Addendum sur le traitement des données (DPA) — MultiLipi

Date d’entrée en vigueur : 10 sept. 2025

Le présent ATD fait partie de l’accord entre MultiLipi Technologies Privée Limitée ("MultiLipi ») et l’entité identifiée dans l’Ordre/Abonnement (« Client "). Elle régit le traitement des données personnelles par MultiLipi au nom du client en vertu des lois applicables sur la protection des données, y compris le RGPD et le RGPD britannique. Voir aussi notre Politique de confidentialité et actuel Sous-traitants ultérieurs .

1) Définitions

Les termes majuscules non définis ici ont la signification de l’Accord. " Lois sur la protection des données » désigne l’ensemble des lois et réglementations applicables au Traitement des Données à caractère personnel en vertu de l’Accord, y compris le RGPD (UE) 2016/679 et le RGPD britannique, ainsi que toute loi locale de mise en œuvre. Données personnelles ", " Contrôleur ", " Processeur ", " Personne concernée ", " Traitement », et « Autorité de surveillance » ont le sens du RGPD.

« Données sensibles » désigne des informations nécessitant une protection supplémentaire ou soumises à des règles particulières (par exemple : données de catégorie spéciale selon l’article 9 du RGPD, telles que données de santé/biométriques/génétiques ; données personnelles d’enfants de moins de 16 ans ; identifiants émis par le gouvernement ; données de comptes financiers ou de paiement ; géolocalisation précise ; ou identifiants/mots de passe/clés API/secrets). Les services ne sont pas conçus pour traiter des données sensibles.

2) Portée et rôles

  1. Le client est un Contrôleur , et MultiLipi est un Processeur en ce qui concerne les données personnelles décrites dans Annexe I .
  2. Lorsque le Client agit en tant que Sous-traitant pour un Responsable de traitement tiers, MultiLipi agit en tant que Sous-traitant ultérieur . Le client garantit qu’il a l’autorisation du Contrôleur pour nommer MultiLipi.
  3. MultiLipi traitera les données personnelles uniquement : (a) pour fournir les services ; (b) tel que documenté par le Client dans le Contrat et le présent ATD ; et (c) comme l’exige la loi.

3) Instructions pour le client

  1. Le Client demande à MultiLipi de traiter les Données à caractère personnel afin de fournir et d’améliorer les Services (dans le respect de la confidentialité), y compris la traduction, le routage par langue, le glossaire/TM, la traduction multimédia, l’analyse et les fonctionnalités de référencement activées par le Client.
  2. Le client ne soumettra pas et ne fera pas traiter les services Données sensibles . Si le client soumet néanmoins des données sensibles, le client est seul responsable de l’obtention de tous les consentements et garanties nécessaires ; MultiLipi n’a aucune obligation de surveiller les données sensibles.
  3. MultiLipi informera le client s’il ne peut pas suivre les instructions en raison d’une obligation légale, sauf interdiction.
  4. MultiLipi ne vendra pas de données personnelles, ni ne les utilisera pour construire ou entraîner des modèles d’IA généralisés sans l’adhésion explicite du client.

4) Confidentialité

MultiLipi veille à ce que les personnes autorisées à traiter les données personnelles soient tenues par des obligations de confidentialité et reçoivent une formation appropriée à la protection des données.

5) Mesures de sécurité

MultiLipi met en œuvre et maintient des mesures techniques et organisationnelles appropriées (« Toms ») pour protéger les données personnelles telles que décrites dans Annexe II , en tenant compte de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités des Traitements, ainsi que des risques pour les droits et libertés des personnes physiques.

6) Sous-traitants ultérieurs

  1. Le Client fournit une autorisation générale à MultiLipi d’engager des Sous-traitants ultérieurs pour fournir les Services. Les sous-traitants actuels sont répertoriés à l’adresse suivante /légaux/sous-traitants ultérieurs .
  2. MultiLipi imposera aux Sous-traitants ultérieurs des obligations de protection des données équivalentes au présent ATD et reste responsable de leur exécution.
  3. En cas de insatisfaction des sous-traiteurs, le client doit contacter MultiLipi et offrir la possibilité de s’opposer sur des motifs valables liés à la protection des données. Si cela n’est pas résolu de bonne foi, le client peut suspendre ou résilier les services concernés (remboursement prorata des frais prépayés).

7) Assistance, AIPD et consultations préalables

En tenant compte de la nature du traitement et des informations disponibles pour MultiLipi, nous assisterons le Client à garantir le respect des obligations prévues par les articles 32–36 du RGPD (sécurité, notifications de violation, DPIA et consultations préalables), notamment en fournissant la documentation pertinente concernant nos TOM et sous-traiteurs.

8) Notification de violation de données personnelles

  1. MultiLipi informera le Client sans délai excessif après avoir pris connaissance d’une Violation de Données à caractère personnel affectant les Données du Client. La notification comprendra des informations raisonnablement disponibles pour MultiLipi à ce moment-là, notamment : la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d’enregistrements, les conséquences probables et les mesures prises ou proposées pour remédier à la violation.
  2. MultiLipi prendra rapidement des mesures pour atténuer les effets négatifs et coopérera avec les demandes raisonnables des clients pour respecter toute obligation de notification de violation.

9) Demandes des personnes concernées

Dans la mesure où la loi est autorisée, MultiLipi informera rapidement le client si nous recevons une demande d’une personne concernée exerçant des droits en vertu des lois sur la protection des données relatives aux données clients. MultiLipi ne répondra que sur les instructions documentées du Client et fournira une assistance raisonnable pour répondre à de telles demandes.

10) Retour et suppression des données

  1. À la demande documentée du client, MultiLipi supprimera ou retournera toutes les données personnelles (et supprimera les copies existantes) dans un délai commercialement raisonnable, sauf si la loi exige la conservation.
  2. Les sauvegardes sont écrasées lors des cycles programmés ; La suppression des sauvegardes se fera dans le cours normal.

11) Transferts internationaux de données (CCT/addendum du Royaume-Uni)

  1. Transferts EEE. Lorsque le traitement implique un transfert de données personnelles sous réserve du RGPD vers un pays tiers sans décision d’adéquation, les parties conviennent que le Clauses contractuelles types approuvée par la Commission européenne dans la décision (UE) 2021/914 (la « Sccs ») sont incorporés par renvoi et font partie du présent ATD, comme indiqué ci-dessous :
    • Module 2 (Responsable du traitement vers Sous-traitant) et/ou Module 3 (Sous-traitant vers Sous-traitant ultérieur), selon le cas.
    • Article 7 (clause d’accostage) : S' applique .
    • Article 11 (Réparation) : ne le fait pas appliquer.
    • Article 17 (Droit applicable) : lois de Irlande .
    • Article 18 (Forum et compétence) : tribunaux Irlande .
    • Les annexes I à III des CCT sont complétées par les informations figurant dans Annexe I , Annexe II et Annexe III du présent ATD.
  2. Transferts au Royaume-Uni. Pour les transferts soumis au RGPD du Royaume-Uni, les parties conviennent de l’addendum B de l’ICO sur le transfert international de données (IDTA) aux CCT de l’UE, incorporé par référence. En cas de conflit, l’addendum britannique prévaut pour les transferts au Royaume-Uni.
  3. Virements suisses. Pour les transferts soumis au FADP suisse, les références au RGPD dans les SCS doivent être interprétées comme des références au FADP ; les références aux États membres de l’UE deviennent la Suisse ; et l’autorité compétente est le FDPIC.

13) Responsabilité et indemnité

La responsabilité en vertu de cette DPA est soumise aux limitations et exclusions de responsabilité prévues par l’Accord, sauf dans la mesure où la loi applicable est interdite. Chaque partie est responsable de ses propres actes et omissions en vertu des lois sur la protection des données.

14) Divers

  1. En cas de conflit entre le présent ATD et l’Accord, le présent ATD prévaut dans la mesure du conflit en matière de protection des données.
  2. Si l’une quelconque des dispositions du présent ATD est jugée invalide, le reste reste en vigueur.
  3. MultiLipi peut mettre à jour le présent ATD pour refléter les modifications apportées à la loi ou à nos Services.

Annexe I — Description du traitement

A. Parties

Exportateur de données Client (contrôleur) — détails selon la commande/l’abonnement.
Importateur de données MultiLipi Technologies Private Limited (Processeur). Contact : privacy@multilipi.com

B. Détails du traitement

Contenu Fourniture des services de référencement et de traduction multilingues MultiLipi.
Durée Pendant la durée du Contrat et si cela est nécessaire pour la suppression/le retour et les sauvegardes.
Nature et objectif Traitement pour fournir les fonctionnalités sélectionnées par le Client (traduction, routage linguistique, glossaire/TM, traduction média, analyses, SEO), support, facturation et sécurité. Flux de traduction : pour fournir des traductions, le contenu textuel des pages web des clients est transmis aux serveurs de MultiLipi et à notre fournisseur tiers de traduction (par exemple, Azure Translation Services) agissant en tant que sous-traiteur. Pour l’optimisation des performances et la mise en cache, MultiLipi peut stocker le texte original et sa traduction correspondante.
Catégories de personnes concernées Le personnel client (administrateurs, utilisateurs), les utilisateurs/visiteurs finaux du client, ainsi que toute personne dont les données apparaissent dans le contenu fourni par le client.
Catégories de données personnelles Données de contact (nom, e-mail), identifiants de compte, journaux d’utilisation (IP, user-agent, horodatage), contenu fourni pour la traduction/localisation (peut incidemment contenir des données personnelles), préférences (par exemple, la langue), identifiants de facturation (gérés par le processeur de paiement).
Données sensibles (le cas échéant) Ce n’est pas obligatoire pour les Services. Le client ne doit pas soumettre Données sensibles ; les services ne sont pas conçus pour le traiter.
Fréquence Continu, initié par l’utilisation des services par le client.
Rétention Comme spécifié dans la Politique de confidentialité et l’Accord ; conservés pas plus longtemps que nécessaire aux fins prévues, puis supprimés ou anonymisés.
Transferts Comme décrit à l’article 12 du présent ATD.

C. Autorité de surveillance compétente

Pour les CSS, l’autorité compétente est déterminée conformément à l’article 13 des CSS (par exemple, l’autorité de l’État membre du principal établissement européen du client ou des personnes concernées).

Annexe II — Mesures techniques et organisationnelles (TOM)

  1. Programme de sécurité de l’information. Politiques écrites couvrant le contrôle d’accès, la gestion des données, la réponse aux incidents, la gestion du changement, les risques pour les fournisseurs et le développement sécurisé.
  2. Contrôle d’accès. Accès basé sur les rôles, moindre privilège, authentification forte, MFA pour les administrateurs, gestion des sessions, révisions régulières des accès, révocation immédiate en cas de changement/résiliation de rôle.
  3. Chiffrement. TLS pour les données en transit ; le chiffrement des secrets et clés stockés ; rotation des clés et accès limité au matériel clé.
  4. Sécurité réseau et application. Réseaux segmentés ; pare-feu/WAF ; Protections DDoS (via CDN/edge le cas échéant) ; durcissement des lignes de base ; SDLC sécurisé, y compris la révision du code et l’analyse des dépendances.
  5. Journalisation et surveillance. Journalisation centralisée des événements liés à la sécurité ; alerter en cas d’anomalies ; synchronisation temporelle ; Stockage de billes résistant à la falsification.
  6. Gestion des vulnérabilités et des correctifs. Analyse régulière des vulnérabilités ; la remise en état en temps voulu ; Tests tiers selon le cas.
  7. Continuité des activités et reprise après sinistre. Infrastructure redondante pour les composants critiques ; testé les sauvegardes ; des cibles RTO/RPO documentées.
  8. Ségrégation des données. Séparation logique des environnements et des données des clients.
  9. Sécurité et formation du personnel. Vérifications des antécédents telles que permises par la loi ; l’intégration/formation annuelle sur la sécurité et la confidentialité ; engagements de confidentialité.
  10. Réponse aux incidents. Plan documenté avec des rôles définis, triage, confinement, éradication, récupération, leçons apprises et flux de travail de notification aux clients.
  11. Gestion des fournisseurs et des sous-traitants. Évaluation basée sur les risques, obligations contractuelles de sécurité/confidentialité, surveillance continue.
  12. Sécurité physique. Des centres de données exploités par des fournisseurs vérifiés avec des contrôles standards de l’industrie (badges, CCTV, registres de visiteurs).
  13. Minimisation des données. Ne collectez que ce qui est nécessaire ; les limites de rétention ; l’anonymisation/pseudonymisation lorsque cela est approprié.
  14. Contrôles du client. Outils administratifs pour la gestion des accès ; les traces d’audit dans le tableau de bord (lorsque disponible) ; gestion des clés API ; Support MFA.

Annexe III — Sous-traitants ultérieurs

La liste actuelle des Sous-traitants ultérieurs approuvés est tenue à l’adresse https://multilipi.com/legal/subprocessors. Pour chaque Sous-traitant ultérieur, MultiLipi divulguera : le nom, la finalité, le(s) lieu(x) de traitement et le mécanisme de transfert (par exemple, les CCT).

Signatures

Client MultiLipi Technologies Privée Limitée
Nom:___________________________
Titre : ___________________________
Date:___________________________
Signature:______________________ 		Nom : Kunal Singh Shekhawat
Titre : Co-fondateur @MultiLipi
Date de l’expédition : 09/10/2025
Signature: Signature de Kunal Singh Shekhawat

En signant, les parties conviennent que les CCT de l’UE (Décision (UE) 2021/914) et, le cas échéant, l’Addendum sur le transfert international de données du Royaume-Uni, sont incorporés par référence et complétés comme indiqué dans le présent ATD.