenu de la nature du traitement, Nitro déploie tous les efforts raisonnables, en prenant les mesures techniques et organisationnelles appropriées, pour aider le client à s'acquitter de son obligation de répondre aux demandes des personnes concernées.
8.2 Pour toute l'assistance fournie par Nitro dans le cadre du traitement de ces demandes émanant de personnes concernées, le client remboursera Nitro conformément à la section 14 "Coûts" du présent avenant relatif au traitement des données. Ce remboursement par le client ne s'applique pas (i) si la personne concernée invoque ses droits en raison d'une violation de données à caractère personnel dont il est prouvé qu'elle est imputable à Nitro ou (ii) si l'assistance fournie par Nitro ne dépasse pas quatre (4) heures de travail pendant la durée de l'accord.
9. OBLIGATION DE NOTIFIER
9.1 Dès qu'elle a connaissance d'une violation de données à caractère personnel, Nitro en avise le client dans les meilleurs délais en contactant la personne de contact indiquée dans le contrat ou dans le bon de commande correspondant (ou encore par l'intermédiaire de l'adresse électronique de notification du client). La personne de contact de Nitro pour toute question relative à la protection des données peut être contactée par courriel : privacy@gonitro.com.
9.2 À la demande du client, Nitro l'informera de tout fait nouveau concernant une violation de données à caractère personnel et des mesures prises pour en limiter les conséquences et empêcher qu'elle ne se reproduise. Il incombe au client de signaler toute violation de données à caractère personnel à l'autorité de contrôle ou à la (aux) personne(s) concernée(s), le cas échéant.
10. SOUS-TRAITEMENT
10.1 Le client autorise expressément Nitro à faire appel à des sous-traitants pour le traitement des données à caractère personnel aux fins de l'exécution du contrat et pour faciliter la fourniture des services en général. Dans cette mesure, le client donne à Nitro une autorisation écrite générale de décider avec quel(s) sous-traitant(s) secondaire(s) Nitro coopère pour l'exécution de ses obligations en vertu de l'accord. Nitro publie une liste de sous-trait ants secondaires qui fait référence aux sous-traitants secondaires engagés par Nitro.
10.2 Nitro informera le client de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs par l'intermédiaire de la personne de contact du client indiquée dans le contrat ou le bon de commande correspondant (ou par l'intermédiaire de l'adresse électronique de notification du client). Le client a le droit de s'opposer à l'ajout ou au remplacement en s'adressant par écrit à Nitro. Dans ce cas, les parties discuteront de l'ajout, du remplacement ou de la solution de rechange en toute bonne foi et dès que possible après la notification écrite de l'objection du client.
10.3 Lorsque Nitro fait appel à un sous-traitant pour effectuer des activités de traitement spécifiques, les obligations de protection des données identiques ou similaires à celles énoncées dans le présent addendum sur le traitement des données sont imposées à ce sous-traitant par le biais d'un accord écrit, notamment en fournissant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées (et en se conformant aux mesures techniques et organisationnelles pertinentes). Lorsqu'un sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, Nitro reste pleinement responsable envers le client de l'exécution de l'obligation de ce sous-traitant ultérieur.
11. TRANSFERTS INTERNATIONAUX DE DONNÉES
11.1 Le client autorise les transferts internationaux de données à caractère personnel aux fins de la fourniture des services. Ces transferts internationaux de données sont considérés comme une instruction du client. Le client reconnaît que les sous-traitants autorisés en vertu de l'article 10 peuvent également traiter des données à caractère personnel dans des pays tiers. Le client autorise ces transferts, sous réserve que Nitro prenne toutes les mesures nécessaires pour garantir que ces transferts sont conformes aux dispositions du chapitre V du GDPR de l'UE et aux autres lois applicables en matière de protection des données.
11.2 Si le transfert de données à caractère personnel à un pays tiers ou à une organisation internationale est obligatoire en vertu de la législation applicable de l'Union européenne ou d'un État membre à laquelle Nitro est soumise, Nitro est autorisée à effectuer ce transfert et informe le client de cette obligation légale avant le traitement, à moins que cette législation n'interdise cette information pour des motifs importants d'intérêt public.
12. ANALYSE D'IMPACT SUR LA PROTECTION DES DONNÉES ET CONSULTATION PRÉALABLE
12. 1Si le client réalise une analyse d'impact sur la protection des données (« DPIA ») (article 35 du RGPD de l'UE) ou une consultation préalable (article 36 du RGPD de l'UE) liée au traitement des données personnelles dans le cadre de l'exécution du Contrat, Nitro aidera raisonnablement le client en fournissant une assistance sur demande écrite du client. Le client remboursera Nitro pour l'assistance fournie conformément à la section 14 « Coûts » de cet addendum relatif au traitement des données. Ce remboursement des frais ne s'appliquera pas si (i) l'assistance demandée à Nitro dure moins de quatre (4) heures ouvrables pendant la durée du contrat, ou (ii) la DPIA ou une consultation préalable est déclenchée par une violation de données personnelles dont il est prouvé qu'elle est imputable à Nitro.
13. DROIT D'AUDIT
13.1 Le client a le droit de procéder à des audits concernant le respect par Nitro des obligations qui lui incombent en vertu du présent addendum sur le traitement des données et de la législation applicable en matière de protection des données. Nitro s'efforce raisonnablement de coopérer à ces audits et de mettre à disposition toutes les informations nécessaires pour prouver qu'elle s'est acquittée de son obligation. Le client avise Nitro de cette vérification au moins un (1) mois avant la date à laquelle la vérification sera effectuée, en adressant un avis écrit à Nitro par l'intermédiaire de privacy@gonitro.com.
13.2 En cas d'audit, toutes les parties concernées doivent d'abord signer un accord de non-divulgation spécifique émis par Nitro concernant cet audit et ses résultats avant le début de l'audit. Lors de la réalisation d'un tel audit, les obligations de confidentialité des parties à l'égard des tiers doivent être prises en compte. Les parties et leurs auditeurs doivent garder secrètes les informations recueillies dans le cadre d'un audit et les utiliser exclusivement pour vérifier leur conformité avec le présent addendum sur le traitement des données et les lois et règlements applicables en matière de protection des données. Le client a la possibilité d'effectuer l'audit lui-même ou de désigner un auditeur indépendant, qui doit toutefois dûment signer l'accord de non-divulgation visé dans la présente section.
13.3 Les deux parties et, le cas échéant, leurs représentants, coopèrent raisonnablement, sur demande, avec l'autorité de surveillance dans l'exécution de ses tâches.
13.4 Le client rembourse à Nitro l'assistance fournie par cette dernière en ce qui concerne les audits conformément à l'article 14 "Coûts" du présent avenant relatif au traitement des données. Il est entendu que ce remboursement ne s'applique pas (i) si l'audit résulte d'une violation de données à caractère personnel dont il est prouvé qu'elle est imputable à Nitro ou (ii) si l'assistance de Nitro n'excède pas quatre (4) heures de travail pendant la durée de la convention.
14. COÛTS
14.1 L'assistance à fournir en vertu du présent avenant pour laquelle Nitro peut facturer le client sera facturée sur la base des heures travaillées et des taux horaires standard applicables de Nitro (195 EUR/heure hors taxes). Nitro facturera ces montants sur une base mensuelle, mais a également le droit de demander un acompte.
14.2 Le paiement par le client à Nitro de l'assistance et des services professionnels fournis par Nitro en vertu du présent avenant relatif au traitement des données s'effectue conformément aux dispositions des conditions de service.
15. RESPONSABILITÉ
15.1 Dans toute la mesure permise par le droit applicable, les dispositions des conditions de service relatives à la limitation de la responsabilité s'appliquent également au présent addendum sur le traitement des données et aux dommages qui en découlent.
16. DIVERS
16.1 Les dispositions des conditions de service relatives aux modifications, à l'intégralité de l'accord, à la divisibilité, au droit applicable et aux tribunaux compétents sont applicables au présent addendum sur le traitement des données.