Addendum sur le traitement des données (DPA) — MultiLipi

Date d’entrée en vigueur : 10 sept. 2025

Le présent ATD fait partie de l’accord entre MultiLipi Technologies Private Limited ("MultiLipi ") and the entity identified in the Order/Subscription ("Client "). It governs MultiLipi's processing of Personal Data on behalf of Customer under applicable Data Protection Laws, including the GDPR and UK GDPR. See also our Politique de confidentialité et actuel Sous-traitants ultérieurs .

1) Définitions

Capitalized terms not defined here have the meaning in the Agreement. "Lois sur la protection des données » désigne l’ensemble des lois et réglementations applicables au Traitement des Données à caractère personnel en vertu de l’Accord, y compris le RGPD (UE) 2016/679 et le RGPD britannique, ainsi que toute loi locale de mise en œuvre. Données personnelles ", " Contrôleur ", " Processeur ", " Personne concernée ", " Traitement », et « Supervisory Authority» ont le sens du RGPD.

« Données sensibles » means information requiring extra protection or subject to special rules (for example: special‑category data under GDPR Article 9 such as health/biometric/genetic data; personal data of children under 16; government‑issued identifiers; financial account or payment data; precise geolocation; or credentials/passwords/API keys/secrets). The Services are not designed to process Sensitive Data.

2) Portée et rôles

  1. Le client est un Contrôleur , et MultiLipi est un Processeur en ce qui concerne les données personnelles décrites dans Annexe I .
  2. Lorsque le Client agit en tant que Sous-traitant pour un Responsable de traitement tiers, MultiLipi agit en tant que Sous-traitant ultérieur . Customer warrants it has the Controller's authorization to appoint MultiLipi.
  3. MultiLipi traitera les données personnelles uniquement : (a) pour fournir les services ; (b) tel que documenté par le Client dans le Contrat et le présent ATD ; et (c) comme l’exige la loi.

3) Instructions pour le client

  1. Le Client demande à MultiLipi de traiter les Données à caractère personnel afin de fournir et d’améliorer les Services (dans le respect de la confidentialité), y compris la traduction, le routage par langue, le glossaire/TM, la traduction multimédia, l’analyse et les fonctionnalités de référencement activées par le Client.
  2. Customer will not submit or cause the Services to Process Données sensibles . If Customer nevertheless submits Sensitive Data, Customer is solely responsible for obtaining all necessary consents and safeguards; MultiLipi has no obligation to monitor for Sensitive Data.
  3. MultiLipi will notify Customer if it cannot follow instructions due to a legal requirement, unless prohibited.
  4. MultiLipi will not sell Personal Data, nor use it to build or train generalized AI models without Customer's explicit opt‑in.

4) Confidentiality

MultiLipi ensures persons authorized to Process Personal Data are bound by confidentiality obligations and receive appropriate data protection training.

5) Security Measures

MultiLipi met en œuvre et maintient des mesures techniques et organisationnelles appropriées (« Toms ») pour protéger les données personnelles telles que décrites dans Annexe II , en tenant compte de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités des Traitements, ainsi que des risques pour les droits et libertés des personnes physiques.

6) Sous-traitants ultérieurs

  1. Le Client fournit une autorisation générale à MultiLipi d’engager des Sous-traitants ultérieurs pour fournir les Services. Les sous-traitants actuels sont répertoriés à l’adresse suivante /légaux/sous-traitants ultérieurs .
  2. MultiLipi imposera aux Sous-traitants ultérieurs des obligations de protection des données équivalentes au présent ATD et reste responsable de leur exécution.
  3. If Unsatisfied with the Subprocessors, Customer must contact MultiLipi and provide an opportunity to object on reasonable grounds related to data protection. If unresolved in good faith, Customer may suspend or terminate the affected Services (pro‑rata refund of prepaid fees).

7) Assistance, AIPD et consultations préalables

Taking into account the nature of Processing and information available to MultiLipi, we will assist Customer in ensuring compliance with obligations under Articles 32–36 GDPR (security, breach notifications, DPIAs and prior consultations), including by providing relevant documentation about our TOMs and subprocessors.

8) Notification de violation de données personnelles

  1. MultiLipi informera le Client without undue delayaprès avoir pris connaissance d’une Violation de Données à caractère personnel affectant les Données du Client. La notification comprendra des informations raisonnablement disponibles pour MultiLipi à ce moment-là, notamment : la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d’enregistrements, les conséquences probables et les mesures prises ou proposées pour remédier à la violation.
  2. MultiLipi will promptly take steps to mitigate adverse effects and cooperate with Customer's reasonable requests to meet any breach notification obligations.

9) Demandes des personnes concernées

To the extent legally permitted, MultiLipi will promptly notify Customer if we receive a request from a Data Subject exercising rights under Data Protection Laws relating to Customer Data. MultiLipi will not respond except on Customer's documented instructions and will provide reasonable assistance for Customer to respond to such requests.

10) Retour et suppression des données

  1. On Customer's documented request, MultiLipi will delete or return all Personal Data (and delete existing copies) within a commercially reasonable period, unless retention is required by law.
  2. Backups are overwritten on scheduled cycles; deletion from backups will occur in the ordinary course.

11) Transferts internationaux de données (CCT/addendum du Royaume-Uni)

  1. Transferts EEE. Where Processing involves a transfer of Personal Data subject to GDPR to a third country without an adequacy decision, the parties agree that the Clauses contractuelles types approuvée par la Commission européenne dans la décision (UE) 2021/914 (la « Sccs ») sont incorporés par renvoi et font partie du présent ATD, comme indiqué ci-dessous :
    • Module 2 (Responsable du traitement vers Sous-traitant) et/ou Module 3 (Sous-traitant vers Sous-traitant ultérieur), selon le cas.
    • Article 7 (clause d’accostage) : S' applique .
    • Article 11 (Réparation) : ne le fait pas appliquer.
    • Article 17 (Droit applicable) : lois de Irlande .
    • Article 18 (Forum et compétence) : tribunaux Irlande .
    • Les annexes I à III des CCT sont complétées par les informations figurant dans Annexe I , Annexe II et Annexe III du présent ATD.
  2. Transferts au Royaume-Uni. Pour les transferts soumis au RGPD du Royaume-Uni, les parties conviennent de l’addendum B de l’ICO sur le transfert international de données (IDTA) aux CCT de l’UE, incorporé par référence. En cas de conflit, l’addendum britannique prévaut pour les transferts au Royaume-Uni.
  3. Virements suisses. For transfers subject to the Swiss FADP, references to the GDPR in the SCCs shall be read as references to the FADP; references to EU Member States become Switzerland; and the competent authority is the FDPIC.

13) Liability & Indemnity

Liability under this DPA is subject to the limitations and exclusions of liability in the Agreement, except to the extent prohibited by applicable law. Each party shall be liable for its own acts and omissions under Data Protection Laws.

14) Divers

  1. En cas de conflit entre le présent ATD et l’Accord, le présent ATD prévaut dans la mesure du conflit en matière de protection des données.
  2. Si l’une quelconque des dispositions du présent ATD est jugée invalide, le reste reste en vigueur.
  3. MultiLipi peut mettre à jour le présent ATD pour refléter les modifications apportées à la loi ou à nos Services.

Annexe I — Description du traitement

A. Parties

Exportateur de données Client (contrôleur) — détails selon la commande/l’abonnement.
Importateur de données MultiLipi Technologies Private Limited (Processor). Contact: privacy@multilipi.com

B. Détails du traitement

Contenu Fourniture des services de référencement et de traduction multilingues MultiLipi.
Durée Pendant la durée du Contrat et si cela est nécessaire pour la suppression/le retour et les sauvegardes.
Nature et objectif Processing to deliver features selected by Customer (translation, language routing, glossary/TM, media translation, analytics, SEO), support, billing, and security. Flux de traduction : to provide translations, the textual content of Customer’s webpages is transmitted to MultiLipi’s servers and to our third‑party translation provider (e.g., Azure Translation Services) acting as our Subprocessor. For performance optimization and caching, MultiLipi may store the original text and its corresponding translation.
Catégories de personnes concernées Customer personnel (admins, users), Customer's end users/visitors, and any individuals whose data appears in content provided by Customer.
Catégories de données personnelles Données de contact (nom, e-mail), identifiants de compte, journaux d’utilisation (IP, user-agent, horodatage), contenu fourni pour la traduction/localisation (peut incidemment contenir des données personnelles), préférences (par exemple, la langue), identifiants de facturation (gérés par le processeur de paiement).
Sensitive data (if any)Not required for the Services. Customer must not submit Données sensibles ; the Services are not designed to process it.
Fréquence Continuous, as initiated by Customer's use of the Services.
Rétention Comme spécifié dans la Politique de confidentialité et l’Accord ; conservés pas plus longtemps que nécessaire aux fins prévues, puis supprimés ou anonymisés.
Transferts Comme décrit à l’article 12 du présent ATD.

C. Competent Supervisory Authority

For the SCCs, the competent authority is determined in accordance with Clause 13 of the SCCs (e.g., the authority of the Member State of Customer's main EU establishment or Data Subjects).

Annexe II — Mesures techniques et organisationnelles (TOM)

  1. Information Security Program. Written policies covering access control, data handling, incident response, change management, vendor risk, and secure development.
  2. Contrôle d’accès. Accès basé sur les rôles, moindre privilège, authentification forte, MFA pour les administrateurs, gestion des sessions, révisions régulières des accès, révocation immédiate en cas de changement/résiliation de rôle.
  3. Chiffrement. TLS for data in transit; encryption of stored secrets and keys; key rotation and limited access to key material.
  4. Network & Application Security.Réseaux segmentés ; pare-feu/WAF ; Protections DDoS (via CDN/edge le cas échéant) ; durcissement des lignes de base ; SDLC sécurisé, y compris la révision du code et l’analyse des dépendances.
  5. Logging & Monitoring. Centralized logging of security-relevant events; alerting on anomalies; time synchronization; tamper-resistant log storage.
  6. Vulnerability & Patch Management. Regular vulnerability scanning; timely remediation; third‑party testing as appropriate.
  7. Business Continuity & Disaster Recovery. Redundant infrastructure for critical components; tested backups; documented RTO/RPO targets.
  8. Ségrégation des données. Séparation logique des environnements et des données des clients.
  9. Personnel Security & Training. Background checks as permitted by law; onboarding/annual security and privacy training; confidentiality undertakings.
  10. Réponse aux incidents. Documented plan with defined roles, triage, containment, eradication, recovery, lessons learned, and customer notification workflows.
  11. Gestion des fournisseurs et des sous-traitants. Risk-based assessment, contractual security/privacy obligations, continuous monitoring.
  12. Physical Security. Data centers operated by vetted providers with industry-standard controls (badging, CCTV, visitor logs).
  13. Minimisation des données. Collect only what is necessary; retention limits; anonymization/pseudonymization where suitable.
  14. Contrôles du client. Admin tools for access management; audit trails in the dashboard (where available); API key management; MFA support.

Annexe III — Sous-traitants ultérieurs

La liste actuelle des Sous-traitants ultérieurs approuvés est tenue à l’adresse https://multilipi.com/legal/subprocessors. Pour chaque Sous-traitant ultérieur, MultiLipi divulguera : le nom, la finalité, le(s) lieu(x) de traitement et le mécanisme de transfert (par exemple, les CCT).

Signatures

Client MultiLipi Technologies Private Limited
Nom:___________________________
Title: ___________________________
Date:___________________________
Signature:______________________ 		Nom : Kunal Singh Shekhawat
Title: Co-Founder @MultiLipi
Date de l’expédition : 09/10/2025
Signature: Signature de Kunal Singh Shekhawat

En signant, les parties conviennent que les CCT de l’UE (Décision (UE) 2021/914) et, le cas échéant, l’Addendum sur le transfert international de données du Royaume-Uni, sont incorporés par référence et complétés comme indiqué dans le présent ATD.