Respirez mieux. Vivez plus intelligemment.®

Capteur de qualité de l’air intérieur Terrestream

Entente de traitement des données

En vigueur le 1ᵉʳ juin 2026 · Version 1.0 · Aerodyne Inc., faisant affaire sous le nom de « Terrestream »

La version française de la présente Entente prévaut sur toute version anglaise, sauf si les parties ont expressément convenu, après examen de la version française, d’être liées par la version anglaise (Charte de la langue française, art. 55).

La présente Entente de traitement des données (la présente « ETD » ) est conclue entre Aerodyne Inc., une société du Delaware faisant affaire sous Terrestream ( « Terrestream » ), et l’Utilisateur commercial identifié sur le Bon de commande applicable ou dont le représentant autorisé contresigne la présente ETD ( « Client » ). La présente ETD complète et fait partie des Conditions générales de Terrestream à terrestream.com/legal/terms (les « CG » ) et de la Politique de confidentialité de Terrestream à terrestream.com/legal/privacy (la « Politique de confidentialité » ), chacune telle qu’en vigueur de temps à autre. Les termes en majuscules employés et non définis aux présentes ont le sens qui leur est donné dans les CG et la Politique de confidentialité. En cas de conflit entre la présente ETD et les CG ou la Politique de confidentialité quant au Traitement des Renseignements personnels du Client, la présente ETD prévaut; voir l’art. 15.

art. 1. Définitions

Les définitions qui suivent s’appliquent à la présente ETD. Les termes en majuscules non définis aux présentes ont le sens qui leur est donné à l’art. 1 des CG ou à l’art. P1.7 de la Politique de confidentialité.

« Lois applicables en matière de protection des renseignements personnels » a le sens qui lui est donné à l’art. 1 des CG et, dans le contexte de la présente ETD, s’applique au Traitement des Renseignements personnels du Client.

« Client » a le sens qui lui est donné dans le préambule ci-dessus; pour plus de certitude, le « Client » est l’« Utilisateur commercial » tel que défini à l’ art. 1 des CG, identifié sur le Bon de commande applicable (ou dont le représentant autorisé contresigne la présente ETD).

« Utilisateur autorisé » a le sens qui lui est donné à l’art. 1 des CG et inclut, dans le contexte de l’Utilisateur commercial, l’administrateur de compte, les administrateurs de flotte, les visualiseurs, les installateurs et les autres personnes physiques que le Client a autorisées à accéder aux Services infonuagiques pour le compte du Client, comme il est plus amplement décrit à l’art. 13.7 des CG.

« Renseignements personnels du Client » désigne les renseignements personnels qui sont recueillis, transmis ou générés par les Services infonuagiques en lien avec le déploiement du Dispositif par le Client, y compris (a) les renseignements personnels concernant les Utilisateurs autorisés et autres personnes physiques que le Client désigne pour accéder aux Services infonuagiques et (b) les renseignements personnels concernant des occupants identifiables d’un bâtiment lorsque l’utilisation des Services infonuagiques par le Client entraîne la collecte de tels renseignements personnels. Les Renseignements personnels du Client n’incluent pas les données agrégées ni les renseignements dépersonnalisés traitées conformément à l’Politique de confidentialité §P6 et à l’art. 18.2 des CG.

« Directives documentées » désigne les directives du Client à Terrestream concernant le Traitement des Renseignements personnels du Client, comprenant (i) la présente ETD, (ii) les CG, (iii) la Politique de confidentialité, (iv) le Bon de commande, (v) la configuration des Services infonuagiques par le Client au moyen de l’interface d’administrateur de compte et (vi) toute directive écrite supplémentaire que le Client fournit en vertu de l’art. 4.

« Bon de commande » désigne chaque document de commande écrit ou électronique conclu entre Terrestream et le Client qui identifie les Dispositifs, le niveau d’abonnement, les modalités de facturation et toute annexe optionnelle en vertu de l’Annexe D.

« Traitement » a le sens qui lui est donné dans les Lois applicables en matière de protection des renseignements personnels et inclut toute opération ou ensemble d’opérations effectuées sur des Renseignements personnels du Client, par des moyens automatisés ou non.

« Incident de sécurité » (au Québec : « incident de confidentialité » au sens de l’art. 3.5 LPRPSP) désigne un accès non autorisé confirmé à des Renseignements personnels du Client, une acquisition, une divulgation, une perte, une altération ou une destruction confirmée de ceux-ci, qui déclenche une obligation de notification en vertu des Lois applicables en matière de protection des renseignements personnels.

« Sous-traitant ultérieur » (« sous-processeur » ou « sous-traitant ultérieur ultérieur ») désigne un tiers engagé par Terrestream pour Traiter des Renseignements personnels du Client pour le compte de Terrestream en lien avec les Services infonuagiques, comme il est plus amplement décrit à l’art. P5.2 de la Politique de confidentialité et à l’Annexe C.

art. 2. Objet, portée et durée

2.1 Objet

L’objet du Traitement en vertu de la présente ETD est la fourniture des Services infonuagiques par Terrestream au Client en vertu des CG, y compris l’exploitation du Dispositif, de l’Application mobile et du Tableau de bord Web, la génération de Extrants d'IA à partir de Données de télémétrie, ainsi que les fonctions administratives et de soutien nécessaires à la prestation de ces services.

2.2 Portée

La présente ETD s’applique à tout Traitement de Renseignements personnels du Client effectué par Terrestream en lien avec les Services infonuagiques pour la durée de la relation sous-jacente régie par les CG entre le Client et Terrestream.

2.3 Durée

La présente ETD entre en vigueur à la date à laquelle les deux parties l’ont signée ou, lorsqu’elle est conclue par l’acceptation par le Client d’un Bon de commande y faisant référence, à la date d’entrée en vigueur dudit Bon de commande. Elle se poursuit aussi longtemps que Terrestream Traite des Renseignements personnels du Client et, en ce qui concerne les obligations qui par leur nature survivent (y compris l’art. 12 restitution et suppression, l’art. 13 responsabilité et l’art. 14 survie), par la suite.

2.4 Description du Traitement

Les catégories de personnes concernées, les catégories de Renseignements personnels du Client, la nature et la finalité du Traitement ainsi que les périodes de conservation sont énoncées à l’Annexe A.

art. 3. Rôles et statut de conformité

3.1 Répartition des rôles

À l’égard des Renseignements personnels du Client, le Client est la « business » « controller » « personne responsable » « entreprise » lorsque ce rôle s’applique en vertu des Lois applicables en matière de protection des renseignements personnels, et Terrestream est le « service provider » « contractor » « processor » « mandataire » lorsque ce rôle s’applique.

3.2 CCPA/CPRA service provider status

Terrestream qualifies as a “service provider” under Cal. Civ. Code § 1798.140(ag) with respect to Customer Personal Data. To the extent that a particular transaction or disclosure by Customer to Terrestream falls within the “contractor” definition in Cal. Civ. Code § 1798.140(j), Terrestream undertakes the obligations applicable to contractors under that subsection with respect to that transaction. Terrestream:

  1. will not sell or share (within the meaning of Cal. Civ. Code § 1798.140(ad) and (ah)) Customer Personal Data;

  2. will not retain, use, or disclose Customer Personal Data for any purpose other than (a) the specific business purposes set out in this DPA and the Documented Instructions, (b) servicing the business relationship between Terrestream and Customer, or (c) as permitted under Cal. Civ. Code § 1798.140(ag)(1)(A)(i)–(v);

  3. will not retain, use, or disclose Customer Personal Data outside the direct business relationship between Terrestream and Customer;

  4. will not combine Customer Personal Data with Personal Information that Terrestream receives from another business or that Terrestream collects from interactions with consumers, except as expressly permitted by Cal. Civ. Code § 1798.140(ag)(1)(B); and

  5. will comply with applicable obligations imposed on service providers and contractors under the CCPA/CPRA and the CCPA Regulations, including identity verification under CCPA Regulations § 7050(c) where applicable.

3.3 Statut de processor en vertu d’autres lois étatiques

Terrestream est destinée à agir à titre de « processor » en vertu des lois étatiques américaines applicables en matière de protection des renseignements personnels qui reconnaissent ce rôle, et Terrestream Traitera les Renseignements personnels du Client conformément aux obligations de processor qui s’appliquent aux services.

3.4 Statut de sous-traitant ultérieur au Canada

Pour les Clients assujettis aux lois canadiennes en matière de protection des renseignements personnels, Terrestream Traite les Renseignements personnels du Client pour le compte du Client. Lorsque la Loi 25 du Québec s’applique, l’annexe optionnelle relative au mandat écrit à l’Annexe D énonce des modalités supplémentaires lorsque le Client choisit de l’invoquer.

3.5 Obligations indépendantes du Client

Le Client demeure responsable de sa propre conformité aux Lois applicables en matière de protection des renseignements personnels à titre de business, controller ou personne responsable, y compris la fourniture d’avis aux personnes concernées, l’obtention des consentements requis le cas échéant, l’affichage d’avis de confidentialité destinés aux occupants dans les espaces partagés et les espaces des locataires conformément à l’art. 7.7 des CG, et la réponse aux demandes des personnes concernées à titre d’entité tenue d’y répondre.

art. 4. Directives du Client; Traitement autorisé

4.1 Directives documentées

Terrestream Traite les Renseignements personnels du Client uniquement sur la base de Directives documentées, sauf lorsque les Lois applicables en matière de protection des renseignements personnels exigent un Traitement sans directive (auquel cas Terrestream avisera le Client de cette exigence légale avant le Traitement, à moins que la loi ne l’interdise).

4.2 Finalités de Traitement autorisées

Terrestream Traite les Renseignements personnels du Client uniquement pour : (a) fournir et améliorer les Services infonuagiques conformément aux CG; (b) générer des Extrants d'IA sous réserve des limites énoncées à l’art. P6.4 de la Politique de confidentialité; (c) l’administration de compte, la facturation, la gestion d’abonnement et le soutien à la clientèle; (d) la sécurité, la prévention de la fraude, la détection des abus et la protection des systèmes de Terrestream et du Client; (e) la conformité légale et la réponse aux demandes légales; (f) la création de données agrégées et de renseignements dépersonnalisés en vertu de l’art. P6 de la Politique de confidentialité, sous réserve de l’art. 4.4 ci-dessous; et (g) toute finalité supplémentaire que le Client documente par écrit et que Terrestream accepte d’exécuter.

4.3 Directives illicites

Terrestream informera le Client si, de l’avis de Terrestream, une Directive documentée enfreint les Lois applicables en matière de protection des renseignements personnels. Jusqu’à la résolution du conflit, Terrestream peut suspendre le Traitement en question.

4.4 Données agrégées et renseignements dépersonnalisés

Le Client reconnaît que les Renseignements personnels du Client peuvent être Traités pour créer des données agrégées et des renseignements dépersonnalisés conformément à l’art. P6 de la Politique de confidentialité et à l’art. 18.2 des CG. La dépersonnalisation s’entend au sens de l’art. 12 LPRPSP (renseignements dépersonnalisés; demeurent assujettis à la loi); l’anonymisation s’entend au sens de l’art. 23 LPRPSP et du Règlement sur l’anonymisation des renseignements personnels (en vigueur le 30 mai 2024; les renseignements anonymisés cessent d’être visés par la loi). Une fois la dépersonnalisation terminée, les données agrégées et les renseignements dépersonnalisés sont exclues de la portée des Renseignements personnels du Client en vertu de la présente ETD. Terrestream ne combinera pas les Renseignements personnels du Client sous forme identifiée avec des renseignements personnels provenant d’autres comptes ou sources, sauf dans la mesure permise par l’art. 4.5(d). Les exclusions prévues à l’art. P6.3 de la Politique de confidentialité(f) s’appliquent sauf autorisation distincte du Client par écrit.

4.5 Aucun Traitement interdit

Terrestream ne (a) vendra pas les Renseignements personnels du Client, (b) ne partagera pas les Renseignements personnels du Client à des fins de publicité comportementale intercontextuelle, (c) ne se livrera pas à de la publicité ciblée à l’aide des Renseignements personnels du Client, (d) ne combinera pas les Renseignements personnels du Client avec des renseignements personnels provenant d’autres sources, sauf dans la mesure permise par CCPA/CPRA § 1798.140(ag)(1)(B), ni (e) n’utilisera les Renseignements personnels du Client pour entraîner des modèles d’IA de production sur des renseignements personnels bruts identifiés d’Utilisateurs autorisés ou d’occupants de bâtiment, sauf avec le consentement exprès par adhésion volontaire requis par l’art. P6.4 de la Politique de confidentialité.

art. 5. Confidentialité

5.1 Engagements du personnel

Terrestream veille à ce que le personnel autorisé à Traiter les Renseignements personnels du Client soit lié par des obligations écrites de confidentialité et soit formé sur les Lois applicables en matière de protection des renseignements personnels et les obligations de sécurité.

5.2 Restrictions d’accès

Terrestream limite l’accès aux Renseignements personnels du Client au personnel et aux Sous-traitants ultérieurs ayant un besoin de connaître documenté et applique les contrôles d’accès décrits à l’Annexe B.

art. 6. Mesures de sécurité

6.1 Mesures techniques et organisationnelles

Terrestream maintient les mesures techniques et organisationnelles décrites à l’Annexe B (les « MTO » ). Les MTO sont conçues pour offrir un niveau de sécurité adapté au risque que présente le Traitement, en tenant compte de l’état de l’art, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du Traitement.

6.2 Évolution des MTO

Terrestream peut mettre à jour les MTO de temps à autre afin de maintenir ou d’améliorer la posture de sécurité, à condition qu’aucune mise à jour ne réduise de manière importante la protection conférée aux Renseignements personnels du Client.

6.3 Sécurité du côté du Client

Le Client est responsable de la sécurité (a) des identifiants de son compte et de l’accès des Utilisateurs autorisés, (b) de ses réseaux et systèmes connectés et (c) de sa configuration des Services infonuagiques. Le manquement du Client à l’art. 13 des CG est assujetti à l’art. 13.6 des CG (réduction de la garantie et de la responsabilité fondée sur le lien causal).

art. 7. Sous-traitants ultérieurs

7.1 Autorisation générale

Le Client autorise Terrestream à engager les Sous-traitants ultérieurs énumérés à l’Annexe C et à terrestream.com/legal/sub-processors (la « Liste des Sous-traitants ultérieurs » ) pour Traiter les Renseignements personnels du Client pour le compte de Terrestream.

7.2 Avis de Sous-traitants ultérieurs nouveaux ou remplaçants

Terrestream donnera au Client un préavis d’au moins trente (30) jours de tout ajout important ou remplacement d’un Sous-traitant ultérieur qui Traite des Renseignements personnels du Client, en mettant à jour la Liste des Sous-traitants ultérieurs et, lorsque le changement est important pour le déploiement du Client, par courriel à l’administrateur de compte.

7.3 Droit d’opposition du Client

Le Client peut s’opposer à l’engagement d’un nouveau Sous-traitant ultérieur pour des motifs raisonnables liés à la protection des renseignements personnels, par avis écrit à Terrestream dans les quinze (15) jours suivant l’avis prévu à l’art. 7.2. Les parties travailleront de bonne foi à résoudre l’opposition. À défaut de résolution, Terrestream peut, à son choix, (a) ne pas désigner le Sous-traitant ultérieur à l’égard des Renseignements personnels du Client, (b) prendre des mesures correctives raisonnablement acceptables pour le Client, ou (c) permettre au Client de résilier la portion concernée des Services infonuagiques moyennant un remboursement au prorata des frais prépayés non utilisés pour la portion concernée.

7.4 Contrats avec les Sous-traitants ultérieurs

Terrestream impose à chaque Sous-traitant ultérieur des obligations contractuelles écrites qui ne sont pas, sur le fond, moins protectrices des Renseignements personnels du Client que la présente ETD.

7.5 Performance des Sous-traitants ultérieurs

Terrestream demeure responsable envers le Client de l’exécution par chaque Sous-traitant ultérieur des obligations que Terrestream lui a déléguées en vertu de la présente ETD, dans la même mesure et sous réserve des mêmes limitations que si Terrestream avait exécuté l’obligation elle-même, y compris le plafond de responsabilité et les exclusions à l’art. 13.

art. 8. Transferts transfrontaliers

8.1 Lieu du Traitement

Terrestream Traite les Renseignements personnels du Client sur une infrastructure située aux États-Unis, y compris par l’intermédiaire de Sous-traitants ultérieurs. En signant la présente ETD, le Client reconnaît et (lorsque requis) donne instruction à Terrestream de transférer les Renseignements personnels du Client aux États-Unis aux fins de Traitement.

8.2 Transferts canadiens

Pour les Renseignements personnels du Client visant des personnes canadiennes, Terrestream maintient les garanties contractuelles décrites à l’art. P5.3 de la Politique de confidentialité avec chaque Sous-traitant ultérieur qui Traite de telles données, conformément à la LPRPDÉ, à la PIPA-BC et à la PIPA-AB. Pour les résidents du Québec, Terrestream a procédé à l’évaluation des facteurs relatifs à la vie privée requise par l’art. 17 de la Loi 25 du Québec avant de transférer des renseignements personnels hors du Québec; les garanties documentées sont décrites à l’art. P8.2 de la Politique de confidentialité.

8.3 Transferts ultérieurs

Lorsqu’un Sous-traitant ultérieur situé aux États-Unis effectue un transfert ultérieur de Renseignements personnels du Client vers une juridiction non américaine, Terrestream exige de ce Sous-traitant ultérieur qu’il maintienne des protections substantiellement équivalentes à celles prévues à la présente ETD.

8.4 Accès gouvernemental

Les Renseignements personnels du Client Traités aux États-Unis peuvent faire l’objet de demandes d’accès gouvernementales légitimes en vertu du droit américain, notamment le Stored Communications Act, 18 U.S.C. § 2701 et suiv., et le Clarifying Lawful Overseas Use of Data Act, 18 U.S.C. § 2713. Terrestream conteste les demandes excessives ou illégales lorsqu’elle a des motifs raisonnables de le faire et, lorsque cela est légal et non interdit par une ordonnance judiciaire, avise le Client de toute demande visant les Renseignements personnels du Client.

art. 9. Droits de la personne concernée

9.1 Demandes adressées au Client

Lorsque le Client est tenu de répondre à une demande d’une personne concernée en vertu des Lois applicables en matière de protection des renseignements personnels, Terrestream lui offre une assistance raisonnable en (a) rendant disponibles les Renseignements personnels du Client de la personne concernée dans un format portable au moyen de l’interface d’administrateur de compte, (b) exécutant les demandes de suppression et de rectification sur directive documentée du Client, (c) restreignant le Traitement en réponse à une demande de limitation de Responsable de la protection des renseignements personnels, de retrait ou de retrait de consentement, et (d) coopérant à la vérification par le Client de l’identité du demandeur.

9.2 Demandes directes à Terrestream

Si Terrestream reçoit directement d’une personne concernée une demande relative aux Renseignements personnels du Client, Terrestream (a) transmettra la demande au Client sans retard injustifié lorsque le Client est l’entité tenue d’y répondre, ou (b) traitera la demande directement si et seulement si elle est dirigée à le faire par le Client ou si les Lois applicables en matière de protection des renseignements personnels l’exigent.

9.3 Délais de réponse

Terrestream vise un accusé de réception initial des demandes d’assistance du Client dans les sept (7) jours ouvrables; la réponse de fond est fournie dans des délais conformes aux fenêtres statutaires prévues à l’art. P7.3 de la Politique de confidentialité.

9.4 Frais

L’assistance raisonnable prévue au présent art. 9 est fournie sans frais supplémentaires. L’assistance extraordinaire, y compris la réponse à des demandes manifestement non fondées, excessives ou répétitives, peut être facturée aux tarifs alors en vigueur de Terrestream pour les services professionnels, sur préavis au Client.

art. 10. Incidents de sécurité et notification des violations

10.1 Notification

Terrestream avise le Client sans retard injustifié (et avec diligence au sens de l’art. 3.5 LPRPSP pour les Renseignements personnels touchant des résidents du Québec) après avoir confirmé un Incident de sécurité touchant les Renseignements personnels du Client, et en tout état de cause dans les délais requis par les Lois applicables en matière de protection des renseignements personnels qui s’appliquent au Client. Les délais de notification statutaires courent à compter de la date de confirmation par Terrestream, sous réserve des nécessités raisonnables et de bonne foi de l’enquête envisagées par Cal. Civ. Code § 1798.82(a) et les statuts étatiques analogues, conformément à l’art. P10.3 de la Politique de confidentialité.

10.2 Contenu de la notification

Chaque notification d’Incident de sécurité prévue à l’art. 10.1 comportera, dans la mesure connue à ce moment et licitement divulgable : (a) la nature de l’incident, y compris, lorsque possible, les catégories et le nombre approximatif de personnes concernées et de dossiers visés; (b) les conséquences probables de l’incident; (c) les mesures prises ou proposées pour remédier à l’incident, y compris les mesures pour en atténuer les effets négatifs; et (d) le nom et les coordonnées du point de contact de Terrestream auprès duquel des renseignements supplémentaires peuvent être obtenus.

10.3 Coopération

Terrestream coopère raisonnablement avec le Client dans son enquête sur un Incident de sécurité et dans sa réponse à celui-ci, notamment en fournissant les renseignements nécessaires aux notifications du Client aux autorités réglementaires et aux personnes touchées en vertu des Lois applicables en matière de protection des renseignements personnels.

10.4 Aucune reconnaissance

Une notification d’Incident de sécurité en vertu du présent art. 10 ne constitue pas une reconnaissance de faute, de responsabilité ou de non-conformité.

art. 11. Vérifications et registres

11.1 Registres

Terrestream tient des registres de son Traitement des Renseignements personnels du Client suffisants pour démontrer la conformité à la présente ETD et aux Lois applicables en matière de protection des renseignements personnels.

11.2 Documentation de sécurité

Sur demande écrite raisonnable du Client et au plus une fois par période de douze (12) mois, Terrestream fournit au Client la documentation de sécurité alors en vigueur raisonnablement suffisante pour soutenir l’examen de la sécurité des fournisseurs du Client, comme un rapport SOC 2 Type II s’il est disponible, une évaluation de sécurité tierce équivalente ou un sommaire écrit des MTO.

11.3 Vérification sur place ou à distance

Si les documents prévus à l’art. 11.2 ne suffisent pas à satisfaire à une obligation de vérification du Client imposée par les Lois applicables en matière de protection des renseignements personnels, le Client peut demander une vérification à distance complémentaire du Traitement par Terrestream des Renseignements personnels du Client, sous réserve : (a) d’un préavis écrit d’au moins trente (30) jours; (b) d’une portée raisonnable convenue à l’avance; (c) d’une vérification au plus une fois par période de douze (12) mois, sauf si un Incident de sécurité ou une ordonnance réglementaire l’exige autrement; (d) de la signature d’une entente de confidentialité protégeant les renseignements exclusifs de Terrestream et les données d’autres clients; (e) d’une conduite durant les heures normales d’ouverture, d’une manière qui n’interfère pas de façon déraisonnable avec les opérations de Terrestream; et (f) du remboursement à Terrestream, aux tarifs alors en vigueur pour les services professionnels, du temps du personnel de Terrestream requis pour soutenir la vérification. Les vérifications sur place requièrent l’approbation écrite préalable de Terrestream, sauf si les Lois applicables en matière de protection des renseignements personnels l’exigent.

11.4 Constatations

Les parties coopèrent de bonne foi pour donner suite aux constatations de la vérification. Chaque partie traite les constatations de la vérification, les documents connexes et les renseignements divulgués au cours de la vérification comme des renseignements confidentiels de la partie divulgatrice.

art. 12. Restitution et suppression des Renseignements personnels du Client

12.1 À la résiliation

Dans les quatre-vingt-dix (90) jours suivant la résiliation ou l’expiration de la relation sous-jacente régie par les CG entre le Client et Terrestream, Terrestream, au choix écrit du Client, soit (a) restitue les Renseignements personnels du Client au Client dans un format structuré, couramment utilisé et lisible par machine, soit (b) supprime les Renseignements personnels du Client des systèmes actifs des Services infonuagiques. Cette fenêtre de quatre-vingt-dix (90) jours pour les Utilisateurs commerciaux est distincte de la fenêtre de trente (30) jours du palier consommateur prévue à l’art. 8.7 des CG et la remplace pour la relation B2B.

12.2 Suppression par rotation des sauvegardes

Après l’action prévue à l’art. 12.1, les Renseignements personnels du Client sont planifiés pour suppression des sauvegardes chiffrées à mesure que les rotations de sauvegarde se succèdent, conformément au tableau de conservation à l’art. P11 de la Politique de confidentialité et à toute obligation de conservation légale ou de préservation.

12.3 Exceptions

Nonobstant l’art. 12.1, Terrestream peut conserver les Renseignements personnels du Client dans la mesure requise par les Lois applicables en matière de protection des renseignements personnels, par une conservation légale ou par un minimum statutaire (par exemple, la tenue de registres fiscaux). Les données agrégées et les renseignements dépersonnalisés sont traitées à l’art. P6 de la Politique de confidentialité et à l’art. 18.2 des CG.

12.4 Attestation

Sur demande écrite du Client, Terrestream fournit une attestation écrite de l’achèvement des actions prévues aux art. 12.1 et art. 12.2.

12.5 Faillite ou insolvabilité

Si Terrestream dépose une demande de protection en cas de faillite ou fait l’objet d’une requête involontaire, le Client peut exiger la restitution ou la suppression des Renseignements personnels du Client en vertu de l’art. 12.1 selon un délai accéléré, dans la mesure compatible avec le droit applicable en matière de faillite ou d’insolvabilité. Ce droit s’ajoute (et ne se substitue pas) aux droits des créanciers en vertu de 11 U.S.C. § 365, de la Loi sur la faillite et l’insolvabilité (Canada), L.R.C. 1985, ch. B-3, et de la Loi sur les arrangements avec les créanciers des compagnies, L.R.C. 1985, ch. C-36.

art. 13. Responsabilité

13.1 Responsabilité en vertu des CG

La responsabilité de chaque partie en vertu de la présente ETD est assujettie à l’art. 11 des CG (Limitation de responsabilité), y compris le plafond à l’art. 11.1 des CG, les exclusions aux art. 11.2 des CG et art. 11.3 des CG ainsi que les exceptions à l’art. 11.5 des CG.

13.2 Recours statutaires préservés

Rien dans la présente ETD ni à l’art. 11 des CG ne limite les recours statutaires non susceptibles de renonciation d’une personne concernée en vertu des Lois applicables en matière de protection des renseignements personnels contre la partie responsable.

13.3 Répartition des fautes

Lorsque les deux parties contribuent à un Incident de sécurité ou à une autre violation des Lois applicables en matière de protection des renseignements personnels, chaque partie est responsable de sa part proportionnelle de la responsabilité en résultant, dans la mesure permise par la loi et en fonction de sa contribution causale.

13.4 Plafond rehaussé pour les Incidents de sécurité touchant les Renseignements personnels du Client

Nonobstant le plafond prévu aux art. 13.1 et art. 11.1 des CG, la responsabilité globale de Terrestream envers le Client pour des réclamations découlant d’un Incident de sécurité touchant les Renseignements personnels du Client ou s’y rapportant, ou d’une violation importante par Terrestream des art. 3, art. 6, art. 7 ou art. 10 de la présente ETD, correspond au plus élevé entre (a) le double (2×) du total des frais que le Client a payés à Terrestream au cours des douze (12) mois précédant immédiatement l’évènement à l’origine de la réclamation, ou (b) deux cent cinquante mille dollars américains (250 000 $ US). Ce plafond rehaussé constitue la limite globale par Client pour les réclamations en matière de sécurité et de protection des renseignements personnels. Rien dans le présent article ne limite les recours statutaires non susceptibles de renonciation qui ne peuvent être plafonnés en vertu des Lois applicables en matière de protection des renseignements personnels.

13.5 Indemnisation par Terrestream

Terrestream indemnisera, défendra et tiendra le Client à couvert de toute réclamation, dommage, perte, responsabilité, jugement, règlement, coût ou dépense d’un tiers (y compris les honoraires raisonnables d’avocat) découlant d’une violation importante par Terrestream des art. 3, art. 6 ou art. 10 de la présente ETD, ou s’y rapportant, sous réserve du plafond à l’art. 13.4. La procédure d’indemnisation à l’art. 12.2 des CG s’applique, avec inversion des rôles des parties (le Client donnant avis de la réclamation; Terrestream assumant la défense).

art. 14. Durée, résiliation et survie

14.1 Durée

La présente ETD entre en vigueur tel qu’énoncé à l’art. 2.3 et se poursuit pour la durée qui y est décrite.

14.2 Résiliation

La présente ETD est résiliée automatiquement à la résiliation de la relation sous-jacente régie par les CG entre le Client et Terrestream. L’une ou l’autre partie peut résilier la présente ETD sur préavis écrit de trente (30) jours si l’autre partie viole de manière importante la présente ETD et omet de remédier à la violation dans ce délai de préavis.

14.3 Survie

Les articles qui, par leur nature, survivent à la résiliation demeurent en vigueur, y compris l’art. 1 (définitions, dans la mesure nécessaire pour interpréter les dispositions qui survivent), l’art. 5 (confidentialité), l’art. 10 (Incidents de sécurité, à l’égard des incidents survenus pendant la durée), l’art. 12 (restitution et suppression), l’art. 13 (responsabilité), l’art. 15 (ordre de préséance), l’art. 16 (droit applicable) et l’art. 17 (dispositions générales).

art. 15. Ordre de préséance

15.1 Général

En cas de conflit entre la présente ETD et les CG ou la Politique de confidentialité quant au Traitement des Renseignements personnels du Client, la présente ETD prévaut.

15.2 Annexes optionnelles

Lorsque l’annexe optionnelle relative au mandat écrit en vertu de la Loi 25 du Québec à l’Annexe D est en vigueur entre les parties, cette annexe prévaut sur le corps de la présente ETD à l’égard des questions qui y sont expressément traitées dans l’annexe. Les modalités sectorielles en santé, en éducation ou dans d’autres secteurs réglementés doivent être traitées dans un avenant signé séparément.

15.3 Variations du Bon de commande

Un Bon de commande peut comporter des variations propres au Client à la présente ETD. Ces variations s’appliquent uniquement au Client nommé sur le Bon de commande et seulement dans la mesure expressément indiquée.

art. 16. Droit applicable et règlement des différends

16.1 Droit applicable

La présente ETD est régie par le droit du Delaware, sans égard à ses principes de conflits de lois, conformément à l’art. 19.1 des CG. Les exceptions canadiennes à l’art. 19.11 des CG s’appliquent aux Clients canadiens.

16.2 Règlement des différends

Les différends découlant de la présente ETD sont réglés en vertu de l’art. 19 des CG (Règlement des différends), y compris la procédure de règlement informel à l’art. 19.2, la procédure d’arbitrage à l’art. 19.3 (sous réserve des exceptions selon la juridiction du Client), l’exception relative aux petites créances à l’art. 19.5, les exceptions canadiennes à l’art. 19.11 et l’exception relative aux mesures injonctives à l’art. 19.12.

art. 17. Dispositions générales

17.1 Avis

Les avis en vertu de la présente ETD sont remis : (a) à Terrestream, à Aerodyne Inc., À l’attention du : Responsable de la confidentialité, 8 The Green, Ste A, Dover, DE 19901, USA, et à terrestream.com/contact?dept=privacy; et (b) au Client, à l’adresse figurant sur le Bon de commande ou, à défaut, au courriel de l’administrateur de compte au dossier.

17.2 Divisibilité

Si une disposition de la présente ETD est jugée invalide ou inexécutable, cette disposition est modifiée dans la mesure minimale nécessaire pour la rendre exécutable, et le reste de la présente ETD demeure en vigueur.

17.3 Cession

La cession est régie par l’art. 21.2 des CG; la présente ETD est transférée avec l’entente sous-jacente régie par les CG.

17.4 Absence de renonciation

Le défaut ou le retard à faire appliquer toute disposition de la présente ETD ne constitue pas une renonciation.

17.5 Entente intégrale

La présente ETD, conjointement avec les CG, la Politique de confidentialité, le Bon de commande et toute annexe optionnelle en vigueur, constitue l’entente intégrale entre les parties à l’égard du Traitement des Renseignements personnels du Client et remplace toutes les ententes antérieures ou concomitantes à ce sujet.

17.6 Exemplaires et signature électronique

La présente ETD peut être signée en plusieurs exemplaires, y compris par signature électronique, chacun étant réputé être un original.

Annexe A : Description du Traitement

A.1 Catégories de personnes concernées

Le Traitement en vertu de la présente ETD peut concerner les catégories suivantes de personnes concernées :

  1. les administrateurs de compte du Client et les autres Utilisateurs autorisés ayant un accès aux Services infonuagiques en vertu de l’art. 13.7 des CG;

  2. les occupants de bâtiment dans des espaces où le Client a déployé le Dispositif, dans la mesure où les Services infonuagiques recueillent des renseignements personnels raisonnablement reliables à des personnes identifiables (par exemple, lorsque les estimations d’occupation sont combinées avec les propres données du Client en matière d’horaire, de badges ou de registres); et

  3. les personnes physiques qui communiquent avec le soutien géré par le Client ou dont les renseignements personnels sont fournis à Terrestream par le Client en lien avec une demande de soutien.

A.2 Catégories de Renseignements personnels du Client

Les catégories de Renseignements personnels du Client Traitées en vertu de la présente ETD correspondent aux catégories décrites à l’art. P2.1 de la Politique de confidentialité, notamment :

  1. Identifiants (nom, courriel, identifiant de compte, numéro de série du Dispositif, adresse IP);

  2. Dossiers Client (adresse de facturation, jeton du processeur de paiement);

  3. Renseignements commerciaux (statut d’abonnement, dates de l’Essai Pro, historique de l’Abonnement Pro, historique des achats);

  4. Activité Internet ou sur d’autres réseaux électroniques (journaux d’utilisation de l’Application mobile et du Tableau de bord Web, vues du tableau de bord, engagement avec les notifications poussées);

  5. Géolocalisation (emplacement approximatif à partir de l’adresse IP; géolocalisation précise uniquement avec adhésion volontaire explicite pour les fonctionnalités météorologiques et de qualité de l’air extérieur);

  6. Renseignements professionnels ou d’emploi (rôle organisationnel des Utilisateurs autorisés);

  7. Inférences tirées des Données de télémétrie (indices composites de qualité de l’air, indicateurs de risque de moisissure, recommandations de ventilation, estimations d’occupation, analyses de tendances);

  8. Données de télémétrie (CO₂, température, humidité, pression barométrique, indice QAI, indice COV, indice NOₓ, matières particulaires à PM 1.0/2.5/4.0/10.0, lumière ambiante, avec horodatages, identifiants de Dispositif et version du micrologiciel);

  9. Métadonnées réseau (SSID Wi-Fi, BSSID, RSSI pour l’approvisionnement et le diagnostic, adresse IP, horodatages de connexion, version du micrologiciel); et

  10. Inférences comportementales relevant des garanties applicables aux renseignements personnels sensibles en vertu de l’art. P2.2 de la Politique de confidentialité (corrélation entre QAI et phases de sommeil, estimations d’occupation et de présence, routines quotidiennes, inférences sur la fréquence du tabagisme ou de la cuisine, inférences sur la présence d’animaux, schémas de vieillissement à domicile), lorsque le déploiement du Client entraîne la génération de telles inférences.

A.3 Nature et finalité du Traitement

Terrestream Traite les Renseignements personnels du Client aux fins énoncées à l’art. 4.2 de la présente ETD et à l’art. P4.1 de la Politique de confidentialité.

A.4 Durée du Traitement

Les Renseignements personnels du Client sont Traités pour la durée de la relation sous-jacente régie par les CG entre le Client et Terrestream et sont conservés conformément au tableau de conservation à l’art. P11 de la Politique de confidentialité. La restitution et la suppression à la résiliation sont régies par l’art. 12 de la présente ETD.

Annexe B : Mesures techniques et organisationnelles

Terrestream maintient un programme écrit de sécurité de l’information conçu pour offrir des contrôles adaptés à la sensibilité des Renseignements personnels du Client Traités. Le programme est conçu pour inclure des contrôles tels que :

  1. Chiffrement en transit conçu pour offrir TLS 1.2 ou supérieur entre le Dispositif, l’Application mobile, le Tableau de bord Web et l’infonuagique de Terrestream;

  2. Chiffrement au repos conçu pour offrir AES-256 ou équivalent pour les Renseignements personnels du Client dans l’infonuagique de Terrestream et dans le stockage des Sous-traitants ultérieurs où les Renseignements personnels du Client sont conservés pour le compte de Terrestream;

  3. Contrôles d’accès fondés sur le contrôle d’accès en fonction du rôle et les principes du moindre privilège, avec authentification multifacteur pour l’accès administratif;

  4. Capacités de journalisation, de surveillance et de détection d’intrusion dans l’ensemble des systèmes de production;

  5. Tests d’intrusion et analyses de vulnérabilité périodiques effectués par des testeurs qualifiés;

  6. Pratiques de cycle de vie de développement logiciel sécurisé incluant la revue de code, l’analyse des dépendances et les tests de sécurité avant la mise en production;

  7. Diligence raisonnable des fournisseurs sur chaque Sous-traitant ultérieur avant son intégration et périodiquement par la suite, conformément à l’art. P10.2 de la Politique de confidentialité;

  8. Formation du personnel et obligations de confidentialité en vertu de l’art. 5 de la présente ETD; et

  9. Procédures de réponse aux incidents alignées sur les obligations de notification d’Incident de sécurité à l’art. 10 de la présente ETD.

La mise en œuvre précise de chaque contrôle évolue dans le cadre du programme. Le Client peut demander un sommaire à jour des MTO dans le cadre d’une vérification en vertu de l’art. 11.

Annexe C : Sous-traitants ultérieurs approuvés

La liste des Sous-traitants ultérieurs approuvés pour Traiter les Renseignements personnels du Client, incluant le nom de chaque Sous-traitant ultérieur, les catégories de Traitement effectuées et le lieu du Traitement, est maintenue à terrestream.com/legal/sub-processors. Les modifications importantes apportées à la liste des Sous-traitants ultérieurs sont régies par l’art. 7 de la présente ETD. À la date d’entrée en vigueur de la présente ETD, les principales catégories de Sous-traitants ultérieurs incluent l’infrastructure infonuagique, l’analytique, le traitement des paiements, la livraison de courriels, les notifications poussées, l’authentification et le signalement de défaillances, comme il est plus amplement décrit à l’art. P5.2 de la Politique de confidentialité.

Annexe D : Mandat écrit en vertu de la Loi 25 du Québec (Annexe optionnelle)

La présente Annexe D s’applique uniquement lorsque le Client est une entreprise assujettie à la Loi 25 du Québec et que le Bon de commande invoque expressément la présente Annexe. La présente Annexe constitue le mandat écrit requis par l’art. 18.3 de la Loi 25.

D.1 Objet du mandat

Le Client (à titre de « personne responsable » ) mandate Terrestream (à titre de « mandataire » ) pour Traiter les renseignements personnels des résidents du Québec en lien avec les Services infonuagiques, aux fins décrites à l’art. 4.2 de la présente ETD et à l’art. P4.1 de la Politique de confidentialité.

D.2 Confidentialité

Terrestream maintiendra la confidentialité des renseignements personnels communiqués en vertu du présent mandat, n’utilisera les renseignements personnels qu’aux fins du mandat et ne communiquera les renseignements personnels à un tiers que dans la mesure expressément autorisée par le Client ou par la loi.

D.3 Notification d’une utilisation au-delà du mandat

Terrestream avisera le Client si une utilisation ou une communication de renseignements personnels au-delà de la portée du présent mandat est exigée par la loi ou par une ordonnance judiciaire.

D.4 Catégories de destinataires

Les renseignements personnels communiqués en vertu du présent mandat peuvent être traités par les Sous-traitants ultérieurs identifiés à l’Annexe C, dans les catégories décrites à l’art. P5.2 de la Politique de confidentialité.

D.5 Durée

Le présent mandat demeure en vigueur pour la durée de la relation sous-jacente régie par les CG et est assujetti aux obligations de restitution et de suppression à l’art. 12 de la présente ETD.

D.6 Évaluation transfrontalière

L’évaluation des facteurs relatifs à la vie privée requise par l’art. 17 de la Loi 25 du Québec est résumée à l’art. P8.2 de la Politique de confidentialité et fait partie des garanties documentées en vertu du présent mandat.

D.7 Renvois aux dispositions du corps de l’Entente

Conformément à l’art. 18.3 LPRPSP, le présent mandat incorpore par renvoi : (a) les mesures de sécurité prévues à l’art. 6 et à l’Annexe B (MTO); (b) le régime de sous-traitance prévu à l’art. 7 et à l’Annexe C; (c) les obligations de notification d’art. 10 (Incidents de sécurité et notification de violation); et (d) les droits de vérification prévus à l’art. 11. Ces dispositions du corps de l’Entente s’appliquent au mandat avec les mêmes effets que si elles étaient reproduites dans la présente Annexe.

Signature

La présente ETD est signée par les parties comme suit. Lorsque le Client accepte la présente ETD par l’intermédiaire d’un Bon de commande, la signature sur le Bon de commande constitue la signature de la présente ETD.

Aerodyne Inc., faisant affaire sous le nom de « Terrestream »

Par : ____________________________
Nom :
Titre :
Date :

Client

Par : ____________________________
Nom :
Titre :
Organisation :
Date :