Data processing addendum
Sommaire
Dernière mise à jour : 16/07/2025
Le présent addendum sur le traitement des données (« DPA ») complète et est intégré à tout accord entre Netradyne et une personne ou une entité (le « Client ») régissant l'utilisation par le Client des Produits et Services de Netradyne, que cette utilisation soit (i) en vertu d'un accord direct avec Netradyne, (ii) par l'intermédiaire d'un revendeur, ou (iii) en vertu de toute autre conditions de service ou accord autorisant une telle utilisation (collectivement, le « Entente »). Lorsque le client accède aux Produits et Services par l'intermédiaire d'un revendeur, l'acceptation par le client de cette DPA peut se faire par des moyens électroniques, l'activation du produit ou l'utilisation continue des Produits et Services. Le présent DPA est un accord entre le Client (ainsi que toutes ses sociétés affiliées utilisant les Produits et Services en vertu de l'Accord) et Netradyne (chacune étant une « Partie » et collectivement « Parties »).
1. Définitions
Dans le présent addenda, les termes suivants auront le sens indiqué ci-dessous :
1.1. Les « données personnelles du client » désignent toutes les données personnelles soumises aux lois sur la protection des données contenues dans les données du client que le client fournit ou a mises à la disposition de Netradyne et qui sont traitées par Netradyne pour le compte du client conformément à l'Accord.
1.2. « Lois sur la protection des données » désigne, le cas échéant, (i) le Règlement général de l'UE sur la protection des données (UE 2016/679) (le « RGPD de l'UE »), son incorporation dans les lois de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de la loi britannique de 2018 sur la protection des données (le « RGPD ») ; (ii) la loi fédérale suisse sur la protection des données (« FADP ») ; (iii) United Les lois fédérales et/ou étatiques sur la protection des données ou la vie privée des États, y compris, mais sans s'y limiter, la California Consumer Privacy Act de 2018 telle que modifiée par la California Privacy Rights Act of 2020 (ainsi que son les règlements d'application, le « CPRA ») ; (iv) la loi belge sur la protection des données du 30 juillet 2018 (la « BDPA ») et/ou (v) toute autre législation nationale applicable dans l'Espace économique européen ou au Royaume-Uni qui complète le RGPD de l'UE ou du RGPD britannique (le cas échéant), et/ou les lois applicables en matière de protection des données dans tout pays ; dans chaque cas, tel qu'il peut être modifié, remplacé ou remplacé de temps à autre temps.
1.3. « Responsable du traitement » désigne l'entité qui détermine les moyens et les fins du traitement des données personnelles.
1.4. « Personne concernée » désigne la personne qui fait l'objet de données personnelles.
1.5. « CSC de l'UE » désigne les clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil.
1.6. « Données personnelles » signifie « données personnelles », « informations personnelles » ou « informations personnellement identifiables » ou tout autre terme analogue en vertu des lois sur la protection des données, tels que ces termes sont définis dans les Lois sur la protection des données.
1.7. « Violation de données personnelles » désigne toute atteinte à la sécurité que les lois sur la protection des données exigeraient (i) que Netradyne signale au client ou (ii) que le client signale à une autorité de surveillance ou à des personnes concernées, ou qu'il conserve un registre, qui implique des données personnelles visées par le présent addendum.
1.8. « Traitement » désigne toute opération ou ensemble d'opérations qui est effectué sur des données personnelles ou sur des ensembles de données personnelles.
1.9. « Processeur » désigne une entité qui traite des données personnelles pour le compte d'un responsable du traitement.
1.10. « Autorité de surveillance » désigne une autorité gouvernementale ou réglementaire responsable de l'administration, de la surveillance de la conformité aux lois sur la protection des données et/ou de l'application des lois sur la protection des données.
1.11. Les termes en majuscules qui ne sont pas autrement définis dans les présentes auront le sens qui leur est donné dans l'entente.
2. Application de la présente DPA
La présente DPA s'applique uniquement dans la mesure où Netradyne traite les données personnelles des clients pour le compte du client en tant que sous-traitant (ou sous-traitant) et, en ce qui concerne la CPRA, en tant que « fournisseur de services » ou « entrepreneur » dans le cadre de la fourniture des produits et services en vertu de l'accord.
En cas de conflit entre les modalités de l'entente et la présente LPD, les modalités de la présente LPD prévaudront. En cas de conflit entre les conditions de la présente DPA et les CCS ou l'addendum du Royaume-Uni, les CCS ou l'addenda du Royaume-Uni (le cas échéant) prévaudront dans la mesure d'un tel conflit. Sauf modification expresse des présentes, les modalités de l'entente demeurent pleinement en vigueur.
3. Rôles et portée du traitement
3.1. Rôle des parties
Entre les parties, Netradyne agit en tant que sous-traitant (ou sous-traitant, fournisseur de services ou entrepreneur) des données personnelles du client.
3.2. Instructions pour le client
3.2.1. Netradyne traitera les données personnelles du client de la manière spécifiquement énoncée dans l'Accord, la présente DPA et/ou les instructions documentées du client, ou comme l'exige autrement la loi applicable à laquelle Netradyne est soumis (les « Instructions client »). Si Netradyne est tenu par la loi applicable de traiter les données personnelles du client autrement que conformément aux instructions du client, Netradyne informera le client de cette exigence légale avant un tel traitement, dans la mesure permise par la loi applicable, sauf si cette loi interdit de telles informations pour des motifs importants d'intérêt public.
3.2.2. Netradyne avisera rapidement le client si, de l'avis de Netradyne, les Instructions du client enfreignent la loi applicable ou si Netradyne détermine qu'elle ne peut plus respecter ses obligations en vertu de la loi applicable. Netradyne aura le droit de suspendre l'exécution de ces Instructions à la clientèle.
3.2.3. Le client doit s'assurer que les instructions du client ne mettent pas Netradyne en violation des lois ou règlements applicables.
4. Personnel de Netradyne
4.1. Netradyne doit s'assurer que ses employés, agents, sous-traitants et autres membres du personnel qui ont accès aux Données personnelles : (a) ne le font que dans la mesure strictement nécessaire pour fournir les Services ; et (b) sont liés par des obligations de confidentialité contraignantes appropriées qui ne sont pas moins protectrices que celles énoncées dans le Contrat.
5. Sécurité
5.1. Netradyne mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées conçues pour protéger les données personnelles des clients. Netradyne doit mettre en œuvre les mesures prévues à l'annexe II. Netradyne peut modifier ces mesures de temps à autre, à condition que les modifications ne réduisent pas sensiblement la sécurité globale des données personnelles du client.
6. Sous-traitance
6.1. Le client donne par la présente une autorisation générale aux sociétés affiliées de Netradyne, ainsi qu'aux autres tiers énumérés à l'annexe 3, à être sous-traitants (chacun étant un « sous-traitant »). Netradyne peut divulguer les Données personnelles des clients à ses sous-traitants dans le but de fournir les Produits et Services, à condition que les sous-traitants de Netradyne s'engagent à respecter des obligations contraignantes en matière de protection des données qui ne sont pas moins onéreuses que celles énoncées dans la présente DPA.
6.2. Le client a le droit de s'opposer à tout changement de sous-traitants tel que notifié par Netradyne de temps à autre dans les trente (30) jours civils suivant cette notification. Si le client ne s'oppose pas à un tel changement dans ce délai, le client sera réputé avoir consenti à ce changement. Lorsqu'un motif important justifiant une telle opposition existe et est fourni par écrit à Netradyne, et à défaut d'une résolution amiable de cette question par les parties (chaque partie agissant de manière raisonnable et de bonne foi), le Client peut résilier le ou les Formulaires de Commande applicables uniquement en ce qui concerne les caractéristiques ou fonctionnalités des Produits et Services touchés.
6.3. Netradyne demeurera responsable des actes ou omissions des sous-traitants dans la même mesure exigée par les lois sur la protection des données que si les actes ou omissions avaient été accomplis par Netradyne et sera autorisée à réexécuter ou à obtenir la reexécution de toute obligation. Le client reconnaît et accepte qu'une telle réexécution réduira toute réclamation que le client a contre Netradyne en ce qui concerne toute responsabilité du sous-traitant.
7. Demandes des sujets de données
7.1. Netradyne informera et assistera le client s'il reçoit des demandes de la part des personnes concernées d'exercer leurs droits (demandes des personnes concernées), à condition que Netradyne puisse raisonnablement identifier, à partir des informations fournies par les personnes concernées, que cette demande concerne le client ou les données personnelles du client. Netradyne ne répondra pas à une telle demande, sauf si la loi applicable l'exige. Netradyne peut exiger du client qu'il supporte les coûts réels engagés à la suite de l'assistance fournie conformément à la présente section en fonction des tarifs de service alors en vigueur de Netradyne.
7.2. Pour éviter tout doute, le client est responsable, en tant que responsable du traitement, de répondre aux demandes de la personne concernée. Les produits et services de Netradyne comprennent des mesures techniques et organisationnelles conçues pour aider le client à répondre aux demandes des personnes visées.
8. Demandes de tiers
Netradyne doit :
a) sauf interdiction légale de le faire, aviser rapidement le Client sans retard indu (et en tout état de cause dans les 72 heures) de toute demande d'informations ou plainte émanant d'une autorité de surveillance, d'un organisme de réglementation, d'un organisme d'application de la loi ou d'une agence d'évaluation du crédit, concernant les données personnelles que Netradyne traite dans le cadre de l'Accord ;
b) si le client le demande, discuter et coopérer à la préparation de toute réponse à cette demande ;
c) ne pas répondre à une telle demande sans le consentement écrit préalable du client, sauf si la loi l'oblige à le faire.
Sauf interdiction légale de le faire, Netradyne doit d'abord aviser le client avant de faire toute notification ou divulgation à un tiers concernant une violation de données personnelles et obtenir le consentement écrit préalable du client.
9. Violation de données personnelles
9.1. Netradyne informera le client sans retard injustifié dès qu'elle aura connaissance d'une violation de données personnelles affectant les données personnelles du client. Pour éviter tout doute, une violation de données personnelles ne comprend pas (i) les actes ou omissions qui ne sont pas directement imputables à Netradyne ou à ses sous-traitants ; ou (ii) tout accès ou traitement des données personnelles du client conforme aux instructions du client. À la demande du client, Netradyne fournira une assistance et une coopération raisonnables pour aider le client à remplir toutes les obligations de notification applicables en vertu des lois sur la protection des données applicables en ce qui concerne la violation de données personnelles. La notification ou la réponse de Netradyne à une violation de données personnelles ne doit pas être interprétée comme une reconnaissance par Netradyne ou, le cas échéant, ses sous-traitants de toute faute ou responsabilité à l'égard de l'exécution des Produits et Services. Netradyne peut exiger du client qu'il supporte les coûts réels engagés à la suite de l'assistance fournie conformément à la présente section en fonction des tarifs de service alors en vigueur de Netradyne.
10. Évaluation d'impact sur la protection des données et consultation préalable
10.1. À la demande du client, Netradyne fournira une assistance raisonnable au client pour toute évaluation d'impact sur la protection des données et toute consultation préalable avec les autorités de surveillance requises par les lois sur la protection des données, dans chaque cas uniquement en relation avec le traitement des données personnelles des clients par Netradyne en vertu du Contrat et en tenant compte de la nature du traitement et des informations dont Netradyne dispose. Netradyne se réserve le droit de facturer des frais raisonnables pour l'aide demandée, dans la mesure permise par la loi applicable.
11. Droits de vérification
11.1. Sur demande écrite et sans frais supplémentaires pour le Client, Netradyne fournira au Client, et/ou à son représentant tiers dûment qualifié (collectivement, le « Vérificateur »), l'accès à la documentation attestant le respect par Netradyne de ses obligations en vertu de la présente DPA sous forme de rapports d'audits ou de certifications pertinents, tels que ISO 27001 ou des questionnaires conformes aux normes industrielles remplis (collectivement, les « Rapports »). Ces rapports constitueront des renseignements confidentiels de Netradyne en vertu des dispositions de l'Accord relatives à la confidentialité. Le client accepte que les rapports soient utilisés pour répondre à toute demande de vérification ou d'inspection par ou pour le compte du client en relation avec les lois sur la protection des données, la présente DPA et/ou l'accord.
11.2. Lorsque le vérificateur est un tiers, il peut être tenu de signer une entente de confidentialité distincte avec Netradyne avant tout examen des rapports ou une vérification de Netradyne. Netradyne peut s'opposer par écrit à ce vérificateur si, de l'avis raisonnable de Netradyne, le vérificateur n'est pas suffisamment qualifié ou est un concurrent de Netradyne. Toute objection de la part de Netradyne obligera le client à nommer un autre vérificateur ou à effectuer lui-même la vérification. Les dépenses engagées par un vérificateur dans le cadre d'un examen de rapports ou d'une vérification sont à la charge exclusive du vérificateur.
11.3. Si un Rapport n'est pas disponible, le Client peut demander, sur préavis écrit de 30 jours et jusqu'à une fois par année civile, d'effectuer un examen à ses propres frais, avec une portée, des dates, une durée, un auditeur et tous les contrôles de sécurité et/ou de confidentialité à convenir d'un commun accord, des politiques et procédures pertinentes de Netradyne régissant le traitement par Netradyne des Données personnelles du Client dans le cadre des Produits, aux fins de vérification de la conformité de Netradyne avec cette DPA. Cet examen sera effectué de manière à ne pas compromettre les obligations de confidentialité de Netradyne envers les autres clients de Netradyne. Les parties reconnaissent et conviennent que les politiques et procédures de Netradyne et toutes les conclusions de l'examen du client constituent des renseignements confidentiels de Netradyne en vertu des dispositions de l'Accord sur la confidentialité.
11.4. Dans la mesure requise par les lois sur la protection des données, le client a le droit, sur notification écrite à Netradyne, de prendre des mesures raisonnables et appropriées pour arrêter et corriger toute utilisation des données personnelles du client qui contrevient au présent Contrat.
12. Transferts de données
12.1. Netradyne peut transférer les Données personnelles des clients vers n'importe quel pays ou territoire, dans la mesure raisonnablement nécessaire pour fournir les Produits et Services, conformément à la présente DPA. Dans la mesure où un tel transfert implique des données personnelles du client qui sont protégées par les lois sur la protection des données applicables à l'Union européenne, au Royaume-Uni et/ou à la Suisse, Netradyne et le client acceptent de respecter et de traiter les données personnelles du client conformément aux mécanismes de transfert spécifiés ci-dessous.
12.1.1. Dans la mesure où Netradyne est destinataire de Données Personnelles du Client — en qualité de processeur de données — protégées par le RGPD de l'UE (« Données de l'UE ») dans un pays situé en dehors de l'Espace économique européen (EEE) qui n'est pas reconnu par les lois sur la protection des données comme offrant un niveau adéquat de protection des données personnelles, le client (en tant qu' « exportateur de données ») et Netradyne (en tant qu' « importateur de données ») acceptent de respecter et de traiter les données de l'UE conformément aux CCS de l'UE, qui sont réputés incorporés dans la présente DPA et en font partie intégrante, comme suit :
- Le deuxième module s'appliquera ;
- à l'article 7, la clause facultative d'amarrage ne s'appliquera pas ;
- à l'article 9, l'option 2 s'appliquera, et le délai pour le préavis des changements de sous-traitants sera tel qu'indiqué à la section 6.2 de la présente LPD ;
- à l'article 11, le libellé facultatif ne s'appliquera pas ;
- à l'alinéa 13a), le premier alinéa s'applique ;
- à la clause 17, l'option I s'appliquera, et les CSC de l'UE seront régis par les lois des Pays-Bas ;
- à la clause 18 (b), les litiges seront réglés devant les tribunaux des Pays-Bas ;
- L'annexe I des CSC de l'UE est réputée remplie avec les renseignements énoncés à l'annexe 1 de la présente LPD ;
- Sous réserve de l'article 5.1 de la présente LPD, l'annexe II des CSC de l'UE est réputée remplie avec les renseignements énoncés à l'annexe 2 de la présente LPD.
- L'annexe III de la CSC (liste des sous-traitants) est réputée remplie avec les renseignements énoncés à l'annexe 3 de la présente LPD.
12.1.2. Dans la mesure où Netradyne est destinataire des Données Personnelles du Client protégées par la DPA suisse (« Données suisses ») dans un pays situé en dehors de la Suisse qui n'est pas reconnu par les lois sur la protection des données comme offrant un niveau adéquat de protection des Données Personnelles, le Client (en tant qu' « exportateur de données ») et Netradyne (en tant qu' « importateur de données ») acceptent de respecter et de traiter les Données Suisses conformément aux CSC de l'UE, qui seront réputées intégrées dans et font partie de la présente DPA conformément à la section 12.1.1 ci-dessus et aux modifications apportées à la section ci-dessous.
12.1.3. Dans la mesure où Netradyne est destinataire des Données personnelles des clients protégées par les lois britanniques sur la protection des données (« Données du Royaume-Uni ») dans un pays situé à l'extérieur du Royaume-Uni qui n'est pas reconnu par le Royaume-Uni comme offrant un niveau de protection adéquat des Données personnelles, le Client (en tant qu' « exportateur de données ») et Netradyne (en tant qu' « importateur de données ») acceptent de respecter et de traiter les Données du Royaume-Uni conformément aux CSC de l'UE conformément à la section 12.1.1 ci-dessus et les modifications apportées à la section ci-dessous. Dans la mesure où et aussi longtemps que les CSC de l'UE mis en œuvre conformément à la présente DPA ne peuvent pas être utilisés pour transférer légalement des données personnelles des clients conformément aux lois britanniques sur la protection des données à Netradyne, les CSC britanniques seront considérés comme incorporés dans la présente DPA et en feront partie et s'appliqueront aux transferts régis par le RGPD du Royaume-Uni. Aux fins des CSC du Royaume-Uni, les annexes, appendices ou tableaux pertinents sont réputés être remplis avec les informations figurant aux annexes 1 et 2 de la présente DPA.
12.1.4. En ce qui concerne les transferts de données britanniques ou suisses, les CSC de l'UE tels qu'ils sont mis en œuvre en vertu de la section 12.1.1 ci-dessus s'appliqueront avec les modifications suivantes (telles que modifiées de temps à autre conformément aux directives du Bureau du Commissaire à l'information du Royaume-Uni ou des directives du Commissaire fédéral suisse à l'information à la protection des données) :
12.1.4.1. les références au « Règlement (UE) 2016/679 » doivent être interprétées comme des références aux lois britanniques sur la protection des données ou à la loi suisse sur la protection des données (le cas échéant) ;
12.1.4.2. les références à des articles spécifiques du « Règlement (UE) 2016/679" sont remplacées par l'article ou la section équivalente des lois britanniques sur la protection des données ou de la DPA suisse (le cas échéant) ;
12.1.4.3. les références aux termes « UE », « Union », « État membre » et « droit de l'État membre » sont remplacées par des références au « Royaume-Uni » ou à la « Suisse », à la « législation du Royaume-Uni » ou au « droit suisse » (selon le cas) ;
12.1.4.4. le terme « État membre » ne doit pas être interprété de manière à exclure les personnes concernées au Royaume-Uni ou en Suisse de la possibilité de poursuivre leurs droits dans leur lieu de résidence habituelle (c.-à-d. au Royaume-Uni ou en Suisse) ;
12.1.4.5. La clause 13 (a) des CSC de l'UE et la partie C de l'annexe I ne sont pas utilisées, et l' « autorité de contrôle compétente » est le commissaire à l'information du Royaume-Uni ou le commissaire fédéral suisse à l'information à la protection des données (le cas échéant) ;
12.1.4.6. les références à « l'autorité de contrôle compétente » et aux « tribunaux compétents » sont remplacées par des références au « Commissaire à l'information » et aux « tribunaux d'Angleterre et du Pays de Galles » ou au « Commissaire fédéral suisse à l'information à la protection des données » et « tribunaux compétents de Suisse » (le cas échéant) ;
12.1.4.7. à la Clause 17, les CSC de l'UE sont régis par les lois de l'Angleterre et du Pays de Galles ou de la Suisse (le cas échéant) ;
12.1.4.8. en ce qui concerne les transferts auxquels s'appliquent les lois britanniques sur la protection des données, la clause 18 sera modifiée pour indiquer : « Tout litige découlant de ces clauses sera résolu par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut intenter une action en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les Parties conviennent de se soumettre à la compétence de ces tribunaux », et en ce qui concerne les transferts auxquels s'applique la DPA suisse, la clause 18 (b) stipulera que les litiges seront résolus devant les tribunaux suisses compétents.
12.2. Netradyne peut transférer les Données Personnelles du Client à un sous-traitant en dehors de l'Union européenne, de la Suisse ou du Royaume-Uni, à condition que Netradyne mette en œuvre des mesures pour assurer le transfert légal des données. Ces mesures peuvent exiger que Netradyne (a) veille à ce que le tiers exécute les clauses contractuelles types ; ou (b) adopte tout autre mécanisme légal de transfert de données alternatif (tel que reconnu par les lois sur la protection des données).
12.3. Dans la mesure où les mécanismes de transfert utilisés pour le transfert de données personnelles ne peuvent être invoqués pour transférer légalement des données personnelles d'une juridiction à l'autre en vertu des lois applicables en matière de protection des données, les parties se réuniront rapidement pour discuter et convenir d'un mécanisme de transfert alternatif ou d'autres mesures supplémentaires pour permettre le transfert légal de données, dès que raisonnablement possible.
13. Récupération et suppression des données personnelles des clients
13.1. Le client accepte que les politiques de conservation et de suppression des données soient assujetties aux conditions énoncées dans le Contrat. Dès réception de la demande du client de supprimer les données personnelles du client, Netradyne supprimera ou retournera rapidement toutes les données personnelles au client sur demande. À moins que le client n'en avise Netradyne autrement, à la résiliation du Contrat, Netradyne supprimera toutes les Données personnelles dans les 30 jours. Nonobstant ce qui précède, Netradyne peut conserver les données personnelles uniquement dans la mesure requise autrement par la Loi sur la protection des données.
13.2. Dans la mesure permise par les lois applicables sur la protection des données, Netradyne peut dépersonnaliser ou anonymiser les données personnelles des clients pour les conserver et les utiliser ultérieurement, sous réserve de l'engagement public de Netradyne de conserver et d'utiliser les informations sous forme dépersonnalisée ou anonymisée et de ne pas tenter de réidentifier ces informations. Pour éviter tout doute et dans la mesure permise par les lois applicables en matière de protection des données, une telle désidentification ou anonymisation des données personnelles des clients sera réputée remplir les obligations de suppression de données de Netradyne en vertu de l'Accord, de la présente DPA et des lois applicables sur la protection des données.
14. Responsabilité
14.1. Toute réclamation déposée en vertu de la présente DPA (y compris en vertu des clauses contractuelles types) sera assujettie aux conditions générales, y compris, mais sans s'y limiter, aux exclusions et limitations de responsabilité énoncées dans le Contrat.
15. Dispositions supplémentaires propres à la Californie
15.1. Dans la mesure où les données personnelles du client concernent des résidents de la Californie, Netradyne ne conservera, n'utilisera, ne vendra, ne partagera pas ou ne divulguera de toute autre manière les Données personnelles du client (y compris à des fins commerciales ou autres fins en dehors de la relation commerciale directe entre les parties) autrement que dans la mesure permise par la loi ou si nécessaire pour fournir et soutenir les Produits et Services, comme indiqué dans l'Accord.
15.2. Dans la mesure où les données personnelles du client concernent des résidents de la Californie, Netradyne se conformera aux restrictions applicables en vertu de la CPRA en ce qui concerne la combinaison des données personnelles du client que Netradyne reçoit du client ou au nom de celui-ci avec les données personnelles que Netradyne reçoit d'une ou de plusieurs personnes, ou que Netradyne recueille de toute interaction entre elle et une personne concernée.
15.3. Dans la mesure où les données personnelles du client concernent des résidents de la Californie, Netradyne se conformera à la LPRA et, compte tenu du rôle de Netradyne dans le traitement, fournira le niveau de protection des données personnelles pertinentes du client exigé par la LPRA.
16. Changements dans les lois sur la protection des données
16.1. Si une nouvelle loi sur la protection des données entre en vigueur et s'applique à Netradyne, Netradyne et le client prendront toutes les mesures raisonnables requises par cette loi sur la protection des données pour assurer la capacité des parties à respecter ses obligations en vertu de la loi applicable et assurer la conformité de Netradyne à toutes les lois sur la protection des données applicables à Netradyne.
17. Droit applicable et compétence
17.1. Sauf disposition contraire des Clauses contractuelles types ou des lois applicables sur la protection des données, la présente DPA et tout litige ou réclamation découlant de ou en relation avec elle, son objet ou sa formation seront régis et interprétés conformément aux lois de l'État de Californie, sans égard à ses principes de conflit de lois. Pour éviter tout doute, lorsque les clauses contractuelles types s'appliquent, elles sont régies par les lois et soumises à la juridiction qui y est spécifiée.
Addendum sur le traitement des données
Description of the processing / transfer
Item | Details |
Data Exporter | Customer is the Data Exporter |
Data Importer | Netradyne, Inc. Contact details: |
Description of the transfer / processing
Item | Details |
Data Subjects: | Employees or independent contractors of Customer, service providers of Customer, including those driving vehicles (“Drivers”). Members of the public or passers-by. |
Categories of Personal Data: | Personal data processed includes:
|
Special Categories of Personal Data: | Not applicable |
Nature, purpose and frequency of Processing: | Netradyne will Process Customer Personal Data for as long as is necessary to provide the Products and Services to the Customer in accordance with, and as otherwise permitted by, the Agreement, and for any disclosures compelled by law. |
Duration: | As long as necessary for fulfilling the business purposes or as set forth in the Agreement and subject to section 13 of this DPA. |
Approved Sub-Processors (if any): | As listed in Schedule 3 |
Approved Transfer Mechanism: | Standard Contractual Clauses: See Section 12 of the DPA |
Competent Supervisory Authority: | Determined in accordance with Data Protection Laws. |
Schedule 2
Technical and Organisational Measures Including Technical and Organisational Measures to Ensure the Security of the Data
Netradyne shall develop, implement, and maintain reasonable physical, administrative, and technical controls to protect the confidentiality, availability, and integrity of the Services and Customer Personal Data (“Security Measures”). The Security Measures must, at a minimum, comply with Applicable Data Protection Laws. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the Processing as well as the risk of varying likelihood and severity for the legally protected interests of natural persons, Netradyne shall implement the necessary technical and organizational measures (“Safety Measures”) to ensure a level of security appropriate to the risk when Processing Personal Data.
Netradyne will maintain Safety Measures consistent with industry-accepted best practices (including the International Organization for Standardization’s standards ISO 27001 and 27002). Netradyne’s information security program will include, at a minimum, the following safeguards and controls:
Item | Details |
Measures of pseudonymization and encryption of personal data. | Netradyne employs cryptographic techniques to protect customer data.
|
Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services. | Netradyne implements strict access controls to restrict access to Customer information. Access controls include controlled use of administrative privileges, implementation of account and password management policies and multi-factor authentication (MFA) for servers and production systems. Netradyne has implemented network security controls, vulnerability assessment, patch management and scheduled monitoring procedures to identify, assess, mitigate, and protect against security threats. Critical Severity patches are scheduled to be reviewed, evaluated, and deployed immediately or within 5 days. High severity patches are also reviewed and deployed immediately or within 30 days. Medium and Low severity patches are reviewed as part of the internal audit process and generally deployed within 3-12 months depending on relevance and severity. The deep packet inspection of the Netradyne firewall function enables blocking malicious traffic. They are monitored 24/7 for performance, security, and proper operation. Data segregation. Netradyne has implemented measures to logically isolate customer data from Netradyne’s internal or third-party data. Physical security. Netradyne has implemented physical security controls (access cards, CCTV surveillance and security guards) to monitor and control physical access to its facilities. Netradyne conducts performance tests, regular device health monitoring and backup of data to ensure availability and resilience of its platforms and services. |
Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident. | Netradyne stores all data on AWS cloud (Elastic Block Storage- EBS) which is configured to allow regular backup of data or restoration of data. Netradyne maintains a security incident response team (SIRT) to coordinate efforts needed for containing incidents and allowing restoration of data. |
Processes for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures in order to ensure the security of the processing. | Netradyne conducts internal audit of its security and privacy controls at least once a year. Periodic vulnerability scans and penetration testing by external reviewers are also conducted. |
Measures for user identification and authorization. | Netradyne assigns a user-id to all the users. Access controls include controlled use of administrative privileges, implementation of account and password management policies and multi-factor authentication (MFA) for servers and production systems. Passwords must meet password-complexity requirements outlined in Netradyne’s Password Policy. Privileged-account abilities are granted to a limited number of Netradyne personnel who need this level of access to perform their job function. |
Measures for ensuring physical security of locations at which personal data are processed. | Netradyne’s production and development datacenters are protected from environmental and security threats using technical, administrative, and physical security controls. For high availability, included are redundant uninterruptible power supplies, fire and smoke detection and suppression systems, redundant ventilation, and air conditioning, and more. All systems undergo frequent and regular preventative maintenance. Netradyne’s corporate facilities are monitored by CCTV. A team of security guards are deployed at the entrance and throughout the facility. Access to the building is controlled by security key cards. |
Measures for ensuring events logging. | Netradyne systems are centrally managed and monitored through the use of industry standard logging mechanisms. Netradyne applications are configured to log details of the user sessions, and the actions users perform. It also records administration events such as operations with user accounts. Administration events, such as creation or deactivation of user account, lockout or expiration of an account, password changes, assigning or removing a user role, adding, or removing a user from a group, are also logged. |
Measures for ensuring system configuration, including default configuration. | Netradyne has established a standard workstation configuration baseline in order to meet security objectives. Netradyne’s server systems are configured for performance, stability, scalability, and security. All server systems, including web, application, and database servers, are built to configuration standards. All SQL Server services are hardened by disabling all services that are not used by Netradyne application. The hardening process includes the following objectives:
Removing all unnecessary functionality, such as scripts, drivers, features, subsystems, file systems, and unnecessary web servers. |
Measures for internal IT and IT security governance and management. | Netradyne has a dedicated InfoSec team and has put in place IT security policy and procedures. This includes a formal change management process and acceptable use policy. |
Measures for certification/assurance of processes and products. | Netradyne engages independent security auditors for periodic assessment of its security and privacy controls as part of its ISO 27001 and Privacy by Design certifications. ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025 Privacy by Design - https://msecb.com/certifications-granted |
Measures for ensuring data minimization. | Different privacy modes and privacy configurations may be enabled to reduce the amount of data processed by Netradyne. Most of the video footage recorded on the Driver.i device remains on the device and is overwritten once the device’s memory is full. A video footage is uploaded to Netradyne cloud only if an Event is detected. On average less than 1% of the footage is uploaded to the cloud. Depending on the Event type, only the relevant Event Footage (either external footage or in-cab footage) is uploaded to the cloud. For all Events, the device uploads the Event Data to the cloud. |
Measures for ensuring limited data retention. | The default data retention is a balance between ensuring data is retained for a sufficient time period to be useful to Data Exporter, and ensuring it is not kept beyond such useful time period. Data retention and deletion requirements are set out in the Agreement or the DPA. |
Measures for ensuring accountability. | Netradyne maintains evidence of the steps taken to comply with the EU GDPR. Netradyne puts in place appropriate technical and organizational measures, such as: (i) adopting and implementing data protection policies (where proportionate), (ii) executing written contracts with service providers (iii) maintaining documentation of processing activities, (iv) implementing appropriate security measures, (v) recording and, where necessary, reporting personal data breaches, (vi) carrying out data protection impact assessments for uses of personal data that are likely to result in high risk to individuals’ interests, and (vii) implementing logging and monitoring controls. |
Measures for allowing data portability and ensuring erasure. | Netradyne allows data subjects to exercise their rights by reaching out to designated points of contact. The primary responsibility for responding to data subject requests rests with the customer. Netradyne will assist the customer in responding to data subject requests. |
Schedule 3
List of Approved Sub-processors
The controller has authorised the use of the following sub-processors:
Sub-processor | Purpose of Processing | Location |
Netradyne Technology India Private Limited (“Netradyne India”) | Engineering and support | India |
Amazon Web Services (AWS) | Data hosting | United States |
Elancer IT Solutions Private Limited | Data labelling services | India |
Gainsight, Inc. | Customer success platform | United States |
Mixpanel, Inc. | User activity/experience (data analytics) | United States |
VVDN Technologies | Device refurbishment | India |
Vous voulez protéger les conducteurs et réduire les coûts ?
Ce n'est pas une question trompeuse. Voyez par vous-même avec une démo.