DATA PROCESSING AGREEMENT [Last Updated January 2026] This Data Processing Agreement (“DPA”) is incorporated and forms an integral part of the Software as a Service Agreement and any Service Order (collectively “Agreement”) executed by and between Wevo Energy LTD (“Wevo”), a wholly owned subsidiary of Solaredsge technologies, and the customer identified under the Service Order (“Customer”). Wevo and the Customer shall each be referred to as a “party” and collectively the “parties”. All capitalized terms not defined herein shall have the meaning set forth in the Agreement. The parties have agreed to enter into this DPA to address the compliance obligations imposed upon Wevo and the Customer pursuant to the Data Protection Laws (as defined below). Therefore, this DPA sets forth the parties’ responsibilities and obligations regarding the Processing of Users’ Personal Data during the course of the engagement.
1.1 Un "pays adéquat" est un pays qui a reçu une décision d'adéquation de la part de la Commission européenne.
1.2 "CCPA" désigne le California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 - 1798.199) de 2018, y compris tel que modifié par le California Privacy Rights Act ("CPRA") ainsi que tous les règlements promulgués de temps à autre en vertu de celui-ci.
1.3 The terms “Controller”, “Processor”, “Data Subject”, “Processing” (and “Process“), “Personal Data”, “Personal Data Breach”, “Special Categories of Personal Data” and “Supervisory Authority”, shall all have the same meanings as ascribed to them in the EU Data Protection Law. The terms “Business”, “Business Purpose”, “Consumer”, “Service Provider”, “Contractor”, “Third Party Business”, “Sale”, “Sell” and “Share” shall have the same meaning as ascribed to them in the CCPA. ““Data Subject” shall also mean and refer to “Consumer”, as such term defined under the CCPA, “Personal Data” shall include “Personal Information” under this DPA.
1.4 "Loi sur la protection des données" désigne toutes les lois et réglementations applicables en matière de protection de la vie privée et des données (y compris, le cas échéant, la loi européenne sur la protection des données, les lois britanniques sur la protection des données, les lois suisses sur la protection des données et la CCPA), telles qu'elles peuvent être modifiées ou remplacées de temps à autre.
1.5 "Loi européenne sur la protection des données" désigne (i) le règlement général de l'UE sur la protection des données (règlement 2016/679) ("GDPR") ; (ii) le règlement 2018/1725 ; (iii) la directive de l'UE sur la vie privée et les communications électroniques (directive 2002/58/CE), telle que modifiée (loi sur la vie privée et les communications électroniques) ; (iv) toute loi nationale sur la protection des données adoptée en vertu de, conformément à, remplaçant, adoptant ou succédant à (i) et (ii), y compris la loi sur la protection des données 2018 (DPA 2018), telle que modifiée, et le GDPR tel qu'il fait partie du droit interne au Royaume-Uni en vertu de l'article 3 de la loi de 2018 sur l'Union européenne (retrait) ("UK GDPR"), et la loi fédérale suisse sur la protection des données (datée du 19 juin 1992, en vigueur le 1er mars 2019) ("LPD") ainsi que l'ordonnance relative à la loi fédérale sur la protection des données ("LFPD") ; (v) toute législation remplaçant ou mettant à jour l'une des dispositions précédentes ; et (vi) toute interprétation judiciaire ou administrative de l'une des dispositions ci-dessus, y compris toute orientation contraignante, lignes directrices, codes de pratique, codes de conduite approuvés ou mécanismes de certification approuvés émis par toute autorité de contrôle concernée.
1.6 "Incident de sécurité" : toute destruction, perte, altération, divulgation ou accès non autorisé, accidentel ou illégal, à des données à caractère personnel. Toute violation de données à caractère personnel constitue un incident de sécurité.
1.7 “Standard Contractual Clauses” mean, collectively and as applicable: (i) the standard contractual clauses for the transfer of Personal Data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council adopted by the European Commission Decision 2021/914 of 4 June 2021, which may be found at: Standard Contractual Clauses; (ii) the UK “International Data Transfer Addendum to The European Commission Standard Contractual Clauses” available HERE as adopted, amended or updated by the UK Information Commissioner Office, Parliament or Secretary of State; and (iii) the applicable standard data protection clauses issued, approved or recognized by the Swiss Federal Data Protection and Information Commissioner.
2.1 Les parties conviennent et reconnaissent que, dans le cadre de l'exécution de leurs obligations énoncées dans l'accord, et en ce qui concerne le traitement des données à caractère personnel des utilisateurs :
- En ce qui concerne : (i) les Données Personnelles des Utilisateurs Autorisés ; (ii) les Données Personnelles des Utilisateurs téléchargées par les Utilisateurs Autorisés sur la Plateforme ; et (iii) les Données Personnelles des Utilisateurs Finaux collectées lors de l'utilisation d'une Application de Marque (collectivement les "Données du Client") - Wevo agit en tant que Processeur et Prestataire de Services et le Client agit en tant que Contrôleur et Entreprise.
- En ce qui concerne les Données Personnelles des Utilisateurs Finaux collectées lors de l'utilisation d'une Application Wevo, les parties agiront en tant que co-contrôleurs indépendants (" CCI ") et chacune en tant qu'Entreprise en ce qui concerne certains ensembles de données, comme indiqué plus en détail à l'article 10. Les Données à caractère personnel traitées par Wevo en sa qualité de CCI sont désignées dans le présent document comme les " Données de Wevo ". Chaque partie est individuellement et séparément responsable du respect des obligations qui lui incombent en vertu de la législation applicable en matière de protection des données.
2.2 L'objet et la durée du traitement effectué par le sous-traitant pour le compte du contrôleur, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées sont décrits à l'annexe I ci-jointe.
2.3 Lorsque la CCPA s'applique au Traitement des Données du Client par Wevo en tant que Prestataire de Services, Wevo s'engage à ne pas.. :
(i) vendre ou partager les Données Client ; (ii) conserver, utiliser ou divulguer les Données Client à des fins autres qu'une finalité commerciale spécifiée dans le Contrat ; (iii) combiner les Données Client avec d'autres Données Personnelles qu'elle reçoit de, ou au nom d'un autre client, ou qu'elle recueille lors de ses propres interactions avec les résidents californiens (autres que, le cas échéant, les Utilisateurs du Client utilisant l'Application Wevo), sauf autorisation contraire de la CCPA ; (iv) Wevo autorise le Client à contrôler sa conformité sous réserve de l'article 8 du DPA "Droits d'audit" ; (v) Wevo s'engage à notifier le Client si Wevo détermine qu'elle ne peut plus respecter ses obligations en vertu du présent DPA ou du CCPA ;
(vi) Wevo fournira l'assistance que le Client peut raisonnablement demander, en rapport avec toute obligation du Client de répondre aux demandes d'exercice des droits d'un Consommateur en vertu de la CCPA. En outre, Wevo reconnaît et confirme qu'elle ne reçoit ni ne traite aucune Donnée du Client en contrepartie des Services qu'elle fournit au Client en vertu du Contrat.
3.1 Wevo déclare et garantit qu'elle traitera les Données du Client, au nom du Client (sous réserve de l'article 28 du RGPD), dans le seul but de fournir le Service, conformément aux instructions écrites du Client dans le cadre du Contrat et de la présente DPA. Nonobstant ce qui précède, si Wevo est tenue, en vertu des lois applicables, y compris la Loi sur la protection des données, de traiter les Données du Client autrement que selon les instructions du Client, Wevo fera de son mieux pour informer le Client de cette exigence avant de traiter les Données du Client, sauf si la loi applicable l'interdit.
3.2 Wevo apportera une coopération et une assistance raisonnables au Client afin qu'il puisse se conformer à son obligation de réaliser des études d'impact sur la protection des données en ce qui concerne le Traitement de ses Données Client et de consulter l'Autorité de Surveillance (le cas échéant).
3.3 Le cas échéant, Wevo aidera le Client à s'assurer que les Données Client traitées sont exactes et à jour, en l'informant si elle a connaissance du fait que les Données Client qu'elle traite sont inexactes ou sont devenues obsolètes. Wevo prendra des mesures raisonnables pour garantir : (i) la fiabilité de son personnel et de toute autre personne agissant sous sa supervision et susceptible d'entrer en contact avec les Données du Client ou d'y avoir accès ; (ii) que les personnes autorisées à traiter les Données du Client se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ; et (iii) que ce personnel est conscient des responsabilités qui lui incombent en vertu du présent DPA et de toute loi applicable en matière de protection des données.
4.1 Il est convenu que lorsque Wevo reçoit une demande d'une Personne concernée ou d'une autorité compétente concernant les Données Client, le cas échéant, Wevo dirigera la Personne concernée ou l'autorité compétente vers le Client afin de permettre à ce dernier de répondre directement à la demande de la Personne concernée ou de l'autorité compétente, sauf disposition contraire prévue par les lois en vigueur. Les Parties se fourniront mutuellement une coopération et une assistance commercialement raisonnables en ce qui concerne le traitement de la demande d'une personne concernée ou d'une autorité compétente, dans la mesure où la Loi sur la protection des données le permet.
5.1 Le Client reconnaît et accepte que Wevo puisse transférer les Données du Client à des sous-traitants tiers (" Sous-Traitants ") et interagir avec eux.
5.2 Where the European Data Protection Laws apply – the Customer hereby authorizes Wevo to engage and appoint such Sub-Processors as listed in Annex II, to Process Customer Data, as well as permits each Sub-Processor to appoint a Sub-Processor on its behalf. Where Wevo may engage an additional or replace an existing Sub-Processors to process Customer Data, subject to the provision of a ten (10) days prior notice of its intention to do so to the Customer. In case the Customer has not objected to the adding or replacing of a Sub-Processor within the aforesaid prior notice period, such Sub-Processor shall be considered approved by the Customer. In the event the Customer objects to the adding or replacing of a Sub-Processor, where such objection can be made solely on reasonably grounds related to non-compliance with Data Protection Laws, Wevo may, under Wevo’ sole discretion, suggest the engagement of a different Sub-Processor, or otherwise terminate the Agreement.
5.3 Lorsqu'elle engage un Sous-Traitant, Wevo lui impose, par le biais d'un contrat juridiquement contraignant, des obligations en matière de protection des données similaires à celles énoncées dans le présent DPA. Wevo reste responsable vis-à-vis du Client de l'exécution des obligations du Sous-Traitant conformément au présent DPA.
6.1 En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, et sans préjudice de toute autre norme de sécurité convenue par les parties, Wevo mettra en œuvre et maintiendra des mesures physiques, techniques et organisationnelles appropriées pour protéger les Données du Client comme l'exigent les Lois sur la protection des données.
7.1 Wevo informera le Client dès qu'elle aura connaissance d'un Incident de Sécurité confirmé impliquant les Données du Client en possession ou sous le contrôle de Wevo. La notification ou la réponse de Wevo à un Incident de Sécurité ne sera pas interprétée comme une reconnaissance par Wevo d'une faute ou d'une responsabilité en ce qui concerne l'Incident de Sécurité.
7.2 Wevo will: (i) take necessary steps to remediate, minimize any effects of and investigate any Security Incident and to identify its cause; (ii) co-operate with the Customer and provide the Customer with such reasonable assistance and information as it may reasonably require in connection with the containment, investigation, remediation or mitigation of the Security Incident; and (iii) reasonably co- operate with the Customer and assist Customer with its obligation to notify the affected individuals in the case of a Security Incident.
8.1 Wevo tiendra des registres des activités de traitement des Données du Client effectuées dans le cadre du présent DPA et mettra ces registres à la disposition du Client et des autorités de contrôle compétentes sur demande écrite. Ces registres seront considérés comme des Informations Confidentielles de Wevo et seront soumis à des obligations de confidentialité.
8.2 Dans le cas où les registres et la documentation fournis conformément à la Section 8.1 ci-dessus ne sont pas suffisants, Wevo mettra à la disposition d'un auditeur de bonne réputation désigné par le Client, uniquement moyennant un préavis écrit raisonnable et pas plus d'une fois par an, les informations nécessaires pour démontrer de manière raisonnable le respect du présent DPA dans le cadre du rôle de Wevo en tant que Sous-traitant, et autorisera des audits, y compris des inspections, par cet auditeur de bonne réputation uniquement en rapport avec le Traitement des Données du Client (à condition que le Client ne soit pas autorisé à accéder aux systèmes de Wevo) ("Audit") conformément aux conditions générales du présent DPA. L'auditeur sera soumis aux dispositions du présent DPA et aux obligations de confidentialité habituelles (y compris à l'égard des tiers). Wevo peut s'opposer à un auditeur désigné par le Client si Wevo estime raisonnablement que l'auditeur n'est pas suffisamment qualifié ou indépendant, qu'il est un concurrent de Wevo ou qu'il n'est pas approprié pour d'autres raisons ("Avis d'opposition"). Le Client désignera un autre auditeur ou procédera lui-même à l'Audit dès réception d'une Notification d'Opposition de Wevo. Le Client supportera toutes les dépenses liées à l'Audit et évitera (et veillera à ce que chacun de ses auditeurs évite) de causer des dommages, des blessures ou des perturbations aux locaux, à l'équipement, au personnel et aux activités de Wevo pendant que son personnel se trouve dans ces locaux au cours de l'Audit. Toutes les conclusions de cet audit seront confidentielles et communiquées immédiatement à Wevo.
9.1 Where the GDPR, UK GDPR or the Swiss FADP is applicable, if the Processing of Personal Data by Wevo in its role as a Processor to a Sub-Processor includes transfer of Personal Data to a third country outside the European Economic Area (“EEA”), the UK and Switzerland that is not an Adequate Country, such transfer shall only occur if an appropriate safeguard approved by the applicable Data Protection Law (the GDPR (Article 46), UK GDPR (Article 46) or Swiss FADP (as applicable)) for the lawful transfer of Personal Data under is in place.
10.1 Lorsque les parties sont la CCI : (i) Il est précisé qu'en aucun cas les parties ne traiteront les données en tant que responsables conjoints du traitement. Chaque partie est individuellement et séparément responsable du respect des obligations qui lui incombent, conformément aux lois sur la protection des données ; (ii) si une partie reçoit une demande d'une personne concernée ou d'une autorité compétente concernant des données à caractère personnel traitées par les parties en tant que CCI, elle notifiera cette demande à l'autre partie et, le cas échéant, dirigera la personne concernée ou l'autorité compétente vers l'autre partie ; (iii) chaque partie notifiera à l'autre partie tout incident de sécurité concernant les données à caractère personnel qu'elle traite en tant que CCI.
11.1 This DPA shall be effective as of the Effective Date (as defined in the agreement) and shall remain in force until the Agreement terminates. Wevo shall be entitled to terminate this DPA or terminate the Processing of Customer Data in the event that Processing of Customer Data under the Customer’s instructions or this DPA infringe applicable legal requirements. Following the termination of this DPA, Wevo shall, at the choice of the Customer, delete all Customer Data processed on behalf of the Customer and certify to the Customer that it has done so, or, return all Customer Data to the Customer and delete existing copies, unless applicable law or regulatory requirements requires that Wevo continue to store Customer Data.
11.2 In the event of a conflict between the terms and conditions of this DPA and the Agreement, this DPA shall prevail. For the avoidance of doubt, in the event Standard Contractual Clauses have been executed between the parties, the terms of the Standard Contractual Clauses shall prevail over those of this DPA. Except as set forth herein, all of the terms and conditions of the Terms shall remain in full force and effect. ANNEX I – DETAILS OF PROCESSING This Annex includes certain details of the Processing of Customer Data as required by Article 28(3) GDPR. Categories of Data Subjects: Authorized Users and Users, as defined under the Agreement. Categories of Personal Data processed: Credentials; contact information; authentication and security credentials; online identifiers; address and parking space; payment information; Charger’s usage information. Special Categories of Personal Data: None. Nature of the processing: Collection, storage, organization, communication, transfer, host and other uses in performance of the Services as set out in the Agreement. Purpose(s) of Processing: To provide the Service. Retention Period: For as long as is necessary to provide the Service by Wevo; provided there is no legal obligation to retain the Personal Data past termination or unless otherwise requested by the Customer. Process Frequency: Continuous basis ANNEX II – LIST OF SUB-PROCESSORS Name Servers Address Description of the processing Amazon Web Services (AWS) EU hosting and storage Intercom, inc. EU/US Cloud based customer support and messaging. Coralogix Ltd EU Analytics Pipedrive EU/US CRM sales tool Stripe EU/US Payment processing Grow EU Payment processing Retell AI US AI support agent
La présente annexe contient certains détails sur le traitement des données relatives aux clients, conformément à l'article 28, paragraphe 3, du RGPD.
Categories of Data Subjects:
Authorized Users and Users, as defined under the Agreement.
Categories of Personal Data processed:
Credentials; contact information; authentication and security credentials; online identifiers; address and parking space; payment information; Charger’s usage information.
Special Categories of Personal Data:
None.
Nature of the processing:
Collection, storage, organization, communication, transfer, host and other uses in performance of the Services as set out in the Agreement.
Purpose(s) of Processing:
To provide the Service.
Retention Period:
For as long as is necessary to provide the Service by Wevo; provided there is no legal obligation to retain the Personal Data past termination or unless otherwise requested by the Customer.
Process Frequency:
Continuous basis
|
Nom |
Adresse des serveurs |
Description du traitement |
|
Amazon Web Services (AWS) |
L'UE |
hébergement et stockage |
|
Intercom, inc. |
UE/ÉTATS-UNIS |
Assistance à la clientèle et messagerie basées sur le cloud. |
|
Coralogix Ltd |
L'UE |
Analyse |
|
Pipedrive |
UE/ÉTATS-UNIS |
Outil de vente CRM |
|
Rayure |
UE/ÉTATS-UNIS |
Traitement des paiements |
|
Croître |
L'UE |
Traitement des paiements |
|
Retell AI |
US |
AI support agent |
Last Updated: December 2025
This Annex forms part of the Data Processing Agreement (“DPA”) between Wevo Energy Ltd. (“Processor”) and the Customer (“Controller”).
1.1 Information Security Management
Wevo Energy maintains an Information Security Management System (ISMS) certified to the following international standards:
| Certification | Scope | Certification Body |
| ISO/IEC 27001 | Information Security Management System | SII (Standards Institution of Israel) |
| ISO/IEC 27017 | Cloud Security Controls | SII (Standards Institution of Israel) |
| ISO/IEC 27018 | Protection of PII in Public Clouds | SII (Standards Institution of Israel) |
Certificates are available upon request and are subject to annual surveillance audits and triennial recertification.
2.1 Encryption
| Measure | Implementation |
| Data at Rest | AES-256 encryption for all stored Personal Data |
| Data in Transit | TLS 1.2 or higher for all data transmissions |
| Key Management | Encryption keys managed through AWS KMS with automatic rotation |
| Database Encryption | Transparent Data Encryption (TDE) enabled on all production databases |
2.2 Access Control
| Measure | Implementation |
| Authentication | Multi-factor authentication (MFA) required for all administrative access |
| Authorization | Role-based access control (RBAC) with principle of least privilege |
| Password Policy | Minimum 12 characters, complexity requirements, 90-day rotation |
| Session Management | Automatic session timeout after 15 minutes of inactivity |
| Privileged Access | Just-in-time privileged access for administrative functions |
| Access Reviews | Quarterly access reviews for all systems containing Personal Data |
2.3 Network Security
| Measure | Implementation |
| Firewalls | Web Application Firewall (WAF) and network firewalls (AWS security groups) with default-deny policies |
| Segmentation | Network segmentation between production, development, and corporate environments |
| Intrusion Detection | IDS/IPS monitoring with 24/7 alerting (AWS GuardDuty) |
| DDoS Protection | AWS Shield and CloudFront for DDoS mitigation |
| VPN | Encrypted VPN required for all remote administrative access |
2.4 Application Security
| Measure | Implementation |
| Secure Development | Secure Software Development Lifecycle (SSDLC) practices |
| Code Reviews | Mandatory peer code reviews before production deployment |
| Vulnerability Scanning | Automated vulnerability scanning in CI/CD pipeline |
| Penetration Testing | Annual third-party penetration testing |
| Dependency Mgmt | Automated scanning for vulnerable dependencies |
2.5 Infrastructure Security
| Measure | Implementation |
| Cloud Provider | Amazon Web Services (AWS) EU Region (Frankfurt) |
| Hardening | CIS Benchmark hardening standards applied |
| Patch Management | Critical patches applied within 72 hours; routine patches within 30 days |
| Logging | Centralized logging with minimum 12-month retention |
| Monitoring | Real-time security monitoring via Coralogix SIEM (AWS Ireland) |
2.6 Security Assessments
| Measure | Implementation |
| Internal Audits | Annual internal ISMS audits |
| Vulnerability Assessments | Quarterly vulnerability assessments |
| Penetration Testing | Annual penetration testing by qualified third parties |
| Third-Party Audits | Annual ISO 27001/27017/27018 surveillance audits |
| SOC 2 Report | SOC 2 Type II report available upon request under NDA |
3.1 Information Security Governance
| Measure | Implementation |
| Security Leadership | Designated Chief Security Officer (CSO) |
| ISMS Framework | Documented ISMS policies and procedures aligned with ISO 27001 |
| Risk Management | Annual risk assessments with documented risk treatment plans |
| Policy Review | Annual review and update of all security policies |
3.2 Personnel Security
| Measure | Implementation |
| Confidentiality | NDAs and confidentiality clauses in all employment contracts |
| Security Training | Mandatory annual security awareness training |
| Specialized Training | Role-specific security training for technical personnel |
| Termination Procedures | Immediate access revocation upon termination; exit procedures documented |
3.3 Physical Security
| Measure | Implementation |
| Data Center Security | AWS data centers with SOC 2 Type II certification |
| Physical Access | Badge access, visitor logging, CCTV monitoring at office locations |
| Clean Desk Policy | Enforced clean desk policy for all personnel |
| Media Disposal | Secure destruction of media containing Personal Data |
4.1 Data Segregation
Personal Data is logically segregated by customer using:
Unique tenant identifiers
Application-level access controls
4.2 Data Backup and Recovery
| Measure | Implementation |
| Backup Frequency | Daily automated backups with point-in-time recovery |
| Backup Encryption | All backups encrypted at rest using AES-256 |
| Backup Testing | Quarterly backup restoration testing |
| Geographic Redundancy | Backups replicated across multiple AWS Availability Zones |
| Retention | Backup retention per contractual requirements (minimum 30 days) |
4.3 Data Deletion
Upon termination of the Agreement or upon Controller’s request:
Personal Data is deleted within 30 days.
Deletion is confirmed via written certification.
Backups are purged according to retention schedule (maximum 90 days).
Data Protection Officer:
SolarEdge Technologies Ltd.
Email: DPO@solaredge.com
Security Inquiries:
Wevo Energy Ltd.
Email: info@wevo.energy
This Annex is subject to periodic review and update. The Processor shall notify the Controller of any material changes to the security measures described herein.
Parlez à notre spécialiste
