Addendum sur le traitement des données

Sommaire

Dernière mise à jour : 16/07/2025

Le présent addendum sur le traitement des données (« DPA ») complète et est intégré à tout accord entre Netradyne et une personne ou une entité (le « Client ») régissant l'utilisation par le Client des Produits et Services de Netradyne, que cette utilisation soit (i) en vertu d'un accord direct avec Netradyne, (ii) par l'intermédiaire d'un revendeur, ou (iii) en vertu de toute autre conditions de service ou accord autorisant une telle utilisation (collectivement, le « Entente »). Lorsque le client accède aux Produits et Services par l'intermédiaire d'un revendeur, l'acceptation par le client de cette DPA peut se faire par des moyens électroniques, l'activation du produit ou l'utilisation continue des Produits et Services. Le présent DPA est un accord entre le Client (ainsi que toutes ses sociétés affiliées utilisant les Produits et Services en vertu de l'Accord) et Netradyne (chacune étant une « Partie » et collectivement « Parties »).

1. Définitions

Dans le présent addenda, les termes suivants auront le sens indiqué ci-dessous :

1.1. Les « données personnelles du client » désignent toutes les données personnelles soumises aux lois sur la protection des données contenues dans les données du client que le client fournit ou a mises à la disposition de Netradyne et qui sont traitées par Netradyne pour le compte du client conformément à l'Accord.

1.2. « Lois sur la protection des données » désigne, le cas échéant, (i) le Règlement général de l'UE sur la protection des données (UE 2016/679) (le « RGPD de l'UE »), son incorporation dans les lois de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de la loi britannique de 2018 sur la protection des données (le « RGPD ») ; (ii) la loi fédérale suisse sur la protection des données (« FADP ») ; (iii) United Les lois fédérales et/ou étatiques sur la protection des données ou la vie privée des États, y compris, mais sans s'y limiter, la California Consumer Privacy Act de 2018 telle que modifiée par la California Privacy Rights Act of 2020 (ainsi que son les règlements d'application, le « CPRA ») ; (iv) la loi belge sur la protection des données du 30 juillet 2018 (la « BDPA ») et/ou (v) toute autre législation nationale applicable dans l'Espace économique européen ou au Royaume-Uni qui complète le RGPD de l'UE ou du RGPD britannique (le cas échéant), et/ou les lois applicables en matière de protection des données dans tout pays ; dans chaque cas, tel qu'il peut être modifié, remplacé ou remplacé de temps à autre temps.

1.3. « Responsable du traitement » désigne l'entité qui détermine les moyens et les fins du traitement des données personnelles.

1.4. « Personne concernée » désigne la personne qui fait l'objet de données personnelles.

1.5. « CSC de l'UE » désigne les clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil.

1.6. « Données personnelles » signifie « données personnelles », « informations personnelles » ou « informations personnellement identifiables » ou tout autre terme analogue en vertu des lois sur la protection des données, tels que ces termes sont définis dans les Lois sur la protection des données.

1.7. « Violation de données personnelles » désigne toute atteinte à la sécurité que les lois sur la protection des données exigeraient (i) que Netradyne signale au client ou (ii) que le client signale à une autorité de surveillance ou à des personnes concernées, ou qu'il conserve un registre, qui implique des données personnelles visées par le présent addendum.

1.8. « Traitement » désigne toute opération ou ensemble d'opérations qui est effectué sur des données personnelles ou sur des ensembles de données personnelles.

1.9. « Processeur » désigne une entité qui traite des données personnelles pour le compte d'un responsable du traitement.

1.10. « Autorité de surveillance » désigne une autorité gouvernementale ou réglementaire responsable de l'administration, de la surveillance de la conformité aux lois sur la protection des données et/ou de l'application des lois sur la protection des données.

1.11. Les termes en majuscules qui ne sont pas autrement définis dans les présentes auront le sens qui leur est donné dans l'entente.

2. Application de la présente DPA

La présente DPA s'applique uniquement dans la mesure où Netradyne traite les données personnelles des clients pour le compte du client en tant que sous-traitant (ou sous-traitant) et, en ce qui concerne la CPRA, en tant que « fournisseur de services » ou « entrepreneur » dans le cadre de la fourniture des produits et services en vertu de l'accord.

En cas de conflit entre les modalités de l'entente et la présente LPD, les modalités de la présente LPD prévaudront. En cas de conflit entre les conditions de la présente DPA et les CCS ou l'addendum du Royaume-Uni, les CCS ou l'addenda du Royaume-Uni (le cas échéant) prévaudront dans la mesure d'un tel conflit. Sauf modification expresse des présentes, les modalités de l'entente demeurent pleinement en vigueur.

3. Rôles et portée du traitement

3.1. Rôle des parties

Entre les parties, Netradyne agit en tant que sous-traitant (ou sous-traitant, fournisseur de services ou entrepreneur) des données personnelles du client.

3.2. Instructions pour le client

3.2.1. Netradyne traitera les données personnelles du client de la manière spécifiquement énoncée dans l'Accord, la présente DPA et/ou les instructions documentées du client, ou comme l'exige autrement la loi applicable à laquelle Netradyne est soumis (les « Instructions client »). Si Netradyne est tenu par la loi applicable de traiter les données personnelles du client autrement que conformément aux instructions du client, Netradyne informera le client de cette exigence légale avant un tel traitement, dans la mesure permise par la loi applicable, sauf si cette loi interdit de telles informations pour des motifs importants d'intérêt public.

3.2.2. Netradyne avisera rapidement le client si, de l'avis de Netradyne, les Instructions du client enfreignent la loi applicable ou si Netradyne détermine qu'elle ne peut plus respecter ses obligations en vertu de la loi applicable. Netradyne aura le droit de suspendre l'exécution de ces Instructions à la clientèle.

3.2.3. Le client doit s'assurer que les instructions du client ne mettent pas Netradyne en violation des lois ou règlements applicables.

4. Personnel de Netradyne

4.1. Netradyne doit s'assurer que ses employés, agents, sous-traitants et autres membres du personnel qui ont accès aux Données personnelles : (a) ne le font que dans la mesure strictement nécessaire pour fournir les Services ; et (b) sont liés par des obligations de confidentialité contraignantes appropriées qui ne sont pas moins protectrices que celles énoncées dans le Contrat.

5. Sécurité

5.1. Netradyne mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées conçues pour protéger les données personnelles des clients. Netradyne doit mettre en œuvre les mesures prévues à l'annexe II. Netradyne peut modifier ces mesures de temps à autre, à condition que les modifications ne réduisent pas sensiblement la sécurité globale des données personnelles du client.

6. Sous-traitement

6.1. Le client donne par la présente une autorisation générale aux sociétés affiliées de Netradyne, ainsi qu'aux autres tiers énumérés à l'annexe 3, à être sous-traitants (chacun étant un « sous-traitant »). Netradyne peut divulguer les Données personnelles des clients à ses sous-traitants dans le but de fournir les Produits et Services, à condition que les sous-traitants de Netradyne s'engagent à respecter des obligations contraignantes en matière de protection des données qui ne sont pas moins onéreuses que celles énoncées dans la présente DPA.

6.2. Le client a le droit de s'opposer à tout changement de sous-traitants tel que notifié par Netradyne de temps à autre dans les trente (30) jours civils suivant cette notification. Si le client ne s'oppose pas à un tel changement dans ce délai, le client sera réputé avoir consenti à ce changement. Lorsqu'un motif important justifiant une telle opposition existe et est fourni par écrit à Netradyne, et à défaut d'une résolution amiable de cette question par les parties (chaque partie agissant de manière raisonnable et de bonne foi), le Client peut résilier le ou les Formulaires de Commande applicables uniquement en ce qui concerne les caractéristiques ou fonctionnalités des Produits et Services touchés.

6.3. Netradyne demeurera responsable des actes ou omissions des sous-traitants dans la même mesure exigée par les lois sur la protection des données que si les actes ou omissions avaient été accomplis par Netradyne et sera autorisée à réexécuter ou à obtenir la reexécution de toute obligation. Le client reconnaît et accepte qu'une telle réexécution réduira toute réclamation que le client a contre Netradyne en ce qui concerne toute responsabilité du sous-traitant.

7. Demandes des sujets de données

7.1. Netradyne informera et assistera le client s'il reçoit des demandes de la part des personnes concernées d'exercer leurs droits (demandes des personnes concernées), à condition que Netradyne puisse raisonnablement identifier, à partir des informations fournies par les personnes concernées, que cette demande concerne le client ou les données personnelles du client. Netradyne ne répondra pas à une telle demande, sauf si la loi applicable l'exige. Netradyne peut exiger du client qu'il supporte les coûts réels engagés à la suite de l'assistance fournie conformément à la présente section en fonction des tarifs de service alors en vigueur de Netradyne.

7.2. Pour éviter tout doute, le client est responsable, en tant que responsable du traitement, de répondre aux demandes de la personne concernée. Les produits et services de Netradyne comprennent des mesures techniques et organisationnelles conçues pour aider le client à répondre aux demandes des personnes visées.

8. Demandes de tiers

Netradyne doit :

a) sauf interdiction légale de le faire, aviser rapidement le Client sans retard indu (et en tout état de cause dans les 72 heures) de toute demande d'informations ou plainte émanant d'une autorité de surveillance, d'un organisme de réglementation, d'un organisme d'application de la loi ou d'une agence d'évaluation du crédit, concernant les données personnelles que Netradyne traite dans le cadre de l'Accord ;

b) si le client le demande, discuter et coopérer à la préparation de toute réponse à cette demande ;

c) ne pas répondre à une telle demande sans le consentement écrit préalable du client, sauf si la loi l'oblige à le faire.

Sauf interdiction légale de le faire, Netradyne doit d'abord aviser le client avant de faire toute notification ou divulgation à un tiers concernant une violation de données personnelles et obtenir le consentement écrit préalable du client.

9. Violation de données personnelles

9.1. Netradyne informera le client sans retard injustifié dès qu'elle aura connaissance d'une violation de données personnelles affectant les données personnelles du client. Pour éviter tout doute, une violation de données personnelles ne comprend pas (i) les actes ou omissions qui ne sont pas directement imputables à Netradyne ou à ses sous-traitants ; ou (ii) tout accès ou traitement des données personnelles du client conforme aux instructions du client. À la demande du client, Netradyne fournira une assistance et une coopération raisonnables pour aider le client à remplir toutes les obligations de notification applicables en vertu des lois sur la protection des données applicables en ce qui concerne la violation de données personnelles. La notification ou la réponse de Netradyne à une violation de données personnelles ne doit pas être interprétée comme une reconnaissance par Netradyne ou, le cas échéant, ses sous-traitants de toute faute ou responsabilité à l'égard de l'exécution des Produits et Services. Netradyne peut exiger du client qu'il supporte les coûts réels engagés à la suite de l'assistance fournie conformément à la présente section en fonction des tarifs de service alors en vigueur de Netradyne.

10. Évaluation d'impact sur la protection des données et consultation préalable

10.1. À la demande du client, Netradyne fournira une assistance raisonnable au client pour toute évaluation d'impact sur la protection des données et toute consultation préalable avec les autorités de surveillance requises par les lois sur la protection des données, dans chaque cas uniquement en relation avec le traitement des données personnelles des clients par Netradyne en vertu du Contrat et en tenant compte de la nature du traitement et des informations dont Netradyne dispose. Netradyne se réserve le droit de facturer des frais raisonnables pour l'aide demandée, dans la mesure permise par la loi applicable.

11. Droits de vérification

11.1. Sur demande écrite et sans frais supplémentaires pour le Client, Netradyne fournira au Client, et/ou à son représentant tiers dûment qualifié (collectivement, le « Vérificateur »), l'accès à la documentation attestant le respect par Netradyne de ses obligations en vertu de la présente DPA sous forme de rapports d'audits ou de certifications pertinents, tels que ISO 27001 ou des questionnaires conformes aux normes industrielles remplis (collectivement, les « Rapports »). Ces rapports constitueront des renseignements confidentiels de Netradyne en vertu des dispositions de l'Accord relatives à la confidentialité. Le client accepte que les rapports soient utilisés pour répondre à toute demande de vérification ou d'inspection par ou pour le compte du client en relation avec les lois sur la protection des données, la présente DPA et/ou l'accord.

11.2. Lorsque le vérificateur est un tiers, il peut être tenu de signer une entente de confidentialité distincte avec Netradyne avant tout examen des rapports ou une vérification de Netradyne. Netradyne peut s'opposer par écrit à ce vérificateur si, de l'avis raisonnable de Netradyne, le vérificateur n'est pas suffisamment qualifié ou est un concurrent de Netradyne. Toute objection de la part de Netradyne obligera le client à nommer un autre vérificateur ou à effectuer lui-même la vérification. Les dépenses engagées par un vérificateur dans le cadre d'un examen de rapports ou d'une vérification sont à la charge exclusive du vérificateur.

11.3. Si un Rapport n'est pas disponible, le Client peut demander, sur préavis écrit de 30 jours et jusqu'à une fois par année civile, d'effectuer un examen à ses propres frais, avec une portée, des dates, une durée, un auditeur et tous les contrôles de sécurité et/ou de confidentialité à convenir d'un commun accord, des politiques et procédures pertinentes de Netradyne régissant le traitement par Netradyne des Données personnelles du Client dans le cadre des Produits, aux fins de vérification de la conformité de Netradyne avec cette DPA. Cet examen sera effectué de manière à ne pas compromettre les obligations de confidentialité de Netradyne envers les autres clients de Netradyne. Les parties reconnaissent et conviennent que les politiques et procédures de Netradyne et toutes les conclusions de l'examen du client constituent des renseignements confidentiels de Netradyne en vertu des dispositions de l'Accord sur la confidentialité.

11.4. Dans la mesure requise par les lois sur la protection des données, le client a le droit, sur notification écrite à Netradyne, de prendre des mesures raisonnables et appropriées pour arrêter et corriger toute utilisation des données personnelles du client qui contrevient au présent Contrat.

12. Transferts de données

12.1. Netradyne peut transférer les Données personnelles des clients vers n'importe quel pays ou territoire, dans la mesure raisonnablement nécessaire pour fournir les Produits et Services, conformément à la présente DPA. Dans la mesure où un tel transfert implique des données personnelles du client qui sont protégées par les lois sur la protection des données applicables à l'Union européenne, au Royaume-Uni et/ou à la Suisse, Netradyne et le client acceptent de respecter et de traiter les données personnelles du client conformément aux mécanismes de transfert spécifiés ci-dessous.

12.1.1. Dans la mesure où Netradyne est destinataire de Données Personnelles du Client — en qualité de processeur de données — protégées par le RGPD de l'UE (« Données de l'UE ») dans un pays situé en dehors de l'Espace économique européen (EEE) qui n'est pas reconnu par les lois sur la protection des données comme offrant un niveau adéquat de protection des données personnelles, le client (en tant qu' « exportateur de données ») et Netradyne (en tant qu' « importateur de données ») acceptent de respecter et de traiter les données de l'UE conformément aux CCS de l'UE, qui sont réputés incorporés dans la présente DPA et en font partie intégrante, comme suit :

  • Le deuxième module s'appliquera ;
  • à l'article 7, la clause facultative d'amarrage ne s'appliquera pas ;
  • à l'article 9, l'option 2 s'appliquera, et le délai pour le préavis des changements de sous-traitants sera tel qu'indiqué à la section 6.2 de la présente LPD ;
  • à l'article 11, le libellé facultatif ne s'appliquera pas ;
  • à l'alinéa 13a), le premier alinéa s'applique ;
  • à la clause 17, l'option I s'appliquera, et les CSC de l'UE seront régis par les lois des Pays-Bas ;
  • à la clause 18 (b), les litiges seront réglés devant les tribunaux des Pays-Bas ;
  • L'annexe I des CSC de l'UE est réputée remplie avec les renseignements énoncés à l'annexe 1 de la présente LPD ;
  • Sous réserve de l'article 5.1 de la présente LPD, l'annexe II des CSC de l'UE est réputée remplie avec les renseignements énoncés à l'annexe 2 de la présente LPD.
  • L'annexe III de la CSC (liste des sous-traitants) est réputée remplie avec les renseignements énoncés à l'annexe 3 de la présente LPD.

12.1.2. Dans la mesure où Netradyne est destinataire des Données Personnelles du Client protégées par la DPA suisse (« Données suisses ») dans un pays situé en dehors de la Suisse qui n'est pas reconnu par les lois sur la protection des données comme offrant un niveau adéquat de protection des Données Personnelles, le Client (en tant qu' « exportateur de données ») et Netradyne (en tant qu' « importateur de données ») acceptent de respecter et de traiter les Données Suisses conformément aux CSC de l'UE, qui seront réputées intégrées dans et font partie de la présente DPA conformément à la section 12.1.1 ci-dessus et aux modifications apportées à la section ci-dessous.

12.1.3. Dans la mesure où Netradyne est destinataire des Données personnelles des clients protégées par les lois britanniques sur la protection des données (« Données du Royaume-Uni ») dans un pays situé à l'extérieur du Royaume-Uni qui n'est pas reconnu par le Royaume-Uni comme offrant un niveau de protection adéquat des Données personnelles, le Client (en tant qu' « exportateur de données ») et Netradyne (en tant qu' « importateur de données ») acceptent de respecter et de traiter les Données du Royaume-Uni conformément aux CSC de l'UE conformément à la section 12.1.1 ci-dessus et les modifications apportées à la section ci-dessous. Dans la mesure où et aussi longtemps que les CSC de l'UE mis en œuvre conformément à la présente DPA ne peuvent pas être utilisés pour transférer légalement des données personnelles des clients conformément aux lois britanniques sur la protection des données à Netradyne, les CSC britanniques seront considérés comme incorporés dans la présente DPA et en feront partie et s'appliqueront aux transferts régis par le RGPD du Royaume-Uni. Aux fins des CSC du Royaume-Uni, les annexes, appendices ou tableaux pertinents sont réputés être remplis avec les informations figurant aux annexes 1 et 2 de la présente DPA.

12.1.4. En ce qui concerne les transferts de données britanniques ou suisses, les CSC de l'UE tels qu'ils sont mis en œuvre en vertu de la section 12.1.1 ci-dessus s'appliqueront avec les modifications suivantes (telles que modifiées de temps à autre conformément aux directives du Bureau du Commissaire à l'information du Royaume-Uni ou des directives du Commissaire fédéral suisse à l'information à la protection des données) :

12.1.4.1. les références au « Règlement (UE) 2016/679 » doivent être interprétées comme des références aux lois britanniques sur la protection des données ou à la loi suisse sur la protection des données (le cas échéant) ;

12.1.4.2. les références à des articles spécifiques du « Règlement (UE) 2016/679" sont remplacées par l'article ou la section équivalente des lois britanniques sur la protection des données ou de la DPA suisse (le cas échéant) ;

12.1.4.3. les références aux termes « UE », « Union », « État membre » et « droit de l'État membre » sont remplacées par des références au « Royaume-Uni » ou à la « Suisse », à la « législation du Royaume-Uni » ou au « droit suisse » (selon le cas) ;

12.1.4.4. le terme « État membre » ne doit pas être interprété de manière à exclure les personnes concernées au Royaume-Uni ou en Suisse de la possibilité de poursuivre leurs droits dans leur lieu de résidence habituelle (c.-à-d. au Royaume-Uni ou en Suisse) ;

12.1.4.5. La clause 13 (a) des CSC de l'UE et la partie C de l'annexe I ne sont pas utilisées, et l' « autorité de contrôle compétente » est le commissaire à l'information du Royaume-Uni ou le commissaire fédéral suisse à l'information à la protection des données (le cas échéant) ;

12.1.4.6. les références à « l'autorité de contrôle compétente » et aux « tribunaux compétents » sont remplacées par des références au « Commissaire à l'information » et aux « tribunaux d'Angleterre et du Pays de Galles » ou au « Commissaire fédéral suisse à l'information à la protection des données » et « tribunaux compétents de Suisse » (le cas échéant) ;

12.1.4.7. à la Clause 17, les CSC de l'UE sont régis par les lois de l'Angleterre et du Pays de Galles ou de la Suisse (le cas échéant) ;

12.1.4.8. en ce qui concerne les transferts auxquels s'appliquent les lois britanniques sur la protection des données, la clause 18 sera modifiée pour indiquer : « Tout litige découlant de ces clauses sera résolu par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut intenter une action en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les Parties conviennent de se soumettre à la compétence de ces tribunaux », et en ce qui concerne les transferts auxquels s'applique la DPA suisse, la clause 18 (b) stipulera que les litiges seront résolus devant les tribunaux suisses compétents.

12.2. Netradyne peut transférer les Données Personnelles du Client à un sous-traitant en dehors de l'Union européenne, de la Suisse ou du Royaume-Uni, à condition que Netradyne mette en œuvre des mesures pour assurer le transfert légal des données. Ces mesures peuvent exiger que Netradyne (a) veille à ce que le tiers exécute les clauses contractuelles types ; ou (b) adopte tout autre mécanisme légal de transfert de données alternatif (tel que reconnu par les lois sur la protection des données).

12.3. Dans la mesure où les mécanismes de transfert utilisés pour le transfert de données personnelles ne peuvent être invoqués pour transférer légalement des données personnelles d'une juridiction à l'autre en vertu des lois applicables en matière de protection des données, les parties se réuniront rapidement pour discuter et convenir d'un mécanisme de transfert alternatif ou d'autres mesures supplémentaires pour permettre le transfert légal de données, dès que raisonnablement possible.

13. Récupération et suppression des données personnelles des clients

13.1. Le client accepte que les politiques de conservation et de suppression des données soient assujetties aux conditions énoncées dans le Contrat. Dès réception de la demande du client de supprimer les données personnelles du client, Netradyne supprimera ou retournera rapidement toutes les données personnelles au client sur demande. À moins que le client n'en avise Netradyne autrement, à la résiliation du Contrat, Netradyne supprimera toutes les Données personnelles dans les 30 jours. Nonobstant ce qui précède, Netradyne peut conserver les données personnelles uniquement dans la mesure requise autrement par la Loi sur la protection des données.

13.2. Dans la mesure permise par les lois applicables sur la protection des données, Netradyne peut dépersonnaliser ou anonymiser les données personnelles des clients pour les conserver et les utiliser ultérieurement, sous réserve de l'engagement public de Netradyne de conserver et d'utiliser les informations sous forme dépersonnalisée ou anonymisée et de ne pas tenter de réidentifier ces informations. Pour éviter tout doute et dans la mesure permise par les lois applicables en matière de protection des données, une telle désidentification ou anonymisation des données personnelles des clients sera réputée remplir les obligations de suppression de données de Netradyne en vertu de l'Accord, de la présente DPA et des lois applicables sur la protection des données.

14. Responsabilité

14.1. Toute réclamation déposée en vertu de la présente DPA (y compris en vertu des clauses contractuelles types) sera assujettie aux conditions générales, y compris, mais sans s'y limiter, aux exclusions et limitations de responsabilité énoncées dans le Contrat.

15. Dispositions supplémentaires propres à la Californie

15.1. Dans la mesure où les données personnelles du client concernent des résidents de la Californie, Netradyne ne conservera, n'utilisera, ne vendra, ne partagera pas ou ne divulguera de toute autre manière les Données personnelles du client (y compris à des fins commerciales ou autres fins en dehors de la relation commerciale directe entre les parties) autrement que dans la mesure permise par la loi ou si nécessaire pour fournir et soutenir les Produits et Services, comme indiqué dans l'Accord.

15.2. Dans la mesure où les données personnelles du client concernent des résidents de la Californie, Netradyne se conformera aux restrictions applicables en vertu de la CPRA en ce qui concerne la combinaison des données personnelles du client que Netradyne reçoit du client ou au nom de celui-ci avec les données personnelles que Netradyne reçoit d'une ou de plusieurs personnes, ou que Netradyne recueille de toute interaction entre elle et une personne concernée.

15.3. Dans la mesure où les données personnelles du client concernent des résidents de la Californie, Netradyne se conformera à la LPRA et, compte tenu du rôle de Netradyne dans le traitement, fournira le niveau de protection des données personnelles pertinentes du client exigé par la LPRA.

16. Changements dans les lois sur la protection des données

16.1. Si une nouvelle loi sur la protection des données entre en vigueur et s'applique à Netradyne, Netradyne et le client prendront toutes les mesures raisonnables requises par cette loi sur la protection des données pour assurer la capacité des parties à respecter ses obligations en vertu de la loi applicable et assurer la conformité de Netradyne à toutes les lois sur la protection des données applicables à Netradyne.

17. Droit applicable et compétence

17.1. Sauf disposition contraire des Clauses contractuelles types ou des lois applicables sur la protection des données, la présente DPA et tout litige ou réclamation découlant de ou en relation avec elle, son objet ou sa formation seront régis et interprétés conformément aux lois de l'État de Californie, sans égard à ses principes de conflit de lois. Pour éviter tout doute, lorsque les clauses contractuelles types s'appliquent, elles sont régies par les lois et soumises à la juridiction qui y est spécifiée.

Annexe 1

Description du traitement ou du transfert

Objet

Détails

Exportateur de données

Le client est l'exportateur de données

Importateur de données

Netradyne, Inc.
9171, promenade Towne Centre, bureau 110
San Diego, Californie 92122

Coordonnées :
Courriel : privacy@netradyne.com
Courriel : dpo@netradyne.com
Courriel : legal@netradyne.com 

Description du transfert ou du traitement

Objet

Détails

Personnes concernées :

Employés ou entrepreneurs indépendants du client, fournisseurs de services du client, y compris ceux qui conduisent des véhicules (les « conducteurs »). Les membres du public ou les passants.

Catégories de données personnelles :

Les données personnelles traitées comprennent :

  • Identificateurs tels que nom, numéro d'utilisateur, adresse, coordonnées, photo, numéro de courriel, numéro de permis de conduire, nom de l'entreprise
  • Télématique et analytique/métadonnées associées telles que la vitesse du véhicule, le freinage brutal, la force G, la date et l'heure des enregistrements, la ceinture de sécurité, la distraction, etc.
  • Données de localisation GPS
  • Enregistrements vidéo et images
  • Score des conducteurs dans GreenZone
  • Données sur les infractions criminelles (dans la mesure où elles sont saisies accidentellement dans des enregistrements vidéo)

Catégories spéciales de données personnelles

Sans objet

Nature, finalité et fréquence du traitement

Netradyne traitera les données personnelles du client aussi longtemps que nécessaire pour fournir les produits et services au client conformément à l'Accord et dans la mesure permise par ailleurs, et pour toute divulgation exigée par la loi.

Durée :

aussi longtemps que nécessaire à la réalisation des objectifs commerciaux ou tel qu'énoncé dans l'entente et sous réserve de l'article 13 de la présente LPD.

Sous-traitants approuvés (s'il y a lieu)

Tel qu'indiqué à l'annexe 3

Mécanisme de transfert approuvé

Clauses contractuelles types : Voir la section 12 de la LDP

Autorité de surveillance compétente :

Déterminé conformément aux lois sur la protection des données.

Annexe 2

Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à assurer la sécurité des données

Netradyne doit élaborer, mettre en œuvre et maintenir des contrôles physiques, administratifs et techniques raisonnables pour protéger la confidentialité, la disponibilité et l'intégrité des Services et des Données personnelles des clients (« Mesures de sécurité »). Les mesures de sécurité doivent, au minimum, être conformes aux lois applicables en matière de protection des données. Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variables pour les intérêts légalement protégés des personnes physiques, Netradyne mettra en œuvre les mesures techniques et organisationnelles nécessaires (« Mesures de sécurité ») pour assurer un niveau de sécurité adapté au risque lors du traitement des données personnelles.

Netradyne maintiendra des mesures de sécurité conformes aux meilleures pratiques reconnues par l'industrie (y compris les normes ISO 27001 et 27002 de l'Organisation internationale de normalisation). Le programme de sécurité de l'information de Netradyne comprendra, à tout le moins, les mesures de protection et de contrôle suivantes :

Objet

Détails

Mesures de pseudonymisation et de cryptage des données personnelles.

Netradyne utilise des techniques cryptographiques pour protéger les données des clients.

  • Les données stockées sur le périphérique Driver.i sont cryptées à l'aide de l'algorithme AES 256.
  • Les données stockées dans le stockage en nuage Amazon Web Service (AWS) S3 sont chiffrées à l'aide du chiffrement SSE AES-256.
  • Les mots de passe sont salés et hachés à l'aide de l'algorithme PBKDF2 avec HMACSHA512.
  • Les données en transit sont sécurisées à l'aide du protocole TLS (Transport Layer Security) version 1.2 et supérieure.

Mesures visant à assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement.

Netradyne met en œuvre des contrôles d'accès stricts pour restreindre l'accès aux renseignements sur les clients. Les contrôles d'accès comprennent l'utilisation contrôlée des privilèges administratifs, la mise en œuvre de politiques de gestion des comptes et des mots de passe et l'authentification multifacteur (AMF) pour les serveurs et les systèmes de production.

Netradyne a mis en œuvre des contrôles de sécurité réseau, une évaluation des vulnérabilités, une gestion des correctifs et des procédures de surveillance planifiées pour identifier, évaluer, atténuer et protéger contre les menaces à la sécurité. Les correctifs de gravité critique doivent être examinés, évalués et déployés immédiatement ou dans les cinq jours. Les correctifs de gravité élevée sont également examinés et déployés immédiatement ou dans les 30 jours.

Les correctifs de gravité moyenne et faible sont examinés dans le cadre du processus de vérification interne et généralement déployés dans les 3 à 12 mois, selon la pertinence et la gravité.

L'inspection approfondie des paquets de la fonction de pare-feu Netradyne permet de bloquer le trafic malveillant. Ils sont surveillés 24 heures sur 24, 7 jours sur 7 pour vérifier le rendement, la sécurité et le bon fonctionnement.

Séparation des données. Netradyne a mis en place des mesures pour isoler logiquement les données des clients des données internes ou tierces de Netradyne.

Sécurité physique. Netradyne a mis en place des contrôles de sécurité physique (cartes d'accès, vidéosurveillance et gardes de sécurité) pour surveiller et contrôler l'accès physique à ses installations.

Netradyne effectue des tests de performance, une surveillance régulière de l'état des appareils et des sauvegardes de données pour assurer la disponibilité et la résilience de ses plateformes et services.

Mesures visant à assurer la capacité de rétablir la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique.

Netradyne stocke toutes les données sur le cloud AWS (Elastic Block Storage - EBS) configuré pour permettre la sauvegarde régulière des données ou la restauration des données. Netradyne maintient une équipe d'intervention en cas d'incident de sécurité (SIRT) pour coordonner les efforts nécessaires pour contenir les incidents et permettre la restauration des données.

Processus permettant de tester, d'évaluer et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement.

Netradyne effectue une vérification interne de ses contrôles de sécurité et de protection de la vie privée au moins une fois par année. Des analyses de vulnérabilité et des tests de pénétration périodiques sont également effectués par des examinateurs externes.

Mesures d'identification et d'autorisation des utilisateurs.

Netradyne attribue un identifiant utilisateur à tous les utilisateurs. Les contrôles d'accès comprennent l'utilisation contrôlée des privilèges administratifs, la mise en œuvre de politiques de gestion des comptes et des mots de passe et l'authentification multifacteur (AMF) pour les serveurs et les systèmes de production.

Les mots de passe doivent répondre aux exigences de complexité des mots de passe décrites dans la Politique de mot de passe de Netradyne.

Les capacités de compte privilégié sont accordées à un nombre limité de membres du personnel de Netradyne qui ont besoin de ce niveau d'accès pour s'acquitter de leur fonction.

Mesures visant à assurer la sécurité physique des lieux où les données personnelles sont traitées.

Les centres de données de production et de développement de Netradyne sont protégés contre les menaces environnementales et à la sécurité au moyen de contrôles de sécurité techniques, administratifs et physiques. Pour la haute disponibilité, les alimentations sans coupure redondantes, les systèmes de détection et de suppression des incendies et de fumée, la ventilation redondante et la climatisation, et plus encore, sont inclus. Tous les systèmes font l'objet d'un entretien préventif fréquent et régulier.

Les installations corporatives de Netradyne sont surveillées par vidéosurveillance. Une équipe d'agents de sécurité est déployée à l'entrée et dans tout l'établissement. L'accès à l'immeuble est contrôlé par des cartes de sécurité.

Mesures visant à assurer la consignation des événements.

Les systèmes de Netradyne sont gérés et surveillés de manière centralisée au moyen de mécanismes d'enregistrement normalisés de l'industrie.

Les applications Netradyne sont configurées pour consigner les détails des sessions utilisateur et les actions effectuées par les utilisateurs. Il enregistre également les événements d'administration tels que les opérations avec les comptes d'utilisateurs. Les événements d'administration, tels que la création ou la désactivation d'un compte d'utilisateur, le verrouillage ou l'expiration d'un compte, les changements de mot de passe, l'attribution ou la suppression d'un rôle d'utilisateur, l'ajout ou la suppression d'un utilisateur d'un groupe, sont également consignés.

Mesures visant à assurer la configuration du système, y compris la configuration par défaut.

Netradyne a établi une base de référence normalisée pour la configuration des postes de travail afin d'atteindre les objectifs de sécurité. Les systèmes de serveurs de Netradyne sont configurés pour assurer la performance, la stabilité, l'évolutivité et la sécurité. Tous les systèmes de serveurs, y compris les serveurs Web, d'applications et de bases de données, sont conçus selon les normes de configuration. Tous les services SQL Server sont renforcés par la désactivation de tous les services qui ne sont pas utilisés par l'application Netradyne. Le processus de durcissement comprend les objectifs suivants :

  • Activer uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.
  • Mettre en œuvre des fonctions de sécurité supplémentaires pour tous les services, protocoles ou démons requis qui sont considérés comme non sécurisés.
  • Configuration des paramètres de sécurité du système pour éviter toute utilisation abusive.

Suppression de toutes les fonctionnalités inutiles, comme les scripts, les pilotes, les fonctions, les sous-systèmes, les systèmes de fichiers et les serveurs Web inutiles.

Mesures de gouvernance et de gestion internes de la TI et de la sécurité des TI.

Netradyne dispose d'une équipe InfoSec dédiée et a mis en place des politiques et des procédures de sécurité des TI. Cela comprend un processus officiel de gestion du changement et une politique d'utilisation acceptable.

Mesures de certification et d'assurance des processus et des produits.

Netradyne engage des auditeurs de sécurité indépendants pour l'évaluation périodique de ses contrôles de sécurité et de confidentialité dans le cadre de ses certifications ISO 27001 et Privacy by Design.

ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025

Confidentialité dès la conception - https://msecb.com/certifications-granted

Mesures visant à assurer la minimisation des données.

Différents modes de confidentialité et configurations de confidentialité peuvent être activés pour réduire la quantité de données traitées par Netradyne.

La plupart des séquences vidéo enregistrées sur le pilote .i restent sur le périphérique et sont réécrites une fois que la mémoire de l'appareil est pleine.

Une séquence vidéo est téléchargée dans le nuage Netradyne uniquement si un événement est détecté. En moyenne, moins de 1 % des séquences sont téléchargées dans le nuage.

Selon le type d'événement, seules les séquences d'événements pertinentes (qu'elles soient externes ou en cabine) sont téléchargées dans le nuage.

Pour tous les événements, l'appareil télécharge les données d'événement dans le nuage.

Mesures visant à assurer une conservation limitée des données.

La conservation des données par défaut est un équilibre entre s'assurer que les données sont conservées pendant une période suffisante pour être utiles à l'exportateur de données et veiller à ce qu'elles ne soient pas conservées au-delà de cette période utile. Les exigences relatives à la conservation et à la suppression des données sont énoncées dans l'Accord ou dans l'APD.

Mesures visant à assurer la responsabilisation.

Netradyne conserve des preuves des mesures prises pour se conformer au RGPD de l'UE. Netradyne met en place des mesures techniques et organisationnelles appropriées, telles que : (i) l'adoption et la mise en œuvre de politiques de protection des données (lorsque proportionnées), (ii) l'exécution de contrats écrits avec des fournisseurs de services, (iii) la conservation de la documentation des activités de traitement, (iv) la mise en œuvre de mesures de sécurité appropriées, (v) l'enregistrement et, le cas échéant, le signalement des violations de données personnelles, (vi) la réalisation d'évaluations d'impact sur la protection des données pour les utilisations de données personnelles susceptibles d'entraîner un risque élevé aux intérêts des particuliers et (vii) mise en œuvre de l'exploitation forestière et des contrôles de surveillance.

Mesures visant à permettre la portabilité des données et à assurer l'effacement.

Netradyne permet aux personnes concernées d'exercer leurs droits en communiquant avec les points de contact désignés. C'est au client qu'incombe au premier chef la responsabilité de répondre aux demandes des personnes concernées. Netradyne aidera le client à répondre aux demandes des personnes concernées.

Annexe 3

Liste des sous-traitants approuvés

Le contrôleur a autorisé l'utilisation des sous-traitants suivants :

Sous-processeur

Objet du traitement

Lieu

Netradyne Technology India Private Limited (« Netradyne India »)

Ingénierie et soutien

Inde

Amazon Web Services (AWS)

Hébergement de données

États-Unis

Elancer IT Solutions Private Limited

Services d'étiquetage des données

Inde

Gainsight, Inc.

Plateforme de réussite client

États-Unis

Mixpanel, Inc.

Activité et expérience de l'utilisateur (analyse de données)

États-Unis

Technologies VVDN

Remise à neuf de l'appareil

Inde